IA et RGPD : chatbots et traitements automatisés en PME

·

L'intelligence artificielle a cessé d'être une promesse pour devenir une réalité présente dans des milliers d'entreprises : chatbots de service client, systèmes de notation de crédit, outils de recrutement ou modèles prédictifs qui recommandent des produits. Tout cela implique, sans exception, le traitement de données à caractère personnel. Le Règlement (UE) 2016/679 — connu sous le nom de RGPD — régit ce traitement indépendamment du fait que l'outil soit un être humain, un algorithme ou un modèle d'intelligence artificielle. Cet article analyse les points de friction les plus courants entre l'IA et le RGPD : les décisions automatisées de l'article 22, la base juridique et les obligations d'information des chatbots, la minimisation des données dans les modèles d'IA, et l'intersection avec le Règlement (UE) 2024/1689 — l'AI Act —.

Pourquoi l'intelligence artificielle pose-t-elle des défis spécifiques au RGPD ?

Le RGPD a été adopté en 2016 et ne mentionne pas expressément les modèles de langage ni l'IA générative, mais ses principes s'appliquent avec toute leur force. Lorsqu'une entreprise déploie un modèle d'IA qui traite des données de personnes physiques, elle doit respecter les mêmes principes qui régissent tout autre traitement : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; et intégrité et confidentialité (art. 5.1 RGPD). Elle est également soumise au principe de responsabilité de l'article 5.2 : l'organisation doit être en mesure de démontrer sa conformité à tout moment devant l'Agence espagnole de protection des données (AEPD — Agencia Española de Protección de Datos).

La particularité de l'IA est qu'elle intensifie les risques selon deux dimensions. Premièrement : le volume et la variété des données qu'elle consomme pour fonctionner — historique des conversations, métadonnées, données comportementales, et parfois des données de catégorie particulière —. Deuxièmement : l'opacité des résultats, qui rend difficile d'expliquer pourquoi le système a pris une décision particulière et comment il y est parvenu.

Article 22 RGPD : décisions automatisées et profilage

Ce que l'article 22 interdit et ce qu'il autorise

L'article 22.1 du RGPD dispose que « toute personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ». Il s'agit de la règle centrale qui s'applique aux systèmes d'IA qui prennent des décisions sans véritable intervention humaine.

Pour que l'article 22 soit applicable, deux éléments doivent être réunis :

  1. La décision est fondée exclusivement sur un traitement automatisé, sans examen humain effectif capable de remettre en question le résultat.
  2. La décision produit des effets juridiques — refus d'un contrat, rupture d'une relation de travail — ou l'affecte de manière significative de façon similaire — refus d'accès à un service, offre de prix discriminatoire —.

Il ne suffit pas qu'un être humain valide formellement la décision : si cette personne ne peut pas — ou, en pratique, ne remet pas en question — le résultat de l'algorithme, l'AEPD peut considérer que la décision reste « fondée exclusivement » sur un traitement automatisé au sens de l'article 22.

Exceptions et garanties minimales

L'article 22.2 prévoit trois exceptions qui autorisent ce type de décisions automatisées : (a) lorsqu'elles sont nécessaires à la conclusion ou à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; (b) lorsqu'elles sont autorisées par le droit de l'Union ou par le droit de l'État membre ; ou (c) lorsqu'elles sont fondées sur le consentement explicite de la personne concernée.

Dans les cas (a) et (c), le responsable du traitement est tenu de mettre en œuvre des mesures appropriées pour protéger les droits de la personne concernée : au minimum le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision (art. 22.3 RGPD). Ces droits ne sont pas facultatifs : ils doivent être effectivement exercisables en pratique, pas seulement déclarés dans la politique de confidentialité.

Lorsque la décision automatisée porte sur des catégories particulières de données — santé, origine raciale ou ethnique, orientation sexuelle, appartenance syndicale, entre autres —, seules les exceptions (a) ou (b) avec des garanties renforcées sont admissibles, ou le consentement explicite visé à l'article 9.2.a RGPD (art. 22.4 RGPD). Dans ces cas, il est recommandé de réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) conformément à l'article 35 RGPD.

Cas et exigences de l'article 22 RGPD dans les systèmes d'IA
Cas Base habilitante Garanties obligatoires
Décision nécessaire à la conclusion ou à l'exécution d'un contrat Nécessité contractuelle (art. 22.2.a) Intervention humaine + droit d'exprimer son point de vue + droit de contestation
Décision autorisée par le droit de l'UE ou national Règle habilitante expresse (art. 22.2.b) Celles établies par la règle habilitante
Décision fondée sur le consentement explicite Consentement (art. 22.2.c) Intervention humaine + droit d'exprimer son point de vue + droit de contestation
Décision portant sur des catégories particulières de données Uniquement (a) ou (c) avec garanties renforcées Intervention humaine + DPO informé + AIPD recommandée

Chatbots et protection des données : base juridique et obligations d'information

Base juridique du traitement des données dans les chatbots

Un chatbot de service client typique traite, au minimum, le contenu de la conversation et les métadonnées de session. S'il est intégré au CRM, il peut croiser ces données avec l'historique des achats, les incidents antérieurs ou les données de profil. La base juridique la plus courante sera l'exécution d'un contrat (art. 6.1.b RGPD) lorsque l'utilisateur est déjà client, ou l'intérêt légitime (art. 6.1.f RGPD) en phase précontractuelle, à condition que celui-ci résiste au test de mise en balance préalable.

Le consentement (art. 6.1.a RGPD) est la base la moins recommandée pour un chatbot de service, car il doit être donné librement : si l'utilisateur ne peut pas accéder au service sans interagir avec le chatbot, ce consentement peut difficilement être considéré comme libre au sens du RGPD. Le consentement peut, en revanche, être la base appropriée lorsque le chatbot collecte des données à des fins supplémentaires — marketing personnalisé, amélioration du modèle avec les données de l'utilisateur — qui vont au-delà du service principal.

Quelles informations doivent être fournies à l'utilisateur

L'article 13 du RGPD, applicable lorsque les données sont collectées directement auprès de la personne concernée, exige que les informations soient fournies au moment de la collecte. Dans le contexte d'un chatbot, cela signifie qu'avant ou lors des premiers échanges de la conversation, l'utilisateur doit être informé de :

Ce dernier point est particulièrement important : si le chatbot peut, à lui seul, refuser une demande, appliquer une tarification différentielle ou escalader ou non une réclamation selon un critère algorithmique, l'utilisateur doit être informé de l'existence de ce traitement automatisé et de la logique appliquée. Une simple référence dans les conditions générales ne satisfait pas à cette obligation lorsqu'elle n'est pas mise en évidence au moment de la collecte.

Minimisation des données dans les modèles d'intelligence artificielle

Le principe de minimisation (art. 5.1.c RGPD) exige que les données traitées soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Dans le contexte de l'IA, ce principe s'applique à trois moments distincts du cycle de vie du système.

Lors de l'entraînement du modèle. Si l'entreprise développe ou affine son propre modèle, les données d'entraînement doivent avoir été obtenues licitement et être réduites au strict nécessaire. L'utilisation de données de production — des conversations réelles de clients — pour entraîner le modèle requiert une base juridique spécifique à cette finalité, qui ne coïncide généralement pas avec celle du traitement initial. L'utilisation incompatible de données sans base juridique propre peut constituer une violation de l'article 5.1.b RGPD.

Lors de l'inférence. Le modèle ne doit pas recevoir plus d'informations personnelles que ce qui est strictement nécessaire pour fournir la réponse demandée. Un chatbot qui gère des litiges de facturation n'a pas besoin d'accéder aux antécédents médicaux du client ni à sa géolocalisation en temps réel. La conception technique doit refléter ce principe de minimisation dès le départ — protection des données dès la conception, art. 25 RGPD —.

Lors de la conservation des journaux et des conversations. Les transcriptions de conversations constituent des données à caractère personnel. Leur conservation indéfinie, pratique courante dans de nombreux systèmes CRM et chatbot, entre en conflit avec le principe de limitation de la conservation (art. 5.1.e RGPD). Des durées de conservation justifiées en fonction de la finalité doivent être établies, ainsi que des procédures d'effacement ou d'anonymisation effective à l'issue de cette période.

L'intersection avec l'AI Act (Règlement UE 2024/1689)

Le Règlement (UE) 2024/1689, connu sous le nom d'AI Act, est entré en vigueur en août 2024 et son application est progressive selon la catégorie de risque du système. Il ne remplace pas le RGPD : les deux cadres réglementaires s'appliquent simultanément lorsqu'un système d'IA traite des données à caractère personnel. L'AI Act ajoute une couche d'obligations fondées sur le niveau de risque du système d'IA, indépendamment du fait qu'il traite ou non des données personnelles.

Les systèmes d'IA à haut risque — répertoriés à l'Annexe III de l'AI Act, notamment les systèmes de recrutement, d'évaluation du crédit, de décisions dans les services publics essentiels ou dans le domaine de la justice — sont soumis à des exigences spécifiques : gestion des risques documentée, gouvernance des données d'entraînement, transparence, surveillance humaine obligatoire et enregistrement auprès des autorités compétentes. Beaucoup de ces exigences recoupent les obligations du RGPD : l'AIPD de l'article 35 RGPD et l'évaluation de conformité de l'AI Act couvrent partiellement le même terrain.

Les systèmes d'IA à risque limité, tels que les chatbots à usage général, ont des obligations de transparence allégées : informer l'utilisateur qu'il interagit avec un système d'IA, sauf si cela est évident compte tenu du contexte.

Notre service de mise en conformité avec l'AI Act propose une feuille de route pour que les entreprises se conforment simultanément au RGPD et à l'AI Act, en identifiant quels systèmes d'IA sont utilisés, à quelle catégorie de risque ils appartiennent et quelles mesures techniques et organisationnelles doivent être mises en place pour démontrer la conformité devant l'AEPD et devant l'Agence espagnole de supervision de l'intelligence artificielle (AESIA — Agencia Española de Supervisión de la Inteligencia Artificial), opérationnelle depuis 2024.

RGPD vs. AI Act dans les systèmes d'IA qui traitent des données à caractère personnel
Aspect RGPD (UE 2016/679) AI Act (UE 2024/1689)
Objet de protection Données à caractère personnel des personnes physiques Systèmes d'IA selon le niveau de risque
Autorité compétente en Espagne AEPD AESIA (opérationnelle depuis 2024)
Décisions automatisées Art. 22 : droit à ne pas en faire l'objet sans garanties Surveillance humaine obligatoire pour les systèmes à haut risque
Transparence Information de la personne concernée (arts. 13-14) sur la logique appliquée Indiquer à l'utilisateur qu'il interagit avec une IA
Évaluation d'impact AIPD en cas de risque élevé (art. 35) Évaluation de conformité pour les systèmes à haut risque
Sanction maximale Jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial Jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial

Obligations pratiques pour votre entreprise

Si votre entreprise utilise ou envisage de déployer des systèmes d'IA qui traitent des données à caractère personnel, le point de départ est un diagnostic structuré qui répond au minimum à ces questions :

  1. Quelles données à caractère personnel le système traite-t-il et à quelle finalité exacte ?
  2. Quelle est la base juridique de l'article 6 RGPD pour ce traitement ?
  3. Le système produit-il des décisions affectant les personnes concernées au sens de l'article 22 RGPD ?
  4. Le système entre-t-il dans une catégorie de risque de l'AI Act — en particulier l'Annexe III ?
  5. Les personnes concernées ont-elles été correctement informées de l'utilisation de l'IA et de la logique des décisions ?
  6. Existe-t-il des mécanismes effectifs d'intervention humaine et de contestation des décisions ?
  7. Une AIPD a-t-elle été réalisée conformément à l'article 35 RGPD lorsque le traitement le requiert ?
  8. Existe-t-il un contrat de sous-traitance avec le fournisseur du système d'IA ?

L'équipe de Summum Consultoría, présente en Castille-et-León — Valladolid, Burgos, Palencia, Aranda de Duero — et aux Îles Canaries — Las Palmas —, accompagne les PME et les organisations de plus grande taille dans la mise en conformité de leurs systèmes d'intelligence artificielle avec le RGPD et l'AI Act. De l'analyse initiale jusqu'à la mise en œuvre des mesures techniques et organisationnelles, l'objectif est que l'entreprise puisse démontrer sa conformité de manière documentée. Consultez notre service de mise en conformité avec l'AI Act pour une première évaluation de l'impact réglementaire de l'IA sur votre organisation.

Questions fréquentes

Un chatbot qui collecte uniquement un nom et une adresse e-mail nécessite-t-il une base juridique selon le RGPD ?

Oui. Tout traitement de données à caractère personnel — même limité à un nom et une adresse e-mail — requiert une base juridique au sens de l'article 6 du RGPD. Pour un chatbot de capture de demandes, la base la plus courante est l'intérêt légitime (art. 6.1.f RGPD), à condition de résister au test de mise en balance, ou le consentement (art. 6.1.a RGPD). La base juridique et la finalité doivent être communiquées à l'utilisateur au moment de la collecte, conformément à l'article 13 du RGPD.

Si le fournisseur du chatbot accède aux données de mes clients, quelles obligations s'appliquent ?

Le fournisseur du système agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Il est obligatoire de conclure avec lui un contrat de sous-traitance qui régit : les instructions de traitement, les mesures de sécurité applicables, la chaîne de sous-traitants ultérieurs, les droits d'audit et la procédure de restitution ou d'effacement des données à l'issue du contrat. Si le fournisseur est situé en dehors de l'Espace économique européen, les garanties du Chapitre V du RGPD s'appliquent également — clauses contractuelles types, décisions d'adéquation —.

Quand une AIPD est-elle obligatoire pour un système d'intelligence artificielle ?

L'article 35 du RGPD exige une Analyse d'Impact relative à la Protection des Données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. L'AEPD a publié une liste de types de traitement qui nécessitent toujours une AIPD ; y figurent notamment le profilage systématique, le traitement à grande échelle de catégories particulières de données et la prise de décisions automatisées à effets juridiques. Un système d'IA qui combine deux ou plusieurs de ces critères nécessitera presque toujours une AIPD avant sa mise en production.

L'AI Act remplace-t-il le RGPD pour les systèmes d'intelligence artificielle ?

Non. L'AI Act et le RGPD sont des cadres réglementaires complémentaires qui s'appliquent simultanément. L'AI Act régit les systèmes d'IA selon leur niveau de risque ; le RGPD régit le traitement des données à caractère personnel. Les obligations de l'AI Act — transparence, surveillance humaine, documentation technique, évaluation de conformité — ne remplacent pas celles du RGPD — base juridique, information de la personne concernée, droits, AIPD —, mais s'y ajoutent. La LOPDGDD (loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques) complète le RGPD dans l'ordre juridique espagnol sans modifier ce schéma.