Nous le savons déjà, mais l’intelligence articifielle bouleverse viscéralement le secteur de la protection des données. De plus en plus utilisée chaque jour, l’IA devient un outil clé de notre quotidien. Cet outil suscite des interrogations et même parfois des inquiétudes quant à son développement et à l’impact qu’a ce dernier sur les données à caractère personnel.
Les SIA (Systèmes d’Intelligence Artificielle) et leurs développements font monter les tensions au sein de la sphère politique européenne ainsi qu’internationale et font même parfois naître des discours pernicieux pour la protection des données à caractère personnel et sa réglementation. Récemment, c’est l’italien Mario Draghi qui prônait un discours accusateur et presque punitif du RGPD ce 16 septembre dernier lors d’une conférence organisée par Ursula Von der Leyen, présidente de la Commission Européenne. L’ancien premier ministre italien indiquait notamment que le bon développement de l’IA nécessite de grosses quantités de jeux de données, ce que le RGPD ne rendrait pas possible. Pour Mario Draghi, le terreau juridique de la protection des données ne semble pas assez fertile pour développer les systèmes d’IA et causerait notamment des incertitudes pour les développeurs de ces systèmes. Ces récents débats nous amènent à questionner la relation entre la protection des données et le développement de ces systèmes d’IA.
Mais alors la cohabitation entre l’intelligence artificielle et la protection des données est-elle réellement possible ?Un premier élément qui nous montre clairement que la protection des données semble être en désaccord avec l’intelligence artificielle, c’est le fait que les SIA ont été au coeur des sujets amenés face aux autorités de contrôles européennes de protection des données. Pourquoi les divers SIA et leurs modèles de fonctionnement ont-ils autant été pointés du doigt ces derniers temps ? Nous allons donc revenir sur des décisions ou des absences de décisions qui ont marqué la scène européenne en matière de protection des données.
I. Les Systèmes d’Intelligence Artificielle (SIA) : dans le viseur des autorités de protection des données européennes
Quand on parle de sanction à l’encontre de SIA, la première qui nous vient en tête est celle prononcée le 20 décembre 2024 par la Garante (homologue italien de la CNIL) à l’encontre de OpenAI et plus particulièrement à l’encontre de son service ChatGPT. Cette décision qui intervient avant l’entrée en vigueur du RIA (Règlement sur l’Intelligence Artificielle) soulève d’ores et déjà de nombreux problèmes intrinsèques au développement des SIA en matière de protection des données.
Dans cette décision, l’autorité de contrôle soulève plusieurs violations comme : le problème d’exactitude des données qui est souvent mise à mal dans les SIA, l’absence de vérification de l’âge des mineurs, l’insuffisance sur la politique de confidentialité et sur l’information apportée aux utilisateurs, l’absence de notification de violation de données personnelles et enfin l’absence de base légale justifiant le traitement des données personnelles. La Garante avait finalement conclu à une sanction pécuniaire d’un montant de 15 millions d’euros basée sur les griefs cités plus haut, montant qu’OpenAI a perçu comme disproportionné. Cette sanction est très novatrice sur la relation que doivent entretenir les SIA et la protection des données. En plus de cela, elle a eu un réel impact sur la prise de conscience des consommateurs de ces SIA qui sont constamment présents dans notre quotidien. Il est donc finalement conseillé aux utilisateurs de redoubler de vigilance quant aux pratiques intrusives de ces SIA.
Par la suite, le prisme adopté à l’issue de cette sanction semble pourtant tout autre. Effectivement, en début d’année 2025, la DPC (homologue irlandais de la CNIL) a ouvert une enquête concernant l’intelligence artificielle de X (Grok). En effet, le SIA d’Elon Musk avait été soupçonné d’utiliser la base de message de X (anciennement Twitter) pour développer son système d’IA, sans consentement préalable des utilisateurs. Or, le RGPD implique de base la récolte d’un consentement libre et éclairé des internautes avant d’utiliser leurs données à caractère personnel. C’est un consentement que X n’a pas souhaité mettre en place car ce dernier aurait été alors selon lui beaucoup trop contraignant.
Afin de justifier sa manœuvre, X avait indiqué que pour traiter ces données, le groupe se basait sur la base légale de l’intérêt légitime et que le traitement de données était donc légal. On aurait pu penser que la DPC sanctionnerait le SIA mis en place par X, au même titre que la Garante l’avait fait quelques mois plus tôt. Mais il n’en est rien. Pour le moment, la DPC (dont la position semble être reprise par la CNIL et validée par le CEPD (Comité Européen de la Protection des Données)) ne sanctionne pas cette pratique qui ne semble pas contraire au RGPD. Ici, nous avons l’impression que les entreprises visées, en se basant sur l’intérêt légitime, essayent de trouver les failles de la réglementation européenne en matière de protection des données pour pouvoir s’y glisser. Cela soulève de nombreux doutes et laisse apparaître un sentiment qui détonne : il semblerait qu’une interprétation abusive du RGPD soit effectuée.
Le CEPD a finalement adopté le 18 décembre 2024 un avis sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA. Ce qui est intéressant, c’est que cet avis qui porte notamment sur la base légale de l’intérêt légitime et son utilisation pour l’entrainement des SIA a été publié à la demande de la DPC. Cela traduit le réel besoin, par les diverses autorités européennes compétentes, d’un cadre pour pouvoir se prononcer sur les pratiques des SIA.
Ce type de manœuvre, basée sur l’intérêt légitime, reste donc pour le CEPD et pour l’ensemble des autorités compétentes en Europe, légal. Néanmoins, pour certains défenseurs de la protection des données comme Max Schrems, ces pratiques semblent totalement «contraires au RGPD».
On se souvient que, similairement à X, Meta souhaitait utiliser des messages et commentaires publiés par les utilisateurs sur Facebook et Instagram afin d’entraîner ses modèles d’IA. Cela n’a pas laissé l’agence de protection des consommateurs allemande indifférente puisque cette dernière lui a adressé une mise en demeure. L’agence de protection des consommateurs a été soutenue aussi par un recours de plusieurs associations allemandes rejeté par la cour de Cologne, cette dernière estimant que : «Meta poursuit un objectif légitime en utilisant ces données pour entraîner des systèmes d’intelligence artificielle». Même si la juridiction allemande ne semble pas convaincue du caractère liberticide de cette manœuvre, cela n’a pas empêché l’association NOYB (None Of Your Business) d’adresser une lettre de mise en demeure à Meta par la suite. Dans cette dernière, elle se base notamment sur des arrêts phares de la CJUE où l’intérêt légitime avait été écarté dans le cadre d’une visée commerciale.
CJUE : Bundeskartellamt – C-252/21 :
Dans cette affaire, la CJUE avait notamment indiqué que Meta ne pouvait se baser sur l’intérêt légitime pour de la publicité ciblée justement car les utilisateurs ne peuvent s’attendre à ce que leurs données soient utilisées pour ce type de pratique. Par analogie, NOYB indique que ces mêmes utilisateurs qui ont pu rentrer des données à caractère personnel sur les plateformes comme Facebook de 2004 à 2024 ne peuvent s’attendre à ce que ces mêmes données soient utilisées pour entrainer des SIA.
CJUE : Google Spain – C-131/12 :
La CJUE avait notamment souligné que le droit à l’oubli, principe numérique phare de la réglementation, devait pouvoir s’exercer librement et sans entraves. En revanche, pour NOYB il semble compliqué d’exercer ce droit à l’oubli lorsque les données sont intégrées à des SIA. Cela poserait problème puisque l’utilisation de la base légale de l’intérêt légitime permet aux personnes concernées par le traitement d’exercer l’entièreté des droits prévus par le RGPD, spécifiquement le droit de suppression des données.
II. Les SIA et la protection des données : le défilé des incohérences
Finalement, ces sanctions et ces absences de sanctions soulèvent une question : Pourquoi les objets d’IA sont-ils autant scrutés par les autorités de contrôle européennes ? Le problème ne viendrait-il pas d’une contradiction entre la réglementation concernant l’IA et la réglementation concernant la protection des données ? On observe finalement que la conciliation entre les deux réglementations relève parfois de l’obstination puisque l’essence même des SIA semble être en contradiction avec le RGPD sur certains points. Face à cette cacophonie juridique, la CNIL avait déjà pris les devants en émettant plusieurs articles et recommandations visant à encadrer l’utilisation des données par des systèmes d’IA suite à la prise de position du CEPD. Mais le constat de ces recommandations est qu’elles sont insuffisantes, certaines zones d’ombres demeurent et la maîtrise de l’IA en termes de protection des données semble échapper totalement au contrôle des autorités européennes en matière de protection des données. Les incohérences entre IA et RGPD sont donc nombreuses et fragilisent la conciliation entre les deux systèmes. Ci-dessous, nous allons énumérer ces incohérences :
• Le principe de minimisation (Article 5/1c) :
ce principe indique que : «Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.» Ainsi ne doivent être collectées que les données intrinsèquement nécessaires à la réalisation du traitement de données. Or, dans le cadre de l’entraînement des IA génératives, l’application de ce principe est mise à mal. Effectivement, il s’avère que l’entraînement des SIA nécessite un volume colossal de données. Il faut regarder les données d’entrainement utilisées par les SIA sous le prisme à la fois qualitatif et quantitatif. En effet, plus il y a de données et plus elles sont exactes, plus le SIA sera performant. Ce principe de minimisation entre aussi en collision avec l’article 9 du RGPD qui porte sur les données sensibles. Alors que le RGPD interdit le traitement de cette catégorie de données particulière (ex : origine raciale ou ethnique, opinion syndicale religieuse, données de santé…), le RIA lui ne le fait pas. Le RIA se réfère à la catégorie de données particulière visée par l’article 9 du RGPD pour classer certains cas d’utilisation des systèmes biométriques comme étant à haut risque (Cf. Considérant 54 du RIA). Cependant, il n’aborde pas du tout l’interdiction de la collecte de ce type de données dans le cadre de l’entrainement des SIA. Ces données sensibles sont donc susceptibles de faire partie des données d’entrainements des SIA, alors qu’elles sont protégées par le RGPD.
• Le principe d’exactitude (Article 5/1d) :
ce principe indique que les données à caractère personnel traitées doivent «être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder». Ce principe semble lui aussi mis à mal cette fois-ci, non pas par l’IA Act mais plutôt par le fonctionnement même d’un SIA. Il paraît visiblement compliqué d’effectuer un tri sur les données traitées dans le cadre des entrainements des SIA. Ainsi, la donnée n’est parfois pas qualitative et les SIA font donc apparaître ce que l’on appelle des « biais » (ex : résultats biaisés en fonction de préjugés humains qui faussent les données d’entrainements). Qu’en est-il donc de l’exactitude des données exploitées par l’IA et donc de la véracité de l’information octroyée ? Ajoutons à cela que les IA ont, pour la plupart, une partie probabiliste puisque certaines des réponses des SIA sont fondées sur un système de statistiques et de probabilités. Cela contredit donc déjà en partie le principe d’exactitude des données. D’ailleurs, dans la décision de la Garante sur OpenAi, ce point avait d’ores et déjà été soulevé. L’autorité italienne indiquait notamment qu’il était important que le responsable de traitement soit en mesure de fournir une information claire sur les mécanismes probabilistes permettant de créer les résultats des IA et sur leur niveau limité de fiabilité.
• Le principe de transparence (Articles 12, 13 et 14) :
ce principe incombe au responsable de traitement qui doit informer correctement les personnes concernées par le traitement de données. Les SIA doivent donc fournir une information claire, intelligible et accessible, aussi bien sur le fonctionnement de l’outil que sur l’usage des données traitées. Dans une logique de transparence, l’information fournie doit pouvoir être comprise de tous. Mais là encore, le RGPD se confronte à un problème inhérent à l’intelligence artificielle : la complexité. En effet, la transparence semble compliquée à mettre en œuvre pour des SIA puisque ces derniers sont extrêmement complexes, les mécanismes qui permettent leur création sont très novateurs et donc techniques. Comment garantir correctement cette exigence de transparence ? Dans la décision de La Garante, il avait été indiqué que ce principe n’avait encore une fois, pas été respecté. Notamment, la politique de confidentialité de ChatGPT était beaucoup trop légère et ne fournissait pas l’information nécessaire aux utilisateurs concernant leurs droits et le traitement fait sur leurs données.
D’autres incohérences viennent s’ajouter au tableau. Particulièrement, la difficulté à exercer le droit à l’effacement qui serait très complexe et qui coûterait bien trop cher aux développeurs des SIA ou encore, la difficulté de qualification du responsable de traitement entre le développeur et le fournisseur.
Finalement, ces incohérences suscitent certaines questions. Entre l’absence des moyens de contrôle renforcés, les nombreuses contradictions entre RIA et RGPD mais aussi en l’absence de sanction dissuasive car, peu sont prononcées et quand elles le sont, elles constituent des sommes dérisoires face aux portefeuilles des mis en cause, la protection des données et sa réglementation sont mises à mal. Ajoutons à ce mélange une pression internationale pour le développement et l’innovation numérique. Le cadre juridique européen de la protection des données semble réellement malmené et fait apparaître des zones d’ombres. Cela laisse présager que les autorités de contrôle ne sont pas prêtes à affronter tous les défis que l’IA et ses dérives leur réserve. La prise de position du CEPD quant à l’utilisation de l’intelligence artificielle semble être une décision prise dans la rapidité et remet en cause la rigidité du RGPD face à la pression de l’innovation sur la scène internationale. Mais alors, irait-on vers un assouplissement des règles du RGPD afin de pouvoir concilier innovation et protection des données ? Ou fonce-t-on plutôt vers une mainmise de l’IA sur la protection des données à caractère personnel ? Le RIA reste tout de même récent et il faut espérer certaines améliorations ou éclaircissements de ce dernier concernant des parties entrant en collision avec le RGPD.
Manon LEJEUNE
Déléguée à la protection des données
Sources
• 24/09/2025 – IA et RGPD : les recommandations de la CNIL à l’épreuve du droit – Guillaume Fricker
• 16/09/2025 – Mario Draghi appelle à un assouplissement du RGPD et à une suspension partielle de l’AI Act – Claudie Moreau et Maximilian Henning
• 11/05/2025 – Dans l’IA, Meta teste les limites du RGPD – Jérôme Marin
• 26/05/2025 – Utilisation des données personnelles pour l’IA : la justice allemande rejette un recours contre Meta
• L’IA à l’épreuve du droit : sanction infligée par la Cnil italienne à OpenAI – Livio Daniel Orsi
• 11/09/2025 – L’IA sous contrôle, le RGPD entre en scène – Bénédicte Vettier
• 07/03/2025 – Protection des données : Le CEPD renforce son rôle face à la DPC dans l’affaire Meta – Anne Christelle Georget
• 14/05/2025 – Cease and Desist – Training of Meta AI in the EU – NYOB/ European Center for Digital Rights
• 15/05/2025 – Entrainement des IA sur les données des européens : noyb menace Meta de class action – Martin Clavey
Article précédent
Cybermoi/s 2025Article suivant