Autorité de protection des données espagnole : nouvelles directives sur l’IA agentique et conformité au RGPD
En février 2026, l’Agence espagnole de protection des données (AEPD) a publié des directives concernant les questions de protection des données liées à l’utilisation d’agents d’IA. Ces directives font suite à une analyse similaire réalisée par le Information Commissioner’s Office du Royaume-Uni.
Qu’est-ce qu’un agent d’IA ?
L’AEPD définit un agent d’IA comme un système qui « agit de manière appropriée en fonction de ses circonstances et objectifs, est flexible face à des environnements et objectifs changeants, apprend de l’expérience et prend des décisions adéquates compte tenu de ses limitations perceptuelles et computationnelles ». La caractéristique définissante est l’autonomie opérationnelle.
Un exemple pratique est donné avec un agent d’IA organisant automatiquement un voyage d’affaires : lorsque le voyage apparaît dans le calendrier d’un employé, l’agent réserve le transport et l’hébergement, collecte des informations pertinentes comme la météo ou les taux de change, et envoie à l’employé un plan de voyage complet.
Qui est le responsable du traitement ?
Du point de vue de la protection des données, les agents d’IA peuvent exécuter des opérations sur des données personnelles. Cependant, cela ne signifie pas que l’agent d’IA est responsable du traitement. Les agents d’IA sont considérés comme un moyen technique par lequel le traitement est effectué, et non comme des acteurs juridiques autonomes.
La distinction clé réside entre exécution et responsabilité. Bien qu’un agent d’IA puisse effectuer des opérations de traitement de données de manière autonome, le traitement reste légalement attribuable au responsable du traitement qui déploie le système et détermine ses finalités.
Utilisation de services externes par les agents d’IA
Les agents d’IA se connectent souvent à des outils tiers, des API, des bases de données ou des plateformes en ligne. Cela soulève des questions sur la conformité au RGPD, notamment sur l’envoi de données personnelles à des tiers et la fiabilité de ces sources externes.
Les responsables doivent s’assurer que les interactions avec ces services externes sont conformes au RGPD, ce qui peut nécessiter la mise à jour des contrats et des mesures techniques.
Pourquoi la mémoire représente-t-elle un risque de conformité ?
L’IA agentique peut conserver des données à différents niveaux de mémoire, ce qui soulève des problèmes de protection des données. L’AEPD recommande des règles claires sur ce que l’agent peut stocker, pourquoi et pour combien de temps.
La conservation excessive de données peut entrer en conflit avec les principes de limitation de finalité et de minimisation des données du RGPD. La séparation logique et technique des mémoires devient donc cruciale.
Que doivent faire les organisations maintenant ?
Avec 81 pages, les directives de l’AEPD sont l’une des évaluations les plus complètes des implications en matière de protection des données de l’IA agentique à ce jour. Pour les organisations utilisant ou envisageant l’IA agentique, les priorités pratiques incluent :
- Une responsabilité claire pour le traitement activé par l’IA ;
- Une compréhension solide des flux de données ;
- Des règles bien définies pour la mémoire de l’agent ;
- L’application précoce des concepts de protection des données par défaut.
Les organisations doivent démontrer une gouvernance et une responsabilité efficaces sur le traitement de l’IA agentique. Cette nécessité est renforcée par un récent avertissement de l’Autorité néerlandaise de protection des données, qui a souligné que les agents d’IA hautement autonomes peuvent introduire des risques sérieux en matière de sécurité et de protection des données.