Le 18 décembre 2024, le Comité Européen de la Protection des Données (CEPD) a publié son premier avis concernant l'intelligence artificielle, suite à une consultation de l'autorité irlandaise de protection des données. Cet avis fondamental clarifie trois aspects essentiels de l'interaction entre l'IA et le RGPD.
Le CEPD adopte une position claire : les systèmes d'IA sont présumés soumis au RGPD car ils utilisent généralement des données personnelles dans leurs données d'apprentissage. Les exceptions sont strictement encadrées et doivent répondre à deux critères cumulatifs :
- L'impossibilité d'extraire les données d'apprentissage de l'outil
- L'absence de données personnelles identifiables dans les résultats générés
L'avis confirme que l'intérêt légitime peut constituer une base légale valable pour les traitements IA, sous réserve d'une analyse préalable rigoureuse des conditions classiques de l'article 6.1.f du RGPD :
- Légitimité de l'intérêt poursuivi
- Nécessité du traitement
- Balance des intérêts favorable
Le CEPD adopte une position ferme : tout manquement au RGPD durant la phase de développement d'une IA compromet la légalité de son déploiement et de son utilisation ultérieure.
• Réaliser un audit complet des systèmes d'IA existants ou en développement pour vérifier leur conformité aux critères du CEPD
• Mettre en place une documentation renforcée des bases légales utilisées pour les traitements IA
• Intégrer systématiquement une analyse d'impact relative à la protection des données (AIPD) pour tout projet IA traitant des données personnelles
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.