CEPD : Premier avis sur l'IA et conformité RGPD

Christophe BARDY - GRACES community
15/1/2025
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

Premier avis du CEPD sur l'IA : Implications majeures pour la conformité RGPD


Contexte et portée de l'avis du CEPD sur l'intelligence artificielle


Le 18 décembre 2024, le Comité Européen de la Protection des Données (CEPD) a publié son premier avis concernant l'intelligence artificielle, suite à une consultation de l'autorité irlandaise de protection des données. Cet avis fondamental clarifie trois aspects essentiels de l'interaction entre l'IA et le RGPD.

Application du RGPD aux traitements IA : Une approche par principe


Le CEPD adopte une position claire : les systèmes d'IA sont présumés soumis au RGPD car ils utilisent généralement des données personnelles dans leurs données d'apprentissage. Les exceptions sont strictement encadrées et doivent répondre à deux critères cumulatifs :

- L'impossibilité d'extraire les données d'apprentissage de l'outil

- L'absence de données personnelles identifiables dans les résultats générés

Cadre légal des traitements IA : L'intérêt légitime comme fondement possible


L'avis confirme que l'intérêt légitime peut constituer une base légale valable pour les traitements IA, sous réserve d'une analyse préalable rigoureuse des conditions classiques de l'article 6.1.f du RGPD :

- Légitimité de l'intérêt poursuivi

- Nécessité du traitement

- Balance des intérêts favorable

Impact d'un développement non conforme : Une approche stricte


Le CEPD adopte une position ferme : tout manquement au RGPD durant la phase de développement d'une IA compromet la légalité de son déploiement et de son utilisation ultérieure.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :


• Réaliser un audit complet des systèmes d'IA existants ou en développement pour vérifier leur conformité aux critères du CEPD

• Mettre en place une documentation renforcée des bases légales utilisées pour les traitements IA

• Intégrer systématiquement une analyse d'impact relative à la protection des données (AIPD) pour tout projet IA traitant des données personnelles

Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?