INTELIGIA
Fiches pratiques CNIL Avril 2024

Comment concilier IA et RGPD ?

La CNIL a publié en avril 2024 ses fiches pratiques sur l'intelligence artificielle. Ces ressources présentent les règles d'application du RGPD aux systèmes d'IA et les recommandations pour un usage conforme.

1. Contexte et enjeux

L'utilisation de l'IA implique souvent le traitement de grandes quantités de données personnelles. Dans le secteur de la santé et du médico-social, ces données sont particulièrement sensibles et bénéficient d'une protection renforcée par le RGPD.

Les enjeux principaux sont :

  • Licéité du traitement des données par l'IA
  • Transparence sur l'usage des données
  • Minimisation des données collectées
  • Sécurité des traitements
  • Droits des personnes concernées

Bon à savoir : Le RGPD et l'AI Act sont complémentaires. La conformité au RGPD est un prérequis pour tout système d'IA traitant des données personnelles.

2. Bases légales du traitement

Tout traitement de données par un système d'IA doit reposer sur une base légale :

Base légale Cas d'usage typique
Consentement Recherche, applications optionnelles
Intérêt légitime Amélioration des services (après balance des intérêts)
Mission d'intérêt public Services publics (MDPH, hôpitaux publics)
Exécution d'un contrat Prestations de services

3. Droits des personnes

Le RGPD garantit aux personnes concernées des droits spécifiques face aux traitements IA :

Droit à l'information

Être informé de l'existence d'un traitement IA et de sa logique.

Droit d'accès

Obtenir une copie des données et des informations sur le traitement.

Droit de rectification

Corriger les données inexactes ou incomplètes.

Droit d'opposition

S'opposer au traitement, notamment au profilage.

Point de vigilance : L'article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques, sauf exceptions. Une intervention humaine significative est requise.

4. Spécificités des données de santé

Les données de santé sont des données sensibles bénéficiant d'une protection renforcée :

  • Traitement interdit par principe (art. 9 RGPD)
  • Exceptions : consentement explicite, soins, intérêt public santé, recherche
  • Hébergement certifié HDS obligatoire
  • Mesures de sécurité renforcées
  • AIPD obligatoire dans la plupart des cas

5. Analyse d'impact (AIPD)

Une Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire pour les traitements IA présentant un risque élevé.

Cas nécessitant une AIPD

  • Traitement à grande échelle de données de santé
  • Évaluation ou scoring de personnes
  • Surveillance systématique
  • Croisement de données
  • Personnes vulnérables (patients, résidents)

Contenu de l'AIPD

  • Description du traitement et finalités
  • Évaluation de la nécessité et proportionnalité
  • Identification des risques pour les personnes
  • Mesures pour traiter ces risques

6. Actions de mise en conformité

1

Cartographier

Identifier tous les traitements IA utilisant des données personnelles.

2

Documenter

Inscrire au registre des traitements et réaliser les AIPD.

3

Informer

Mettre à jour les mentions d'information et le registre.

4

Sécuriser

Mettre en place les mesures techniques et organisationnelles.

7. Ressources liées

Règlement

AI Act européen

Règlement complémentaire au RGPD
Plateforme

Health Data Hub

Plateforme nationale des données de santé

Besoin d'accompagnement RGPD et IA ?

INTELIGIA vous aide à assurer la conformité de vos projets IA.

Contactez-nous