Le Règlement Général sur la Protection des Données (RGPD) s’applique différemment selon que l’on crée ou que l’on utilise une intelligence artificielle (IA). Si vous êtes fournisseur de produit IA ou simple déployeur, vos obligations et responsabilités ne sont pas les mêmes – et méritent un éclairage clair avant tout projet.
Pourquoi cette distinction ?
- Le fournisseur d’IA conçoit, développe et commercialise le système d’IA en vue d’être déployé. Par exemple, une start-up qui crée un moteur de recommandation pour du commerce en ligne.
- Le déployeur installe, paramètre et intègre l’IA au sein de son organisation ou chez ses clients. Par exemple, une chaîne de magasins qui utilise ce moteur pour personnaliser ses offres.
Chacun doit respecter le RGPD, mais sur des niveaux de responsabilité différents.
Obligations du fournisseur d’IA
Le fournisseur d’IA doit intégrer le RGPD dès la phase de conception ou de toute modification de son système, qu’il présente sur le maché en son nom. Cette démarche exige une bonne connaissance du RGPD ou le recours à une expertise pour évaluer la conformité du projet, afin de prévenir tout risque de sanction ultérieure.
Plus l’IA développée présente un « risque élevé » (profilage, reconnaissance faciale…), plus les obligations sont nombreuses : le fournisseur doit notamment fournir une notice détaillée décrivant les finalités, les catégories de données traitées et la durée de conservation, ainsi qu’un modèle d’analyse d’impact sur les potentiels risques liés au système d’IA. Ensuite, durant tout le cycle de vie du produit, il assure la publication de correctifs de sécurité et informe de toute évolution fonctionnelle susceptible d’impacter les données personnelles des utilisateurs.
Obligations du déployeur d’IA
Le déployeur, pour sa part, doit vérifier la conformité RGPD avant son déploiement, notamment via des clauses contractuelles avec le fournisseur, et veiller à ce que le système reste conforme pendant toute sa mise en service. Il doit actualiser sa politique de confidentialité, informer les personnes concernées et mettre en place des procédures internes pour traiter les demandes d’accès, de rectification ou de suppression de données.
Ces obligations se renforcent et s’ajoutent dès lors que des données personnelles sont transférées hors UE, confiées à des sous-traitants en cascade ou lorsque l’IA prend des décisions automatisées susceptibles d’affecter significativement la vie des personnes concernées.
Notre conseil :
Les obligations des fournisseurs et des déployeurs sont nombreuses et complexes, elles dépendent également du niveau de risque du système d’IA développé. Mais vous ne prenez aucun risque et contactez notre équipe pour un accompagnement sur mesure et sécurisez vos projets IA.
