L’adoption de l’intelligence artificielle dans les systèmes d’information soulève des défis majeurs en matière de conformité. Deux textes structurent désormais le cadre européen :
- Le RGPD (Règlement Général sur la Protection des Données – 2016/679), applicable depuis mai 2018, qui définit les principes fondamentaux de licéité, minimisation, transparence, limitation des finalités et droits des personnes.
- L’AI Act (Artificial Intelligence Act), approuvé en 2024, qui introduit une réglementation spécifique aux systèmes d’IA selon une approche basée sur le risque.
Superposition des régimes
Lorsqu’un système d’IA traite des données personnelles, les deux cadres s’appliquent :
- Le RGPD demeure applicable à l’ensemble des traitements de données personnelles, qu’ils soient ou non opérés par une IA.
- L’AI Act ajoute des obligations relatives au cycle de vie du système (conception, entraînement, validation, exploitation) et introduit des exigences de documentation, transparence, gouvernance et contrôle humain.
👉 Cela implique que les DSI et RSSI doivent prévoir un double niveau de conformité : un registre des traitements conforme au RGPD, et une gouvernance technique conforme aux exigences de l’AI Act.
Obligations renforcées pour les systèmes à haut risque
L’AI Act catégorise les systèmes selon leur niveau de risque (inacceptable, élevé, limité, minimal).
Les systèmes à haut risque (ex. gestion des ressources humaines, infrastructures critiques, santé, éducation, justice) sont soumis à des obligations strictes :
- Systèmes de management de la qualité pour le cycle de vie du modèle
- Évaluation de conformité préalable à la mise sur le marché ou au déploiement
- Documentation technique exhaustive et registre public
- Traçabilité et auditabilité des décisions algorithmiques
- Surveillance humaine effective adaptée au cas d’usage
Ces obligations sont cumulatives avec celles du RGPD, notamment en matière d’information des personnes concernées, de protection des données dès la conception (privacy by design) et de sécurité des traitements.
Responsabilités des utilisateurs « simples »
Même lorsqu’une organisation n’entraîne pas elle-même de modèles et se limite à utiliser des solutions tierces (SaaS, API, assistants IA), elle reste soumise à des responsabilités :
- Analyse d’impact (AIPD) si les traitements de données présentent un risque élevé pour les droits et libertés des personnes (article 35 RGPD).
- Vérification des clauses contractuelles et du rôle de chaque acteur (responsable de traitement / sous-traitant).
- Contrôle de la localisation et de la conservation des données traitées par le fournisseur.
- Mise en place de procédures internes garantissant la traçabilité des usages et le respect des conditions d’utilisation de l’IA.
L’approche DELETEC
Chez DELETEC, nous intégrons l’IA dans les systèmes d’information en conciliant innovation et conformité. Notre approche inclut :
- Sécurisation des modèles, des API et des données exploitées
- Documentation et auditabilité des systèmes déployés
- Supervision humaine proportionnée aux cas d’usage
- Gestion des biais, de la transparence et du respect du RGPD dans les usages quotidiens
- Accompagnement à la mise en place de registres, d’AIPD et de démarches de conformité AI Act
👉 Vous préparez le déploiement de solutions IA dans votre organisation ?
DELETEC vous accompagne pour sécuriser vos projets et assurer leur conformité dès la conception.
