<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 13/02/2025
Elise HUMBERT
Antoine BOURDIN

Publication d’un avis du Comité européen de la protection des données (Avis 28/2024) sur la protection des données concernant le déploiement des modèles d’intelligence artificielle

Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models

Le Comité européen de la protection des données (CEPD) a publié, le 18 décembre 2024, son Avis 28/2024, apportant des clarifications essentielles sur l’application du Règlement général sur la protection des données (RGPD) aux technologies d’intelligence artificielle (IA).

Dans un contexte où les IA sont de plus en plus présentes et utilisées dans de nombreux domaines, il était impératif de préciser et de fixer de manière claire les modalités d’application du RGPD à cette technologie.

C’est dans ce cadre que le CEPD rappelle que les principes fondamentaux du RGPD s’appliquent aux technologies d’IA utilisant des données personnelles.

L’avis du CEPD met ainsi en exergue plusieurs exigences garantissant la conformité d’un système d’IA à la réglementation relative à la protection des données personnelles, et notamment au RGPD :

  • Identification d’une base légale adaptée : Le CEPD souligne la nécessité d’identifier une base légale justifiant l’activité de traitement des données. À cet effet, et reconnaissant l’inadaptation du consentement pour des traitements à si large échelle, il admet la possibilité d’invoquer l’intérêt légitime, sous réserve notamment d’une mise en balance entre les bénéfices pour le responsable de traitement et les droits des personnes concernées.
  • Respect des droits des personnes concernées : L’avis insiste sur l’obligation de garantir les droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition). Ainsi, les responsables de traitement doivent développer des mécanismes adaptés pour faciliter l’exercice de ces droits, afin de répondre aux exigences du RGPD et de maintenir la confiance des utilisateurs. De plus, afin de pallier les difficultés de transparence et d’explicabilité inhérentes à la complexité des systèmes d’IA, le CEPD insiste sur la nécessité de rendre ces systèmes compréhensibles pour les personnes concernées, afin qu’elles puissent exercer leurs droits de manière effective.
  • Vigilance sur l’anonymisation des données : Le CEPD met en garde sur l’importance de garantir une anonymisation effective des données, conforme aux normes permettant d’éliminer les risques de ré-identification. Il insiste sur la nécessité d’adopter des méthodes d’anonymisation robustes et documentées (agrégation, masquage, etc.).
  • Conséquences des traitements illicites : Un point majeur de l’avis concerne les effets des traitements illicites lors de l’entraînement des modèles d’IA. Le CEPD souligne que l’entraînement d’une IA de manière non conforme au RGPD est susceptible d’entraîner l’illégalité de l’ensemble du modèle, affectant ainsi son déploiement et son utilisation.

Cet avis appelle donc à une vigilance accrue dans le déploiement de ces modèles et incite à une stricte application du principe de privacy by design (intégration de la protection des données dès la conception du projet). Il recommande également la réalisation d’analyses d’impact sur la protection des données (AIPD) afin d’évaluer les risques liés aux traitements avant leur déploiement.

L’avis du CEPD constitue désormais une référence incontournable pour les responsables de traitement confrontés aux défis de la protection des données dans le cadre de l’IA.

Enfin, il convient de noter qu’en parallèle de cet avis, la CNIL poursuit ses travaux afin de proposer des recommandations sur les systèmes d’IA, en cohérence avec les orientations du CEPD.