IA et RGPD : comment garantir la protection des données en entreprise ?

L’intelligence artificielle (IA) s’inscrit dans les pratiques quotidiennes de chacun, offrant des outils performants et aisément accessibles pour traduire, reformuler, rechercher ou analyser des données. Elle peut ainsi constituer un réel levier de productivité, tout en facilitant certaines tâches répétitives ou chronophages. Cependant, son utilisation soulève diverses problématiques d’ordre juridique, éthique et opérationnelle, notamment au regard de la protection des données à caractère personnel.

L’entrée progressive en application du Règlement sur l’Intelligence Artificielle (RIA)¹, conjuguée à l’application du Règlement Général sur la Protection des Données (RGPD)², impose aux entreprises de structurer et d’encadrer l’usage de l’IA. Ces dernières devront veiller à garantir la confidentialité des informations traitées par ces outils et protéger les droits des personnes concernées. Toute défaillance en la matière peut entraîner des risques majeurs pour leur activité, tant sur le plan commercial que sur celui des sanctions administratives.

I. Choisir des outils respectueux de la protection des données

Avant de déployer un outil d’IA au sein d’un environnement professionnel, il est essentiel d’évaluer le niveau de sensibilité des données susceptibles d’être traitées et la fiabilité des prestataires sollicités. Cette première étape vise à prévenir tout risque de divulgation d’informations confidentielles et à veiller à la conformité réglementaire en matière de protection des données.

1. Garantir la confidentialité des données des salariés

Dans la majorité des cas, les outils d’IA sont développés et proposés par des prestataires externes qui, en mettant à disposition leurs systèmes, accèdent à des informations potentiellement sensibles appartenant à votre structure. La préservation du secret des affaires³ exige donc que toute donnée transmise demeure strictement protégée contre une divulgation ou une exploitation non autorisée.

Il est impératif d’inclure dans vos contrats avec ces prestataires des clauses protectrices, indiquant que les informations communiquées demeurent la propriété exclusive du client et qu’elles ne seront pas réutilisées pour entraîner ou améliorer les algorithmes (ou, à défaut, sous réserve de présenter des garanties de sécurité robustes, notamment grâce à l’anonymisation des données réutilisées).

Il est également nécessaire de vérifier les dispositifs de sécurité mis en œuvre par le fournisseur, notamment par le biais de certifications (par exemple ISO/IEC 27001, 27701, 27017, etc.) ou d’audits de cybersécurité. Plus les données concernées sont sensibles (brevets, secrets de fabrication, dossiers juridiques), plus les mesures de protection exigées doivent être robustes : chiffrement de bout en bout, authentification renforcée, contrôle des accès, etc.

2. Vérifier la conformité des outils IA au RGPD et protéger les données à caractère personnel

Hormis la confidentialité du secret des affaires, il est essentiel de vérifier que les outils d’IA présentent des garanties spécifiques au regard de la protection des données à caractère personnel. Le RGPD qualifie de traitement toute opération concernant de telles informations, qu’il s’agisse d’une collecte, d’un accès, d’un enregistrement, d’une conservation ou d’une modification⁴. Par conséquent, dès lors qu’un système d’IA traite ou réutilise des informations portant sur des salariés, des clients ou encore des prospects d’une entreprise, son utilisation devra être conforme aux exigences du RGPD.

En outre, le RGPD consacre le droit à l’oubli (article 17), permettant aux individus de demander la suppression de leurs données personnelles lorsqu’elles ne sont plus nécessaires au regard des finalités du traitement. Les entreprises utilisant des outils IA doivent s’assurer que ces systèmes intègrent des mécanismes permettant d’exercer ce droit, notamment en prévoyant des procédures de suppression automatisée ou sur demande.

Généralement, dans l’usage de l’outil, l’entreprise agit comme responsable de traitement, tandis que le prestataire est son sous-traitant. Au regard de cette qualification, il faut veiller à conclure un accord de sous-traitance qui respecte les exigences de l’article 28 du RGPD⁵. Dans le cadre de cet accord et au regard de l’écosystème de l’IA, deux points principaux d’attention sont à surveiller :

• La localisation des serveurs (certains prestataires opèrent hors de l’UE, ce qui nécessitera la mise en place de garanties supplémentaires liées aux transferts internationaux de données) ;
• Les mesures de sécurité prévues (articles 32 et s. du RGPD) devront permettre de protéger efficacement la confidentialité et l’intégrité des données traitées, notamment au regard de leur réutilisation.

3. Évaluer la performance et la sécurité en temps réel des solutions IA

L’évaluation en temps réel des performances et de la sécurité des solutions IA permet de détecter d’éventuelles failles et d’optimiser leur usage tout en minimisant les risques de fuites de données.

En outre, l’employeur devra être vigilant sur la nécessité ou non de réaliser une Analyse d’Impact relative à la Protection des Données⁶ (AIPD), notamment si les données concernées sont sensibles (données de santé, convictions religieuses) ou si elles concernent des profils vulnérables (salariés). A ce titre il convient de rappeler que si les modalités d’un traitement déjà mis en œuvre, font l’objet d’une modification par l’intégration d’outil IA et que ces nouvelles modalités sont susceptibles d’engendrer un risque élevé pour les droits des personnes concernées, celui-ci doit faire l’objet d’une AIPD⁷.

4. Opter pour des solutions IA internes et renforcer son autonomie

Opter pour des solutions internes d’IA permet aux entreprises de renforcer leur autonomie et d’améliorer la sécurité des données traitées, en évitant l’exposition à des prestataires tiers.

Le déploiement d’une solution d’IA interne, qu’il s’agisse d’une solution tierce déployée sur des serveurs dédiés (hébergés on premise) ou de modèles propriétaires installés dans vos propres infrastructures, permet de limiter l’intervention d’acteurs externes et de mieux contrôler la chaîne de traitement des données. En procédant ainsi, vous conservez la maîtrise de vos informations et pouvez affiner (fine-tuning) les algorithmes à partir de votre propre base documentaire. Cette approche renforce la confidentialité en réduisant la dépendance à une infrastructure mutualisée.

Si les coûts et la complexité technique peuvent s’avérer élevés lorsque cette prestation est proposée par certaines entreprises, l’essor de modèles plus légers et en open source facilitent progressivement l’accès direct à ces technologies. Avec suffisamment de ressources financières et techniques, il devient possible de mettre en place, au sein de son entreprise, une IA capable de traiter des données sensibles sans recourir à un prestataire extérieur ou sans passer par une infrastructure mutualisée, tout en préservant un haut niveau de sécurité et de contrôle sur ses informations.

II. Définir les usages de l’IA en entreprise dans le respect du RIA

Au-delà du choix des outils, il importe de définir et de maîtriser les usages qui en sont faits, car l’IA est encadrée par un nouveau régime juridique européen. La mise en application progressive du RIA engendre des obligations nouvelles et variées, qui exigent un travail d’anticipation et d’adaptation de la part des entreprises utilisatrices de systèmes d’IA.

1. Encadrer l’application du RIA : obligations et bonnes pratiques

Le Règlement sur l’Intelligence Artificielle (RIA) impose des obligations aux entreprises, qui doivent adopter des bonnes pratiques pour encadrer l’usage de ces technologies de manière responsable.

Le RIA prévoit une mise en application échelonnée entre 2025 et 2027⁸. Il introduit la notion de “déployeur” d’IA, c’est-à-dire toute entité (entreprise, organisme public, etc.) qui utilise un système d’IA sous sa propre autorité, hors usage exclusivement personnel ou non professionnel⁹, qualification qui sera généralement retenue pour les entreprises qui utilisent des systèmes d’IA.

Ainsi, depuis le 2 février¹⁰ 2025, les entreprises, qualifiées de déployeur, doivent garantir la maîtrise et la conformité de l’usage des outils d’IA par leur personnel. À ce titre, ils ont l’obligation de :

• Former les utilisateurs (salariés, managers, équipes IT) aux spécificités des systèmes d’IA mis en place, en veillant à adapter la formation aux compétences et aux rôles de chacun¹¹ ;
• S’assurer que les usages de l’IA en entreprise ne contreviennent pas aux pratiques interdites prévues à l’article 5 du RIA, qui prohibe notamment certaines formes de surveillance, de notation sociale ou d’exploitation des vulnérabilités des individus.

2. Anticiper la mise en conformité progressive (2025-2027) et les exigences futures

L’anticipation des exigences futures en matière de conformité progressive permet aux entreprises de mieux structurer leur usage des technologies IA et d’éviter des sanctions réglementaires.

Entre 2025 et 2027, les entreprises devront se préparer à respecter des obligations croissantes, notamment en :

• Déterminant la catégorie d’IA à laquelle appartiennent les solutions visées : le RIA classe les systèmes d’IA selon leur niveau de risque, avec des obligations spécifiques attachées à chaque niveau.
• Veillant à assurer la conformité des outils retenus aux exigences en vigueur à partir de 2027, en insérant d’ores et déjà des clauses dédiées au sein des contrats avec leurs prestataires et en adaptant leurs politiques internes liées à l’IA.

Il est recommandé de cartographier les usages de l’IA au sein de l’entreprise et de classer chaque outil selon le degré de risque identifié afin de mettre en œuvre les mesures appropriées. Enfin, il reste essentiel de surveiller le calendrier d’application du RIA ainsi que les recommandations des autorités de contrôle et du Comité Européen de la Protection des Données (CEPD). Une veille active permettra d’ajuster en continu les pratiques internes et de garantir une transition fluide vers un usage conforme et sécurisé des technologies d’IA en entreprise

III. Encadrer l’utilisation de l’IA par les salariés

L’encadrement de l’intelligence artificielle en entreprise ne se limite pas au choix des outils ou à leur conformité réglementaire. Il est tout aussi crucial de l’ancrer clairement dans la relation entre l’employeur et les salariés qui utilisent ces technologies. Cela implique deux volets complémentaires : sensibiliser les collaborateurs et formaliser des règles claires, notamment par la mise à jour de la charte informatique ou la rédaction d’une charte dédiée aux usages de l’IA.

1. Sensibiliser et former les salariés sur la protection des données et la vie privée

Sensibiliser et former les employés à la protection des données et à la vie privée est essentiel pour garantir un usage responsable et conforme des outils IA en entreprise.

Conformément au Règlement sur l’Intelligence Artificielle (RIA), les déployeurs d’IA doivent assurer la « maîtrise de l’IA » auprès des utilisateurs¹². Cela implique de développer les compétences et connaissances nécessaires pour déployer l’IA de manière éclairée, en tenant compte des risques et des dommages potentiels¹³.

Dans ce cadre, il est essentiel de sensibiliser les employés en :

• Présentant les différents outils (chatbots, automatisation, analyse de données) et leurs cas d’usages.
• Exposant les limites d’utilisation : biais algorithmiques, perte de confidentialité, dépendance excessive.
• Formant les utilisateurs au contrôle des informations générées par l’IA et à l’identification des données pouvant ou non être partagées (par exemple, en définissant des politiques claires de classification des informations).
• Insistant sur les exigences RGPD, notamment la protection, la sécurité et la confidentialité des données sensibles.

En organisant des sessions de sensibilisation et en ajustant les politiques internes, les entreprises contribuent à un usage responsable de l’IA, conforme à la législation applicable et respectueux des droits des personnes concernées.

2. Adopter une charte IA pour sécuriser l’usage des outils et respecter la réglementation

Mettre en place une charte IA permet de sécuriser l’usage des outils et de s’assurer qu’ils respectent les exigences réglementaires en matière de protection des données.

Pour encadrer l’usage de l’IA en entreprise, il est essentiel de mettre à jour la charte informatique existante ou d’en adopter une spécifique. Ce document doit définir clairement les règles d’usage, les obligations des employés, les outils et les cas d’usage autorisés, afin d’éviter toute utilisation non maîtrisée des outils.

La charte doit poser un cadre clair en matière de transparence, d’éthique et de conformité, avec un focus particulier sur la protection des données et la confidentialité. La responsabilité quant aux contenus générés devra également être prévue : les utilisateurs sont tenus de vérifier l’exactitude des informations produites par l’IA et de s’abstenir de toute diffusion sans validation préalable. Les décisions à fort enjeu (juridiques, financières, RH) ne doivent pas se fonder sur l’IA sans supervision adéquate.

Enfin, la charte doit réaffirmer les principes de transparence et d’éthique. Les employés et partenaires doivent être informés lorsqu’un contenu est généré par IA, et l’usage de ces outils ne saurait servir à diffuser de fausses informations, deepfakes ou contenus manipulatoires. Une vigilance particulière est requise pour prévenir les biais algorithmiques et garantir un usage responsable.

En alliant ces règles à un dispositif de sensibilisation adaptés aux règlementations et à un choix d’outil adapté (confidentiel et respectueux du RIA) les entreprises pourront intégrer l’IA de manière maîtrisée, en sécurisant leurs actifs immatériels tout en respectant les obligations règlementaires.

Assurez la conformité RGPD de votre entreprise avec Aumans Avocats

La mise en conformité au RGPD et au futur Règlement sur l’Intelligence Artificielle (RIA) est un enjeu stratégique pour toutes les entreprises manipulant des données à caractère personnel et intégrant des solutions IA. Une non-conformité peut exposer votre société à des sanctions financières importantes, une atteinte à la confidentialité des données des employés et des clients, ainsi qu’à des risques juridiques pouvant compromettre votre activité.

Chez Aumans Avocats, nous vous accompagnons dans toutes les étapes de la mise en conformité :

• Audit et cartographie des traitements de données pour identifier les risques juridiques et opérationnels.
  
• Rédaction et mise à jour des documents obligatoires (politiques de confidentialité, registres des traitements, accords de sous-traitance, analyses d’impact).
  
• Accompagnement dans la sécurisation des outils IA en conformité avec le RGPD et les obligations du RIA.
  
• Formation de vos équipes pour une meilleure maîtrise des enjeux liés à la protection des données et à l’utilisation de l’IA en entreprise.

Ne laissez pas la conformité être un frein à l’innovation. Contactez-nous dès aujourd’hui pour sécuriser vos pratiques et transformer la réglementation en un véritable atout pour votre entreprise.

1. Règlement (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle ↩︎
2. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ↩︎
3. Article L151-1 du Code de commerce ↩︎
4. Article 4, 2) du RGPD ↩︎
5. Article 28 du RGPD ↩︎
6. Article 35 du RGPD ↩︎
7. Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, p.16 « À l’inverse, ceci signifie que tout traitement de données dont les conditions de mise en œuvre ont changé depuis l’examen préalable effectué par l’autorité de contrôle ou le détaché à la protection des données et sont susceptibles d’engendrer un risque élevé doit faire l’objet d’une AIPD. » ↩︎
8. Article 113 du RIA ↩︎
9. Article 3 (12) du RIA ↩︎
10. Article 113 (a) du RIA ↩︎
11. Article 4 du RIA ↩︎
12. Article 5 du RIA ↩︎
13. Article 4 56) du RIA « maîtrise de l’IA » : les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement des systèmes d’IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer » ↩︎