Le RGPD, le Règlement Général sur la Protection des Données, est une loi européenne entrée en vigueur en 2018. Son objectif est simple : protéger les données personnelles des citoyens européens.

Une donnée personnelle, c'est toute information qui permet d'identifier une personne, directement ou indirectement. Votre nom, votre adresse e-mail, votre numéro de téléphone, mais aussi votre adresse IP, votre localisation ou même vos habitudes de navigation sur internet.

Concrètement, le RGPD impose à toute organisation, entreprise, association ou administration qui collecte des données personnelles de respecter plusieurs règles. Elle doit expliquer clairement pourquoi elle collecte ces données, obtenir votre consentement quand c'est nécessaire, ne garder les données que le temps nécessaire, et vous permettre de demander à consulter, corriger ou supprimer vos informations.

Ces droits, vous les exercez peut-être sans le savoir. Quand un site vous affiche une bannière de cookies, quand vous recevez un e-mail vous permettant de vous désabonner, ou quand une application vous demande l'autorisation d'accéder à votre localisation, c'est le RGPD qui oblige ces organisations à vous informer et à vous laisser le choix.

Le RGPD est une loi générale sur les données. Mais l'intelligence artificielle pose des questions que le RGPD seul ne couvre pas suffisamment.

Un système d'IA peut prendre des décisions automatiques qui affectent directement votre vie : refuser votre demande de crédit, sélectionner ou écarter votre CV, évaluer votre niveau de risque pour une assurance. Ces décisions sont prises par des algorithmes, souvent sans qu'un humain ne les valide une par une.

L'IA peut aussi être utilisée pour des usages particulièrement sensibles : reconnaissance faciale dans les espaces publics, surveillance de masse, notation comportementale des citoyens (ce que la Chine pratique avec son "crédit social"). Des usages qui soulèvent des questions fondamentales sur les libertés individuelles.

Enfin, certains systèmes d'IA fonctionnent comme des "boîtes noires" : personne ne peut vraiment expliquer pourquoi ils ont pris telle ou telle décision. Pour un juge, un médecin ou un conseiller bancaire, cette opacité est problématique.

C'est pour répondre à ces enjeux spécifiques que l'Union Européenne a créé l'AI Act.

L'AI Act est un règlement européen adopté en 2024, qui s'applique progressivement jusqu'en 2026. C'est la première loi au monde à encadrer l'intelligence artificielle de façon aussi large et contraignante.

Son principe central est simple : plus un système d'IA présente de risques pour les personnes, plus il est réglementé.

La loi distingue quatre niveaux de risque. Les systèmes à risque inacceptable sont purement et simplement interdits : la notation sociale des citoyens, la manipulation psychologique, ou la reconnaissance faciale en temps réel dans les espaces publics (sauf exceptions strictes pour les forces de l'ordre). Les systèmes à risque élevé sont autorisés mais très encadrés : ils concernent des domaines sensibles comme la santé, l'éducation, la justice, l'emploi ou les infrastructures critiques. Les entreprises qui les déploient doivent respecter des obligations strictes de transparence et de supervision humaine. Les systèmes à risque limité ont des obligations plus légères, principalement de transparence : si vous parlez à un chatbot, il doit vous dire que c'est une machine. Enfin, les systèmes à risque minimal, comme les filtres anti-spam ou les recommandations musicales, ne sont soumis à aucune obligation particulière.

Les outils d'IA générative comme ChatGPT, Claude ou Gemini ont un statut particulier : ils doivent notamment déclarer les données utilisées pour leur entraînement et respecter les droits d'auteur.

Ces deux textes ne se remplacent pas, ils se complètent. Le RGPD protège vos données personnelles, l'AI Act encadre les systèmes qui les utilisent pour prendre des décisions automatisées.

Prenons un exemple concret. Imaginez une entreprise qui utilise un logiciel d'IA pour trier les candidatures. Le RGPD s'applique parce que le logiciel traite des données personnelles (nom, parcours, e-mail des candidats). L'AI Act s'applique également parce que ce type de logiciel est classé à risque élevé, donc l'entreprise doit pouvoir expliquer comment fonctionne l'algorithme, garantir une supervision humaine, et permettre aux candidats de contester une décision automatique.

Dans la pratique, les deux règlements se renforcent mutuellement. Le RGPD vous donne le droit de ne pas faire l'objet d'une décision entièrement automatisée sans intervention humaine. L'AI Act oblige les développeurs et déployeurs de systèmes à risque élevé à intégrer cette supervision humaine dès la conception.

Pour les organisations, cela signifie qu'utiliser de l'IA sans tenir compte de ces règles expose à des sanctions importantes. Les amendes RGPD peuvent atteindre 4% du chiffre d'affaires annuel mondial. L'AI Act prévoit des sanctions allant jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires pour les violations les plus graves.

Que vous soyez citoyen, salarié ou responsable d'une organisation, ces deux textes ont des implications directes.

En tant que citoyen, vous avez des droits renforcés. Vous pouvez demander à accéder aux données qu'une organisation détient sur vous, les corriger ou les supprimer. Si une décision importante vous concerne (crédit, emploi, assurance), vous avez le droit de demander une explication et une révision humaine si elle a été prise automatiquement.

En tant que salarié ou agent public, si votre organisation utilise des outils d'IA pour évaluer les performances, gérer les plannings ou filtrer des informations, ces outils peuvent être soumis à l'AI Act. Votre organisation a l'obligation de vous en informer et de garantir qu'un humain reste dans la boucle pour les décisions importantes.

En tant que responsable d'une organisation, si vous déployez ou utilisez des outils d'IA qui traitent des données personnelles, vous êtes concerné par les deux textes. Le bon réflexe est de vous demander : mon outil collecte-t-il des données personnelles ? Prend-il des décisions automatiques qui affectent des personnes ? Si oui, il faut vérifier sa conformité.

Pour approfondir le sujet et comprendre comment utiliser l'IA de façon responsable au quotidien, TraveLearn propose une formation dédiée à l'IA, qui couvre notamment les limites, biais et risques liés à l'utilisation de ces outils.