IA Act et RGPD : un nouveau dialogue des droits fondamentaux

Réactualiser la compréhension des fondamentaux du RGPD dans un environnement d’IA en mutation

Le RGPD, promulgué en 2016 et applicable depuis mai 2018, se présente comme le socle transversal de la protection non pas tant des données en elles-mêmes que des effets induits par leur traitement :

Chaque opération révélant, directement ou indirectement, des informations sur une personne doit être légitime par le respect :

• De la Privacy des informations : garantir la sécurité du stockage, de l’accès et de la circulation de l’ensemble des données, qu’il s’agisse de fichiers, de bases, de flux ou d’appels d’API.
• De la Protection de la vie privée : veiller à ce que tout usage d’informations, directes ou indirectes, touchant à la représentation sociale d’une personne : profil, réseau, préférences ; ne serve ni à prédire ni à évaluer cette personne sans garanties explicites et transparence préalable.

Le RGPD abordait donc déjà les traitements automatisés réglementés par l’intelligence artificielle de manière implicite par :

La définition de certains traitements

L’article 4 §(1) définit le traitement comme « toute opération ou ensemble d’opérations, y compris par procédé automatisé », et notamment par l’interconnexion : échange de flux entre divers systèmes ou logiciels.

Dans le § 4 l’article 4 définissait les traitements de profilage par :

Tout traitement de l’information collectée sur des personnes permettant la prédiction et l’évaluation des comportements.

C’est l’Article 22 qui lui prenait en compte les effets de la décision individuelle automatisée :

Définition :

Une « décision automatisée » est concernée par cet article lorsque :

• elle est rendue sans intervention humaine significative ;
• ou elle repose sur un calcul algorithmique (modélisation, scoring, profilage).

Acteurs responsables :

Le responsable du traitement ; avec le cas échéant le co-responsable du traitement ; qui met à disposition le système d’intelligence artificielle ; doivent prévoir des garanties proportionnées aux effets possibles sur les droits et libertés de la personne concernée.

Garanties minimales :

• information claire et compréhensible sur l’existence d’un tel traitement ;
• possibilité d’exprimer son point de vue ;
• droit d’obtenir l’intervention d’un être humain ;
• droit de contester la décision et d’en demander la révision.

Le RGPD impose donc bien une mise en œuvre opérationnelle précise et documentée résumée dans le tableau ci-dessous.

Chaque traitement doit figurer dans le registre des traitements, être actualisé en continu avec une veille active démontrant l’Accountability du responsable de ce traitement en coordination avec les éventuels co-responsables notamment pour éviter les biais dans la mise en œuvre de l’automatisation.

Mise en œuvre opérationnelle

Alors que les algorithmes influencent de plus en plus les décisions automatisées dans des secteurs comme l’assurance, la finance ou le commerce, le respect du RGPD et du principe de transparence devient une priorité stratégique. Plusieurs exigences concrètes émergent pour garantir un usage responsable de ces technologies.

Dès la conception, une AIPD ciblée (Analyse d’Impact relative à la Protection des Données) doit être menée. Elle permet d’évaluer l’intérêt légitime du responsable de traitement, au regard des risques encourus pour les personnes : perte d’avantage, tarification différenciée, refus de crédit, notation ESG… Par exemple, un audit préalable est indispensable avant le déploiement d’un moteur de tarification dynamique.

Une politique d’information spécifique et intelligible est également attendue. Celle-ci doit présenter clairement les finalités du traitement, la logique générale de l’algorithme, les données utilisées en entrée et en sortie, la durée de conservation et les flux de partage. C’est le cas, par exemple, d’une notice dédiée à l’application mobile d’un assureur exploitant un modèle fondé sur le comportement routier.

Les individus doivent pouvoir exercer un recours explicite en cas de décision automatisée. Cela passe par un formulaire ou une API dédiée à la révision de décision, ainsi que par une procédure permettant d’obtenir une relecture humaine. Une interface de ce type est déjà utilisée pour contester un refus de crédit automatisé.

En matière de propriété intellectuelle, si l’algorithme est protégé, une explication "significative" reste exigée. Celle-ci doit, au minimum, détailler les catégories de données utilisées, leur poids relatif, et les facteurs déterminants dans la décision. Un exemple concret : un résumé des variables influentes dans un réseau de neurones destiné au scoring de clients.

Enfin, les interconnexions et flux de données doivent être encadrés, conformément à l’article 4 § 2 b du RGPD. Toutes les garanties prévues doivent s’étendre aux API, services tiers ou places de marché de données utilisées. La traçabilité des appels API, comme ceux entre une plateforme e-commerce et un moteur de recommandation externe, est ici essentielle.

L’apport de la Déclaration européenne « Déclaration européenne sur les droits et principes numériques pour la décennie numérique» (janv. 2023)

Adoptée un an avant l’IA Act, la Déclaration commune du Parlement, du Conseil et de la Commission précitée a élargi la logique d’application de l’article 22 du RGPD.

Même si elle est dépourvue d’effet direct en droit interne, elle reste une source de réflexion dans la « conception by design » des systèmes d’IA pour garantir le choix de l’utilisateur pour accepter ou refuser d’interagir avec l’IA ou en contester les effets.

• l’IA doit rester centrée sur l’humain, fiable, éthique et transparente ;
• l’utilisateur doit être informé lorsqu’il interagit avec un algorithme et conserver un choix libre et éclairé ;
• des garanties doivent prévenir discrimination, manipulation et atteintes aux droits fondamentaux.

Cette finalité innerve d’ailleurs toute la formulation du règlement sur l’IA.

Convergence des normes

L’IA Act vient donc couronner cette hiérarchie des textes qui gouvernent le traitement des données ; qu’elles soient ou non personnelles ; en y ajoutant le filtre du risque lié au résultat des traitements automatisés.

Il ne remplace pas le RGPD ; il s’y superpose :

• Les traitements des données à caractère personnel en ce compris les prises de décisions automatisées restent réglementées par le RGPD,
• Tandis que l’IA Act prend en charge quelque chose en plus :
  l’évaluation du risque qu’un algorithme auto-apprenant, intégré à un système automatisé, fait peser sur les droits fondamentaux des personnes : qu’il s’agisse d’un calcul algorithmique ou d’une décision rendue sans intervention humaine significative.

Un basculement : le risque s’évalue désormais à l’aune des effets du traitement

La subtilité de l’IA Act tient dans la façon dont il articule deux définitions clés :

D’un côté, le Paquet numérique 2024 – qui englobe des textes comme le DMA, le DSA, le DGA ou le Data Act – adopte une définition large et englobante de la donnée : il s’agit de toute représentation numérique d’un fait ou d’une information, y compris les enregistrements sonores, visuels ou audiovisuels, ainsi que toute compilation de ces éléments.

De l’autre, l’IA Act vient compléter cette approche en se concentrant sur la notion de « système d’intelligence artificielle ». L’article 3 du règlement définit ce dernier comme un système automatisé, capable de s’adapter après son déploiement, et conçu pour produire – à partir de ses entrées – des prédictions, des contenus, des recommandations ou des décisions susceptibles d’avoir un impact réel sur des environnements physiques ou virtuels.

Cette double articulation montre bien la volonté de l’Union européenne de construire un encadrement cohérent, depuis la matière première (la donnée) jusqu’à son traitement le plus sophistiqué (l’IA).

Le point focal de compréhension ici est celui des conséquences du fonctionnement des systèmes automatisés utilisant la « donnée ».

La capacité d’un système automatisé à produire, à partir de ses données d’entrée, une nouvelle typologie de données, les données d’inférence, constitue désormais l’un des critères essentiels d’évaluation du risque pour les droits fondamentaux.

Elles n’existent pas avant le calcul : l’algorithme les génère et elles peuvent être plus intrusives que les données d’entrée.

Autrement dit, dès la conception (by design), chaque acteur désigné par l’article 3 du règlement : fournisseur, déployeur, importateur, distributeur, opérateur, doit :

• Mesurer le risque à la fois du fonctionnement du système par sa classification dans l’un des 3 régimes de risques,
• Mais aussi mesurer l’analyse de l’impact qu’un algorithme auto-apprenant intégré à un système automatisé peut avoir sur les droits fondamentaux, au moyen d’une évaluation des risques pesant sur les personnes.

C’est cette « information » sur le risque pour les droits et libertés des personnes qui s’apparente à l’éthique du fonctionnement de l’IA.

Elle doit être donnée dans les formes de transparence prévue par le RGPD en son article 12 car le fonctionnement du système automatisé reste un traitement de la donnée quel qu’en soit le support informationnel.

Deux « garde-fous transversaux » matérialisent cette éthique propre à l’IA :

• Transparence des informations sur le fonctionnement,
• Contrôle humain dès qu’un droit fondamental peut être affecté (art. 14).

Vers un « droit de l’UX » : prélude au Digital Fairness Act

L’IA Act, en conditionnant la conformité à une prévention graduée du risque, oblige tous les acteurs désignés à l’article 3 (fournisseurs, déployeurs, importateurs, distributeurs, opérateurs) à repenser l’information donnée aux utilisateurs.

L’information sur les « pratiques numériques » dont ils font l’objet, avec les garanties de la préservation de leur droit en ce compris la faculté de refuser l’interaction et le traitement :

• doit donc être lisible, actionnable et alignée sur les critères de transparence déjà exigés par le RGPD.

Il s’en découle une conséquence directe qui est celle de l’émergence d’un nouveau droit numérique :

Celui lié à la « transparence » au sens que lui donne le RGPD dans son article 12 pour les informations liées à l’expérience utilisateur (UX ou DesignLaw) des interfaces qui permettent de produire par des systèmes automatisés les données d’inférence qui, au sens de l’article 3 de l’IA Act, vont influencer les environnements physiques ou virtuels.

C’est d’ailleurs la nouvelle préoccupation de la Commission européenne par le futur « Digital Fairness Act » (DFA) qui va entre autres poser les bases de ce nouveau droit d’un UX by design dont on peut ici esquisser ce que pourraient être les nouvelles exigences :

• Les obligations réglementaires imposent une transparence plus active et une expérience utilisateur (UX) repensée. Informer l’utilisateur en temps réel qu’un système d’IA est à l’œuvre devient une exigence de base. Cela passe par des moyens simples mais visibles : une icône, un bandeau ou même une annonce vocale, en conformité avec l’article 12 du RGPD et l’article 52 de l’IA Act.
• Mais au-delà de l’information, c’est le libre arbitre de l’utilisateur qui doit être respecté. Fini les interfaces trompeuses : les choix doivent être clairs et sans pression, avec des boutons explicites pour accepter ou refuser, conformément à l’article 7 du RGPD sur le consentement.
• Autre pilier : l’explicabilité. Les systèmes doivent proposer une explication lisible et intégrée dans l’interface, incluant les données d’entrée, les critères clés du traitement, et la durée de conservation, afin de respecter le droit à l’explication garanti par l’article 22 §3 du RGPD.
• Enfin, un droit au recours immédiat doit être rendu accessible : un simple lien "Contester", couplé à la possibilité d’un réexamen humain traçable, incarne l’article 47 de la Charte des droits fondamentaux de l’UE, qui garantit un recours effectif. L’UX devient ainsi le vecteur opérationnel du respect des droits numériques.

En pratique : la conformité des traitements et de l’utilisation des systèmes d’Intelligence artificielle devient aussi une discipline incluant la conformité du Design et de sa gouvernance. Juristes, DPO, designers UX et data-scientists doivent collaborer dès la phase de conception (compliance-by-design).

La transparence du fonctionnement des systèmes d’IA — leur « éthique opérationnelle » — doit désormais satisfaire aux mêmes exigences d’information que le RGPD ; elle s’y ajoute, puisqu’un système d’IA demeure, avant tout, un traitement de données.

La Commission prépare d’ailleurs un cadre dédié, le Digital Fairness Act (DFA), destiné à codifier ce nouveau droit de l’UX afin de garantir que l’usage des données, des algorithmes et de l’IA s’inscrive dans un environnement :

• respectueux des droits individuels ;
• transparent ;
• exempt de pratiques déloyales (manipulation, captation abusive de l’attention).

Le futur DFA fera ainsi le pont entre la transparence des informations et des communications sur le droit des personnes prévues par le RGPD et la gestion des conséquences associées à la classification des systèmes (risque inacceptable, haut risque, risque limité) établie par l’IA Act.

De la transparence « UX Design » à la nouvelle frontière des neuro-droits :

À peine promulgué, l’IA Act se voit déjà rattrapé par deux accélérations :

• L’essor des IA agentiques : déployées dans la banque, la finance ou la lutte antifraude, notamment lors des analyses « on chain » pour détecter les risques de fraudes pour les crypto-actifs.
• L’émergence du débat sur la liberté cognitive appréhendée par les neuro-droits que le DSA (Digital Services Act) envisage lorsqu’il vise la désinformation systémique et, plus largement, les pratiques d’influence fondées sur l’exploitation intensive de la donnée dans les activités en ligne des plateformes.

L’étape suivante consistera donc à encadrer les traitements qui touchent à « l’intimité neuronale » de la personne, notamment via les « interfaces cerveau-machine » (BCI) capables de capter ou de stimuler l’activité neuronale.

4 garanties se dessinent pour protéger la sphère de l’intimité privée captée par les pratiques numériques d’influence :

Ces principes commanderont sans doute la création d’un palier « risque cognitif » dans l’utilisation des systèmes d’intelligence artificielle.

Mais comment l’envisager dans l’échelle des risques déjà prévue par l’Intelligence artificielle ?

Le traiter comme un nouveau risque « Sui generis » ? Ou le classer dans les systèmes à haut risque qui lui appréhendent la classification par le secteur d’activité ?

La question de l’appréhension de ce niveau de risque par l’atteinte éventuelle aux droits et libertés sur une nouvelle typologie de donnée se pose aussi pour l’article 22 RGPD.

Comment adapter la charte interne d’information (article 22 § 3 du RGPD) pour permettre :

• l’explicabilité d’une décision automatisée fondée sur des données neuronales inférées ;
• et l’intervention d’un être humain lorsque la personne concernée en fait la demande ?

Comment mettre en place ces garanties lorsque la décision automatisée émane d’une autorité publique ou d’un organisme chargé d’une mission d’intérêt général ?

Ces interrogations figurent déjà dans l’agenda du Conseil de l’Europe, qui, dans sa déclaration du 28 janvier 2025 (Journée internationale de la protection des données), appelle à un cadre contraignant pour protéger la liberté de pensée et la confidentialité neuronale face aux technologies d’inférence cognitive, notamment via les interfaces cerveau-machine (Brain-Computer Interfaces, BCI) capables de capter ou de stimuler l’activité neuronale.

Ainsi, la protection de l’utilisateur des applications diverses rendant des services numériques ne s’arrête plus à la transparence de l’interface : elle s’étend à l’intégrité même de « l’influence de la cognition », dernière frontière d’un droit européen en perpétuelle évolution.

Véronique Rondeau – Abouly
Avocate en droit du numérique des données et de l’intelligence artificielle