L'intelligence artificielle a besoin de données, parfois de beaucoup de données. Le RGPD, lui, impose de les limiter, de les justifier, de les sécuriser et de rendre leur usage compréhensible. Entre la logique d'entraînement des modèles et la logique de protection des personnes, la tension est réelle. Pourtant, opposer mécaniquement innovation et vie privée conduit souvent à un faux débat. La vraie question est ailleurs : sous quelles conditions l'IA peut-elle se développer sans transformer la donnée personnelle en ressource sans frein ?
La protection de la vie privée est devenue l'un des tests les plus exigeants pour l'intelligence artificielle. Dans les discours commerciaux, l'IA promet personnalisation, automatisation, prédiction et productivité. Dans le droit européen, le RGPD rappelle au contraire que les données personnelles ne sont pas une matière première librement exploitable. Elles sont liées à des personnes, à des droits, à des intérêts légitimes et à des obligations très concrètes pour les organisations qui les traitent.
Cette tension se renforce avec la diffusion rapide de l'IA. Le Stanford AI Index 2025 indique que 78 pour cent des organisations déclaraient utiliser l'IA en 2024, contre 55 pour cent un an plus tôt. En parallèle, la CNIL a publié en février puis en juillet 2025 de nouvelles recommandations et une check-list dédiée au développement de systèmes d'IA conformes au RGPD, signe clair que la mise en conformité n'est plus un sujet périphérique mais une condition de déploiement sérieuse. {ref=3}
La question n'est donc plus de savoir si la protection des données s'applique à l'IA. Elle s'applique déjà pleinement lorsque des données personnelles sont en jeu. La vraie difficulté consiste à traduire des principes juridiques généraux en décisions techniques quotidiennes : choix des données d'entraînement, base légale, durée de conservation, information des personnes, gouvernance des modèles, recours humain, sécurité et documentation.
L'impression de conflit vient d'abord d'une divergence de logique. De nombreux projets d'IA cherchent à maximiser la quantité de données exploitables pour améliorer la qualité des prédictions ou des générations. Le RGPD, lui, repose notamment sur les principes de finalité, de minimisation, de transparence, d'exactitude, de sécurité et de limitation de conservation. La donnée ne peut pas être aspirée puis réutilisée sans fin au motif qu'elle pourrait, un jour, servir à entraîner un modèle plus performant.
Cette tension est particulièrement visible dans trois situations. La première concerne l'entraînement des modèles sur de vastes corpus dont l'origine, la base légale ou la présence de données personnelles sont imparfaitement documentées. La deuxième touche à l'opacité des systèmes, surtout quand il devient difficile d'expliquer clairement comment une décision ou une recommandation a été produite. La troisième concerne les inférences : même lorsqu'une donnée sensible n'est pas explicitement collectée, un modèle peut parfois la deviner ou la reconstituer à partir de signaux indirects.
Le RGPD n'interdit pas l'innovation. Il interdit surtout le flou. Un organisme doit être capable d'expliquer pourquoi il traite telle catégorie de données, sur quelle base juridique, pour quelle finalité, pendant combien de temps, avec quelles garanties et avec quels droits pour les personnes concernées. Or de nombreux projets d'IA ont longtemps avancé sur l'idée inverse : tester d'abord, documenter ensuite.
| Logique IA | Ce qu'elle recherche | Ce que le RGPD exige |
|---|---|---|
| Entraînement à grande échelle | Beaucoup de données, variées et réutilisables efficacité | Données adéquates, pertinentes et limitées |
| Amélioration continue | Réutilisation fréquente des jeux de données | Finalité déterminée et compatibilité des usages |
| Modèles complexes | Performance et sophistication | Transparence, explicabilité pratique et recours |
| Inférences prédictives | Déduire des informations utiles | Limiter les atteintes aux droits et éviter les usages excessifs |
Malgré cette friction, la réponse juridique sérieuse n'est pas un non absolu. La CNIL l'a rappelé explicitement en février 2025 : le RGPD permet le développement d'IA innovantes et responsables en Europe, à condition de mettre en œuvre des solutions concrètes pour informer les personnes et faciliter l'exercice de leurs droits. Autrement dit, le règlement n'est pas pensé comme un gel de l'innovation, mais comme un cadre de maîtrise. {ref4}
Cette compatibilité suppose cependant de renverser l'ordre des priorités. Il ne s'agit plus de demander, à la fin du projet, si le système peut être rendu conforme. Il faut partir de la conformité comme contrainte de conception. C'est précisément l'esprit du privacy by design et du privacy by default. Dans un projet d'IA, cela signifie que la question de la donnée personnelle ne peut pas être déléguée à la seule équipe juridique en bout de chaîne. Elle doit structurer le cadrage fonctionnel, l'architecture technique et la gouvernance du modèle dès l'origine.
Une IA compatible avec le RGPD est donc moins une catégorie magique qu'une méthode de développement. Elle repose sur des choix parfois modestes mais décisifs : documenter l'origine des données, éviter les collectes inutiles, pseudonymiser lorsque c'est pertinent, trier les variables, tester les risques d'inférence, mettre en place des journaux de traitement, limiter les accès, prévoir une intervention humaine réelle lorsque les effets sur les personnes sont importants, et rendre les usages compréhensibles.
Beaucoup de projets d'IA échouent d'abord sur ce point. Utiliser des données personnelles parce qu'elles sont disponibles n'est pas une base légale. Il faut rattacher le traitement à un fondement valable, qu'il s'agisse du consentement, de l'exécution d'un contrat, d'une obligation légale, d'une mission d'intérêt public, d'un intérêt vital ou d'un intérêt légitime lorsque celui-ci est applicable et correctement mis en balance.
Le principe de finalité reste particulièrement exigeant face aux usages exploratoires de l'IA. La CNIL rappelle qu'une finalité doit être déterminée, explicite et légitime. Or de nombreux projets d'IA sont tentés par des usages extensifs : constituer une base aujourd'hui pour imaginer plus tard ce qu'on pourra en faire. Cette logique heurte directement la structure du RGPD. {ref=5}
Le principe de minimisation est souvent perçu comme l'ennemi de la performance. En réalité, il force surtout à distinguer l'utile du confortable. Un projet bien conçu n'absorbe pas tout ce qu'il peut ; il collecte ce qui est adéquat, pertinent et limité à ce qui est nécessaire. La CNIL a d'ailleurs consacré une recommandation spécifique à ce point dans ses travaux sur le développement des systèmes d'IA en 2025. {index=6}
Expliquer une IA ne signifie pas dévoiler toute la formule mathématique à chaque personne concernée. En pratique, il faut surtout permettre de comprendre qu'un traitement automatisé existe, quelles données sont utilisées, à quelle fin, avec quelles conséquences possibles, et comment exercer ses droits. L'obligation n'est pas purement théorique. Une information trop abstraite ou trop technique cesse vite d'être utile.
Plus un système d'IA est central, plus son exposition au risque augmente : fuite de données, accès excessifs, réidentification, mémorisation involontaire, attaques d'extraction, corruption des jeux d'entraînement, circulation incontrôlée des sorties. Le RGPD exige des mesures de sécurité appropriées ; dans le contexte de l'IA, cela implique aussi une gouvernance documentaire robuste, car l'absence de traçabilité devient elle-même un risque.
Le point juridique le plus sensible apparaît lorsque l'IA contribue à une décision produisant des effets juridiques ou affectant significativement une personne. L'article 22 du RGPD prévoit en principe le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsqu'elle produit de tels effets. Cette disposition reste centrale dès qu'un système d'IA intervient dans l'accès à l'emploi, au crédit, à l'assurance, à certaines prestations, ou dans d'autres domaines sensibles. {index=7}
Il faut insister sur deux nuances. D'abord, le droit européen ne prohibe pas toute automatisation. Il encadre les cas où la décision est exclusivement automatisée et fortement impactante. Ensuite, ajouter une validation humaine purement formelle ne suffit pas toujours à sortir du champ de l'article 22. L'intervention humaine doit être réelle, compétente et capable de modifier effectivement le résultat. Les lignes directrices de l'EDPB vont dans ce sens, et la jurisprudence récente de la Cour de justice de l'Union européenne a rappelé l'importance de ce cadre dans les affaires liées au scoring. {index=8}
Le profilage mérite aussi une attention particulière. Il est souvent présenté comme une simple technique d'analyse, alors qu'il peut avoir des effets très concrets : hiérarchisation de clients, ciblage publicitaire intensif, détection de fraude, estimation de risque, orientation commerciale ou administrative. Ce n'est pas parce qu'un score semble probabiliste qu'il est juridiquement léger.
La première exigence consiste à cartographier les données réellement nécessaires. D'où viennent-elles ? Contiennent-elles des données personnelles directes ou indirectes ? Sont-elles sensibles ? Ont-elles été collectées pour une finalité compatible avec le nouvel usage ? Peut-on les anonymiser réellement, ou seulement les pseudonymiser ? Cette distinction est essentielle, car la pseudonymisation réduit le risque sans faire sortir le traitement du RGPD.
Un projet d'IA n'est pas un simple prototype technique. C'est souvent un traitement complexe qui doit être documenté dans une logique de responsabilité. La CNIL, dans sa check-list de juillet 2025, insiste précisément sur la nécessité de vérifier dès le départ la finalité, la minimisation, la sécurité, l'information, les droits des personnes, la transparence et la gouvernance. {index=9}
L'une des erreurs les plus fréquentes consiste à traiter la conformité comme un audit ponctuel. Or le comportement d'un système d'IA peut évoluer avec les données, les usages ou les intégrations. Il faut donc prévoir des vérifications continues : performance, biais, sécurité, niveau d'automatisation réel, qualité de l'information fournie aux personnes, et traçabilité des décisions.
Dans les cas à impact élevé, une intervention humaine crédible reste l'un des garde-fous les plus concrets. Mais cette intervention doit être plus qu'un tampon administratif. Elle suppose une compétence, un pouvoir de correction et un accès suffisant aux éléments ayant conduit à la recommandation algorithmique.
| Bonne pratique | Ce qu'elle apporte | Point de vigilance |
|---|---|---|
| Minimisation des données | Réduit le risque juridique et technique prioritaire | Exige un cadrage métier précis |
| Pseudonymisation | Diminue l'exposition en cas de fuite ou d'accès indu | Ne supprime pas l'application du RGPD |
| Documentation et registre | Facilite la preuve de conformité | Doit rester à jour pendant tout le cycle de vie |
| Évaluation d'impact | Permet d'identifier tôt les atteintes aux droits utile | Peut devenir formelle si elle n'influence pas les choix techniques |
| Recours humain effectif | Renforce la protection contre l'automatisation excessive | Ne doit pas être purement symbolique |
Depuis 2025, le cadre européen ne repose plus seulement sur le RGPD. L'AI Act ajoute une logique centrée sur les risques propres aux systèmes d'IA. La Commission européenne indique que les interdictions, les définitions et les dispositions relatives à la littératie en IA s'appliquent depuis le 2 février 2025, que les obligations sur les modèles d'IA à usage général sont applicables depuis le 2 août 2025, et que les règles sur les systèmes à haut risque entrent en application à partir d'août 2026 puis d'août 2027 selon les catégories concernées. {index=10}
Il faut éviter un contresens fréquent : l'AI Act ne remplace pas le RGPD. Les deux textes se superposent sur des plans différents. Le RGPD protège les personnes lorsqu'il y a traitement de données personnelles. L'AI Act encadre certains usages de l'IA en fonction de leur niveau de risque, notamment lorsqu'ils touchent à la santé, à la sécurité ou aux droits fondamentaux. Un système d'IA peut donc être soumis aux deux régimes en même temps.
Cette articulation change la pratique des organisations. La conformité ne se réduit plus à une simple politique de confidentialité. Elle devient une discipline croisée, entre protection des données, documentation technique, gouvernance des risques, qualité des données, supervision humaine, cybersécurité et démonstration de conformité.
Oui, mais pas dans n'importe quelles conditions. Il faut renoncer à l'idée que l'innovation avancera plus vite si elle reste juridiquement floue. À court terme, l'absence de garde-fous peut donner une impression de liberté. À moyen terme, elle produit surtout des risques de contentieux, de blocage réglementaire, de défiance des utilisateurs et de vulnérabilité réputationnelle.
La conciliation entre IA et RGPD est donc moins un compromis mou qu'une discipline de conception. Elle oblige à trier les usages légitimes, à limiter les ambitions techniques quand elles reposent sur des collectes excessives, et à accepter qu'un bon système ne soit pas seulement performant, mais aussi gouvernable, justifiable et contestable.
Il reste néanmoins une tension irréductible. Certaines stratégies industrielles de l'IA, fondées sur l'agrégation maximale de données et sur la réutilisation extensive de corpus massifs, entrent plus difficilement dans l'esprit du droit européen. La conciliation est donc possible, mais elle n'est ni automatique ni gratuite. Elle suppose un changement de culture : passer de l'exploitation opportuniste des données à une ingénierie de la responsabilité.
L'IA peut être compatible avec le RGPD, mais seulement si la protection de la vie privée cesse d'être une vérification de dernière minute. Elle doit devenir un paramètre de conception, de gouvernance et d'arbitrage tout au long du cycle de vie du système.
