RGPD et IA : Que dit la CNIL
Publié le 13 Septembre 2025 | Temps de lecture : 4 minutes
Face à l'explosion de l'intelligence artificielle dans les entreprises, une question revient constamment : faut-il appliquer le RGPD aux systèmes d'IA ? La CNIL, après des mois de travaux et de consultations publiques, apporte enfin des réponses claires et officielles.
Plan de l'article
- La position officielle de la CNIL : RGPD et IA, deux réglementations complémentaires
- Quand le RGPD s'applique-t-il aux modèles d'IA ?
- IA Act + RGPD : qui fait quoi ? Le tableau de répartition
- Les obligations concrètes selon la CNIL
- Calendrier 2025-2026 : les échéances à ne pas manquer
La position officielle de la CNIL : RGPD et IA, deux réglementations complémentaires
Première clarification importante : contrairement aux idées reçues, le RGPD ne bloque pas l'innovation en IA.
La CNIL l'affirme clairement dans ses recommandations publiées en juillet 2025.
Ce qui change fondamentalement
La CNIL a tranché : les deux réglementations se complètent sans se remplacer.Quand un système d'IA traite des données personnelles :
- Le RGPD s'applique pour la protection des données
- L’IA Act s'applique pour la sécurité et la transparence du système
- Les deux sont bligatoires simultanément
L'approche par les risques
| RGPD | IA Act | |
|---|---|---|
| Focus : | Protection des données personnelles | Risques du système d'IA |
| Approche : | Droits des personnes | Classification par niveau de risque |
| Périmètre : | Tous traitements de données personnelles | Systèmes d'IA selon leur risque |
Quand le RGPD s'applique-t-il aux modèles d'IA ?
La révolution de décembre 2024
Le Comité européen de la protection des données (CEPD) a adopté en décembre 2024 un avis crucial :
Les modèles d'IA entraînés sur des données personnelles relèvent généralement du RGPD en raison de leurs capacités de mémorisation.
Le test de conformité RGPD pour votre modèle d'IA
Question clé : Votre modèle d'IA mémorise-t-il des données personnelles ?
Pour le déterminer, vous devez réaliser une analyse incluant :
- Tests d'extraction de données personnelles
- Évaluation des risques de réidentification
- Tests d'attaques en réidentification
Résultat :
- ✅ Modèle anonyme = Pas d'application du RGPD
- ❌ Modèle mémorisant des données personnelles = Application complète du RGPD
Les secteurs les plus exposés
Attention particulière pour les entreprises utilisant l'IA dans :
- Ressources humaines : recrutement, évaluation des performances
- Santé : diagnostic, analyse d'images médicales
- Finance : scoring, détection de fraude
- Marketing : personnalisation, ciblage publicitaire
IA Act + RGPD : qui fait quoi ? Le tableau de répartition
Obligations du FOURNISSEUR de système d'IA
| RGPD | IA Act | |
|---|---|---|
| Finalité | Finalité déterminée pour l'entraînement | Documentation technique |
| Données | Minimisation des données | Tests de conformité |
| Sécurité | Sécurité des données | Système de gestion des risques |
| Transparence | Information des personnes | Marquage CE (risque élevé) |
Obligations du DÉPLOYEUR (utilisateur) de système d'IA
| RGPD | IA Act | |
|---|---|---|
| Impact | Analyse d'impact RGPD (AIPD) | Analyse d'impact sur les droits fondamentaux |
| Droits | Respect des droits des personnes | Surveillance humaine |
| Sécurité | Contrat avec le fournisseur | Formation des utilisateurs |
| Transparence | Registre des traitements | Monitoring de la performance |
Les obligations concrètes selon la CNIL
Pour les systèmes d'IA traitant des données personnelles :
-
Finalité déterminée
- Définir un objectif précis dès le projet
- Limiter les données d'entraînement au strict nécessaire
- Documenter l'usage prévu du système
-
Information des personnes
- Informer quand les données servent à l'entraînement
- Expliquer le fonctionnement du système d'IA
- Préciser les droits exerçables
-
Sécurité et confidentialité
- Mettre en place des filtres robustes
- Sécuriser les phases d'entraînement et d'inférence
- Prévoir des mesures contre les attaques adverses
-
Exercice des droits
- Faciliter le droit d'accès
- Prévoir des procédures pour rectification/effacement
- Documenter l'impossibilité technique le cas échéant
Calendrier 2025-2026 : les échéances à ne pas manquer
-
✅ Déjà en vigueur (février 2025)
- Interdiction des systèmes à risque inacceptable
- Obligation de formation pour les utilisateurs d'IA
-
📅 2 août 2025 (dans 5 mois)
- Obligations pour les modèles d'IA à usage général (ChatGPT, Claude, etc.)
- Nomination des autorités nationales compétentes
- Codes de conduite pour l'IA générative
-
📅 2 août 2026 (dans 17 mois)
- Application complète pour les systèmes à risque élevé
- Analyses d'impact obligatoires
- Procédures de conformité complètes
La réglementation IA évolue rapidement, mais les principes sont désormais clairs. Anticiper aujourd'hui, c'est sécuriser votre transformation digitale.
Besoin d'un accompagnement personnalisé pour votre conformité RGPD/IA ? Contactez nos experts Sprintalys pour un audit gratuit de votre situation.
Références
- CNIL, "IA : la CNIL finalise ses recommandations sur le développement des systèmes d'IA et annonce ses futurs travaux", juillet 2025
- CNIL, "Développement des systèmes d'IA : les recommandations de la CNIL pour respecter le RGPD", juillet 2025
- CNIL, "IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable", 2025
- CNIL, "Entrée en vigueur du règlement européen sur l'IA : les premières questions-réponses de la CNIL", août 2024
- CNIL, "Intelligence artificielle : le plan d'action de la CNIL", mai 2023
- CNIL, "Développement des systèmes d'IA : la CNIL publie ses recommandations sur l'intérêt légitime", 2025
- CEPD, Avis 28/2024 sur l'application du RGPD aux modèles d'IA, décembre 2024
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (IA Act)
- Commission européenne, Lignes directrices sur les modèles d'IA à usage général, juillet 2025