L’IA (intelligence artificielle) transforme notre société, offrant des opportunités dans divers secteurs tels que la santé, les transports ou encore la finance. Une révolution technologique qui s’accompagne de défis majeurs en matière de protection des données personnelles. Selon une étude menée par notre partenaire DataLegalDrive, près de la moitié des entreprises auraient d’ores et déjà attribué le sujet de l’IA Act à leur DPO. Ces chiffres démontrent une reconnaissance croissante de son rôle dans la gouvernance de l’IA, le plaçant ainsi au cœur de son encadrement éthique et légal.
Explorons ensemble les responsabilités et les défis auxquels le Délégué à la Protection des Données est confronté, tout en soulignant les opportunités offertes par un encadrement responsable des technologies d’intelligence artificielle.
RGPD : vers une gouvernance de l’IA
Par gouvernance de l’intelligence artificielle on entend barrières garantissant que ses systèmes et modèles évoluent de manière éthique. Cette gouvernance, dont fait entre autres partie le Règlement Général de Protection des Données (RGPD), établit les normes dirigeant le développement de l’IA dans une direction respectueuse des droits de l’homme. En effet, le déploiement des systèmes d’IA doit être réalisé puis utilisé de manière responsable et éthique afin d’éviter les risques aux personnes qu’ils pourraient engendrer (décisions erronées, biaisées…). La gouvernance vise à mettre en place une surveillance adéquate afin d’aligner les caractéristiques de l’IA sur les normes éthiques déjà mises en place notamment en matière de protection des données à caractère personnel. Elle est essentielle pour encadrer la progression rapide des technologies d’IA (en particulier avec l’émergence de l’IA générative, nécessitant un encadrement solide). Si le règlement survole certains aspects de l’utilisation de ces nouvelles technologies (bon nombre de ses dispositions sont cohérentes pour les systèmes d’IA : traitement des données à caractère personnel des individus au sein de l’UE), un texte spécialement rédigé pour leurs usages était attendu.
L’IA Act vise à établir un cadre règlementaire harmonisé pour l’utilisation de l’intelligence artificielle dans l’Union Européenne. Le défi réside dans la nouveauté des problématiques qu’il aborde, contrairement au RGPD qui bénéficie d’une longue expérience en matière de protection des données. Cependant, de nombreuses similitudes entre les deux textes fournissent des repères familiers au DPO (gestion des risques, analyses d’impact, tenue de registres, minimisation des données, détermination des finalités…) La mise en place d’une telle gouvernance devient vitale à mesure de l’évolution sans précédent de l’IA. Politiques, directives et autres process constituent les différents contrôles qui pourront être mis en place afin d’encadrer les systèmes d’IA. Ce travail ne repose pas sur un seul individu, il implique plusieurs parties prenantes, dont le Délégué à la Protection des Données. En effet, il semble jouer un rôle essentiel dans l’évaluation et l’atténuation des risques, garantissant la conformité des systèmes d’IA aux différentes lois et règlementations en vigueur.
Défis rencontrés par le DPO (Délégué à la Protection des Données)
Le rôle du DPO n’a cessé d’évoluer ces six dernières années, prenant de l’ampleur avec l’utilisation grandissante des nouvelles technologies et les échanges de data de plus en plus conséquents. Le paysage complexe dessiné par l’arrivée de l’IA Act pose un enjeu majeur dans l’exercice de ses missions. Comme l’a souligné Paul-Olivier Gibert, Président de l’AFCDP (Association Française des Correspondants à la Protection des Données) : « revient ici la difficulté déjà rencontrée maintes fois par nos membres, d’accorder l’innovation technologique et la conformité réglementaire, voire l’éthique. Protéger sans freiner le développement et l’innovation. Le challenge ne va, encore une fois, pas être simple. »
Evaluation des risques liés aux traitements de données
Les systèmes d’IA nécessitent de grandes quantités de données pour fonctionner efficacement. La gestion de ces volumes, tout en respectant les principes de minimisation et de protection est un défi majeur auquel est confronté le délégué à la protection des données. Les technologies d’IA ont cela de fascinant qu’elles évoluent rapidement, avec de nombreuses mises à jour parfois difficiles à suivre.
Conformité aux règlementations en vigueur
La navigation entre les exigences du RGPD et celles de l’IA Act peut s’avérer complexe. Nécessitant une vigilance et une adaptation constantes face à l’évolution des pratiques. En garant du respect des droits et libertés des personnes, le DPO doit évaluer la conformité des traitements générés par l’IA aux grands principes du RGPD. Par exemple la nécessité, la proportionnalité du traitement, la gestion des droits des personnes concernées en passant par la mise en place de mesures techniques et organisationnelles adaptées, puis l’encadrement de la sous-traitance.
Transparence et explicabilité
Les algorithmes d’IA, souvent complexes rendent la transparence et l’explicabilité des décisions prises par IA difficile. Le délégué à la protection des données doit s’assurer que les personnes concernées puissent exercer leurs droits et soient suffisamment informées. Cela implique encore et toujours pour ce chef d’orchestre de la conformité, une collaboration étroite avec les équipes techniques afin de comprendre le fonctionnement de ces nouvelles technologies.
Cybersécurité
La montée en puissance de l’intelligence artificielle s’accompagne de son lot de failles de sécurité. Récemment, l’IA DeepSeek a subi une cyberattaque dès sa première semaine sur le marché européen. Les systèmes d’IA, cibles prisées des hackers, représentent un réservoir de données presque illimité, aux mesures de sécurité encore fragiles. Il incombe désormais à l’IA Act d’introduire les normes de sécurité les plus adaptées à ces modèles.
En résumé, 2025 sera une année marquée par des incertitudes à la fois politiques et économiques. Dans cet environnement instable, le rôle du Délégué à la Protection des Données devient plus stratégique qu’il ne l’a jamais été. Doté d’une compréhension approfondie des principes fondamentaux du RGPD, cruciale dans le contexte de l’intelligence artificielle, il apparait comme l’atout non négligeable d’une utilisation responsable et éthique des données à caractère personnel. En 2025, son rôle ne se réduira pas uniquement à garantir la conformité de sa structure, mais de manière plus générale, à soutenir la progression de l’innovation tout en protégeant les droits fondamentaux des personnes. Pour toutes ces raisons, chez dposystem, nous sommes convaincus que le DPO, s’il ne l’a pas déjà fait, doit se saisir des sujets de conformité à l’IA Act.
Chez dposystem, nous vous accompagnons non seulement dans la mise en conformité RGPD de votre entreprise à travers nos 4 offres (audit RGPD, DPO externe, support au DPO, sensibilisation RGPD) mais également dans une intégration éthique et responsable de l’intelligence artificielle à votre activité (conformité à l’IA ACT).
