GDPR et l’application de la réglementation sur l’IA dans l’UE
Le déploiement rapide des systèmes d’intelligence artificielle (IA) au sein de l’Union européenne (UE) a mis la loi sur la protection des données au premier plan de la gouvernance de l’IA. Étant donné que de nombreux systèmes d’IA reposent sur le traitement à grande échelle de données personnelles, le Règlement Général sur la Protection des Données (RGPD) a agi comme le premier cadre d’application efficace et applicable horizontalement pour l’IA, bien avant l’entrée en vigueur de la Loi sur l’Intelligence Artificielle (AI Act).
Application du RGPD par les autorités de protection des données
Plus de sept ans après l’entrée en vigueur du RGPD, les autorités nationales de protection des données (DPA) appliquent concrètement les règles de protection des données aux pratiques liées à l’IA. Les DPA ont initié des enquêtes, adopté des mesures correctives et, dans certains cas, imposé des amendes significatives concernant une large gamme de technologies habilitées par l’IA telles que l’identification biométrique, la reconnaissance faciale, la prise de décision automatisée et le profilage.
Cela reflète le rôle croissant des DPA dans la sauvegarde des droits fondamentaux des individus. Cependant, l’application reste inégale à travers l’UE, avec des différences de ressources, d’expertise technique et de priorités nationales qui ont produit des niveaux variables de contrôle et d’intervention.
Enforcement des technologies biométriques et des décisions automatisées
Les technologies biométriques habilitées par l’IA ont fait l’objet d’une application stricte de la part des DPA. Par exemple, dans une affaire célèbre contre Clearview AI, l’autorité néerlandaise a imposé une amende de 30,5 millions d’euros pour la collecte illégale de photos de visages. De même, le DPA espagnol a infligé une amende de 3 millions d’euros à une institution financière pour traitement illégal lié au profilage commercial.
Les systèmes d’IA affectant les mineurs sont également sous le feu des projecteurs, comme en témoigne l’amende de 5 millions d’euros imposée à un développeur d’IA par le DPA italien pour non-conformités notables.
Orientation des autorités de l’UE sur le développement et l’utilisation des systèmes d’IA
Au niveau de l’UE, le Comité Européen de la Protection des Données (EDPB) a clarifié que les modèles d’IA et les systèmes de décision automatisée restent soumis à l’ensemble des principes du RGPD. Les contrôleurs doivent évaluer les risques tout au long du cycle de vie de l’IA, de la collecte à l’utilisation.
Il est crucial d’identifier une base légale appropriée pour le traitement lié à l’IA. L’EDPB a indiqué que la dépendance à l’intérêt légitime est possible, mais nécessite des garanties documentées et une évaluation des mesures moins intrusives.
Continuité limitée entre le RGPD et l’AI Act
La Loi sur l’Intelligence Artificielle ne remplace pas le rôle déjà joué par les DPA dans la supervision des systèmes d’IA impliquant des données personnelles. Au contraire, l’AI Act attribue des obligations de surveillance aux DPA pour certains types d’applications d’IA à haut risque.
Bien que certains systèmes d’IA puissent tomber simultanément sous le coup du RGPD et de l’AI Act, les législateurs de l’UE ont évité de créer un régime d’application unifié, préservant ainsi un modèle décentralisé.
Défis de la compétitivité et de la simplification réglementaire
L’activité d’application du RGPD s’inscrit dans un débat politique plus large sur la compétitivité européenne et le fardeau réglementaire. Le Rapport Draghi identifie la complexité réglementaire et les coûts de conformité comme des facteurs structurels dans l’écart d’innovation et de productivité en Europe.
Dans ce contexte, la Commission européenne a lancé une initiative « Digital Omnibus » pour recalibrer la mise en œuvre de la législation numérique de l’UE, y compris l’AI Act, tout en ajustant les concepts fondamentaux du RGPD pour les rendre opérationnels et proportionnés.
Ce cadre réglementaire en évolution marque une étape importante dans la gouvernance de l’IA et la protection des données, mettant en lumière les défis et les opportunités dans un paysage technologique en constante mutation.