?
CheatsheetintermédiaireVérifié le 2025-05

Compliance RGPD pour systèmes IA

Checklist et guide pratique pour la conformité RGPD des applications utilisant des LLMs.

RGPD et applications IA : guide pratique

Le RGPD (Règlement Général sur la Protection des Données) s'applique pleinement aux applications IA qui traitent des données personnelles de résidents européens. Voici les obligations spécifiques et comment les respecter.

Bases légales pour le traitement IA

Pour utiliser des données personnelles dans un système IA, vous devez justifier d'une base légale :

  • Consentement : L'utilisateur accepte explicitement le traitement par IA
  • Intérêt légitime : Le traitement est nécessaire et proportionné (analyse nécessaire)
  • Exécution du contrat : Le service IA est l'objet du contrat
  • Obligation légale : Rarement applicable pour l'IA

Obligations spécifiques à l'IA

1. Transparence (Art. 13-14)

  • Informer que les données sont traitées par un système IA
  • Expliquer la logique du traitement (pas le code, la logique)
  • Préciser les conséquences du traitement automatisé

2. Droit à l'explication (Art. 22)

Si une décision automatisée a des effets significatifs :

  • L'utilisateur peut demander une explication
  • L'utilisateur peut contester la décision
  • L'utilisateur peut demander une intervention humaine

3. Minimisation des données (Art. 5)

  • Ne traiter que les données strictement nécessaires
  • Pas d'envoi de données superflues aux LLMs
  • Pseudonymisation ou anonymisation quand possible

4. Limitation de la finalité (Art. 5)

  • Les données collectées pour le service ne peuvent pas être utilisées pour entraîner un modèle sans base légale séparée
  • Attention aux clauses des providers (OpenAI, etc.)

Checklist RGPD pour un projet IA

Documentation

  • [ ] Registre des traitements mis à jour (Art. 30)
  • [ ] Analyse d'Impact (DPIA) réalisée si haut risque (Art. 35)
  • [ ] Politique de confidentialité mise à jour
  • [ ] Clauses contractuelles avec les sous-traitants IA (DPA)

Technique

  • [ ] PII détectées et masquées avant envoi au LLM
  • [ ] Logs sans données personnelles en clair
  • [ ] Chiffrement en transit et au repos
  • [ ] Durée de rétention définie et appliquée
  • [ ] Mécanisme de suppression des données (droit à l'oubli)

Organisationnel

  • [ ] DPO informé et impliqué
  • [ ] Formation de l'équipe aux enjeux RGPD+IA
  • [ ] Procédure de gestion des violations de données
  • [ ] Audit de conformité planifié

DPA avec les providers IA

Éléments clés à vérifier dans le Data Processing Agreement :

  • Les données ne sont PAS utilisées pour l'entraînement du modèle
  • Localisation du traitement (EU vs USA) - clauses contractuelles types si hors EU
  • Durée de rétention chez le provider (idéalement 0 - pas de stockage)
  • Notification en cas de breach dans les 72h
  • Droit d'audit

AI Act et RGPD : articulation

L'AI Act européen (applicable à partir de 2025-2026) ajoute des obligations :

  • Classification du risque de votre système IA
  • Obligations de transparence renforcées pour l'IA générative
  • Documentation technique obligatoire pour les systèmes à haut risque
  • Le RGPD reste la base pour la protection des données, l'AI Act ajoute la gouvernance IA

Sanctions

  • RGPD : Jusqu'à 4% du CA mondial ou 20M€
  • AI Act : Jusqu'à 35M€ ou 7% du CA mondial
  • Les deux se cumulent potentiellement

Sources

RGPDcompliancelégal