Aller au contenu
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Retour à l'accueil
Pedro J. Peinado Báez
Par · Associé fondateur
Publié le

Régulation de l'IA et données sensibles : RGPD, LOPD et AI Act

Réglementation IA et données sensibles : RGPD et LOPD - Satya Legal

L'intelligence artificielle n'est plus de la science-fiction : chatbots pour le service client, algorithmes qui trient des CV, modèles qui analysent des dossiers médicaux. Le problème, c'est que beaucoup de ces outils traitent des données personnelles sensibles sans que l'entreprise ait conscience de ses obligations légales. Le Règlement IA de l'UE (AI Act), le RGPD et la LOPD-GDD espagnole forment un cadre réglementaire que toute organisation utilisant l'IA doit connaître. L'ignorer peut entraîner des sanctions allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

En résumé

  • L'AI Act (Règlement UE 2024/1689) classe les systèmes d'IA par niveau de risque et interdit certains usages (scoring social, identification biométrique de masse).
  • Le RGPD exige base légale, transparence et analyse d'impact (AIPD) lorsque l'IA traite des données personnelles, en particulier les catégories spéciales (santé, biométrie, origine ethnique, opinions politiques).
  • La LOPD-GDD espagnole renforce les garanties : droits numériques, obligations du DPO et régime de sanctions propre.
  • Les sanctions cumulées peuvent atteindre 35 M€ (AI Act) + 20 M€ (RGPD) : un risque réel pour PME et startups.
  • Réaliser une Analyse d'Impact sur la Protection des Données (AIPD/DPIA) avant de déployer l'IA est pratiquement obligatoire.

L'AI Act européen : classification par risque et interdictions

Le Règlement IA de l'UE (en vigueur depuis août 2024, application échelonnée jusqu'en 2027) est la première législation intégrale au monde sur l'intelligence artificielle. Il classe les systèmes d'IA en quatre niveaux :

Niveau de risque Exemples Obligations
Inacceptable Scoring social, manipulation subliminale, identification biométrique en temps réel dans les espaces publics Interdit
Élevé Recrutement, évaluation de crédit, diagnostic médical, systèmes de migration Évaluation de conformité, enregistrement UE, contrôle humain, transparence, gestion des risques
Limité Chatbots, deepfakes, contenus générés par IA Obligations de transparence : l'utilisateur doit savoir qu'il interagit avec une IA
Minimal Filtres anti-spam, recommandations de contenu, jeux vidéo Pas d'obligations spécifiques (code de conduite recommandé)

Attention : Les systèmes d'IA à haut risque qui traitent des données biométriques, de santé ou des catégories protégées sont soumis simultanément à l'AI Act et au RGPD. Les obligations s'accumulent, elles ne se substituent pas.

Données sensibles et catégories spéciales : ce que dit le RGPD

L'article 9 du RGPD interdit, en règle générale, le traitement des catégories spéciales de données : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, données biométriques aux fins d'identifier une personne de manière univoque, données de santé et données relatives à la vie sexuelle ou à l'orientation sexuelle. L'IA multiplie le risque car elle peut inférer ces données même lorsqu'elles ne sont pas directement fournies (par exemple, déduire l'état de santé à partir de schémas d'achat).

Exceptions de l'art. 9.2 RGPD qui permettent de traiter des données sensibles :

  • Consentement explicite de la personne concernée pour des finalités spécifiques.
  • Obligations en matière de droit du travail et de sécurité sociale.
  • Intérêt vital de la personne concernée ou d'un tiers.
  • Intérêt public essentiel (sur la base du droit de l'UE ou d'un État membre).
  • Finalités de médecine préventive, diagnostic, traitement ou gestion sanitaire.
  • Finalités de recherche scientifique ou statistique avec garanties appropriées.

La LOPD-GDD : renforcement espagnol du RGPD

La Loi organique 3/2018 de Protection des Données et Garantie des Droits Numériques (LOPD-GDD) adapte le RGPD à l'ordre juridique espagnol et ajoute ses propres garanties :

  • Droits numériques (Titre X) : droit à la déconnexion, à la vie privée dans l'usage des appareils numériques au travail, et droit à ne pas faire l'objet de décisions fondées exclusivement sur des traitements automatisés (renforcement de l'art. 22 RGPD).
  • Délégué à la Protection des Données (DPO) : obligatoire dans des cas supplémentaires à ceux du RGPD, comme les opérateurs de télécommunications, centres de santé, assurances ou entreprises publicitaires.
  • Régime de sanctions : infractions légères (jusqu'à 40 000 €), graves (jusqu'à 300 000 €) et très graves (jusqu'à 20 M€ ou 4 % du CA).
  • Traitement des données des personnes décédées : réglementation spécifique que le RGPD ne prévoit pas.

Analyse d'Impact (AIPD/DPIA) : quand est-elle obligatoire ?

L'article 35 du RGPD impose une Analyse d'Impact sur la Protection des Données lorsqu'un traitement, par sa nature, sa portée ou ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. En pratique, presque toute utilisation d'IA avec des données personnelles en nécessite une, notamment lorsque deux ou plusieurs de ces facteurs sont réunis :

Critères qui déclenchent l'AIPD :

  • Évaluation ou scoring automatisé (profils de crédit, évaluation de performance).
  • Décisions automatisées avec effets juridiques ou significatifs.
  • Surveillance systématique (vidéosurveillance avec IA, monitoring d'employés).
  • Traitement de catégories spéciales de données à grande échelle.
  • Usage de nouvelles technologies (IA générative, reconnaissance faciale, analyse prédictive).
  • Croisement ou combinaison d'ensembles de données de sources différentes.

L'AIPD n'est pas un formalisme bureaucratique : c'est le document qui démontre que votre entreprise a identifié les risques, appliqué des mesures pour les atténuer et consulté le DPO (ou, le cas échéant, l'autorité espagnole AEPD). Sans elle, une sanction pour traitement irrégulier est considérablement aggravée.

Cas pratiques : IA et données sensibles au quotidien

1. Recrutement par IA

Si vous utilisez un algorithme pour trier les CV, c'est un système d'IA à haut risque (AI Act, Annexe III). Il peut inférer des données sensibles (âge, origine ethnique, handicap) à partir du CV. Vous devez : réaliser une AIPD, assurer un contrôle humain effectif, faire preuve de transparence envers les candidats (art. 22 RGPD) et enregistrer le système comme à haut risque.

2. Chatbot de service client

Si votre chatbot avec IA générative collecte des données personnelles (nom, e-mail, demandes qui peuvent révéler l'état de santé ou la situation financière), vous devez : informer de l'interaction avec une IA (AI Act, risque limité), mettre à jour la politique de confidentialité, disposer d'une base légale (consentement ou exécution du contrat) et empêcher que le modèle stocke ou se réentraîne sur des données sensibles.

3. Analyse prédictive en santé ou assurance

Les modèles prédisant le risque de maladies ou calculant des primes d'assurance traitent des données de santé (catégorie spéciale). Requis : consentement explicite ou base légale spécifique (art. 9.2 RGPD), AIPD obligatoire, chiffrement et pseudonymisation, et garantie du droit d'opposition et d'explication de la décision automatisée.

4. Reconnaissance faciale au travail

Installer un système de contrôle d'accès biométrique par reconnaissance faciale constitue un traitement de données biométriques (catégorie spéciale) et un système d'IA à haut risque. Outre le RGPD et l'AI Act, l'AEPD espagnole a publié des critères stricts : il n'est proportionné que s'il n'existe aucune alternative moins invasive.

Sanctions : le coût de la non-conformité

Régime de sanctions cumulatif :

  • AI Act : jusqu'à 35 M€ ou 7 % du CA mondial pour pratiques interdites ; jusqu'à 15 M€ ou 3 % pour non-conformité des systèmes à haut risque.
  • RGPD : jusqu'à 20 M€ ou 4 % du CA mondial pour infractions graves (absence de base légale, violation des droits des personnes, absence d'AIPD).
  • LOPD-GDD : infractions très graves jusqu'à 20 M€ ou 4 % du CA ; infractions graves jusqu'à 300 000 €.

Exemple réel : L'AEPD a sanctionné CaixaBank d'une amende de 6 M€ (2021) pour des défaillances dans l'information sur les traitements et les bases légales. Avec l'IA, ces risques se multiplient.

Obligations concrètes : ce que doit faire votre entreprise

Checklist : IA, données sensibles et conformité

  • 1. Inventaire des systèmes d'IA — Identifiez tous les systèmes d'IA utilisés (internes ou tiers) et classez-les selon les niveaux de risque de l'AI Act.
  • 2. Cartographie des données personnelles — Déterminez quelles données personnelles chaque système traite, si elles incluent des catégories spéciales et quelle est la base légale.
  • 3. Analyse d'Impact (AIPD) — Réalisez une DPIA pour chaque système d'IA traitant des données personnelles à haut risque. Documentez risques, mesures et conclusions.
  • 4. Transparence et information — Mettez à jour la politique de confidentialité pour informer de l'usage de l'IA, des finalités, de la logique appliquée et des conséquences du traitement automatisé.
  • 5. Contrôle humain — Garantissez que les décisions automatisées avec effets juridiques ou significatifs puissent être révisées par une personne (art. 22 RGPD + AI Act).
  • 6. Droits des personnes — Mettez en place des mécanismes pour traiter les droits d'accès, rectification, suppression, opposition et, spécialement, le droit à ne pas faire l'objet de décisions automatisées.
  • 7. Contrats avec fournisseurs d'IA — Révisez les contrats avec les fournisseurs d'outils d'IA : clauses de sous-traitance, localisation des données, sous-traitants ultérieurs, mesures de sécurité.
  • 8. DPO et gouvernance — Évaluez si vous avez besoin d'un Délégué à la Protection des Données et établissez un comité ou protocole de gouvernance de l'IA.
  • 9. Formation — Formez les équipes utilisant l'IA aux risques, obligations et bonnes pratiques en protection des données.
  • 10. Registre et documentation — Tenez à jour le registre des activités de traitement avec les systèmes d'IA et conservez les preuves de conformité (responsabilité).

Calendrier d'application de l'AI Act

Date Étape
Août 2024 Entrée en vigueur du Règlement
Février 2025 Interdiction des pratiques d'IA à risque inacceptable
Août 2025 Obligations pour les modèles d'IA à usage général (GPAI)
Août 2026 Application complète : obligations pour les systèmes d'IA à haut risque
Août 2027 Obligations pour les systèmes à haut risque intégrés dans des produits réglementés (Annexe I)

Services connexes

Votre entreprise utilise l'IA sans savoir si elle respecte le RGPD et l'AI Act ?

Chez Satya Legal nous vous accompagnons pour l'analyse d'impact, l'adaptation des contrats avec les fournisseurs d'IA, la politique de confidentialité et la conformité au nouveau Règlement européen sur l'intelligence artificielle. Évitez les sanctions et protégez votre entreprise.

Contacter Satya Legal

Partager

Partager sur LinkedIn

Contenu Connexe

Articles Connexes

E-commerce et RGPD : obligations, sanctions et conformité pour votre boutique en ligne

E-commerce et RGPD : obligations, sanctions et conformité pour votre boutique en ligne

Guide sur la conformité RGPD en e-commerce : bases légales, consentement, politique de confidentialité, cookies et registre. Risque de sanctions et checklist.

Lire la suite →
Textes légaux web : CGU, mentions légales, confidentialité et cookies en B2B et e-commerce

Textes légaux web : CGU, mentions légales, confidentialité et cookies en B2B et e-commerce

Importance des textes légaux dans la contractualisation, B2B vs B2C, droit de la consommation, RGPD, cookies et e-commerce : retours, rétractation et information précontractuelle.

Lire la suite →
Réglementation Européenne des Crypto-actifs MiCA

Réglementation Européenne des Crypto-actifs MiCA

Analyse complète de la réglementation MiCA pour les crypto-actifs en Europe

Lire la suite →

Services Connexes

RGPD pour Startups Droit Technologique