Le Règlement général sur la protection des données reste central face aux technologies émergentes en 2025.
Il établit des principes clairs qui orientent chercheurs, start-up et grands groupes technologiques.
A retenir :
- Information claire et accessible sur les données d’entraînement
- Droits d’accès, rectification et effacement facilités pour les personnes concernées
- Minimisation et sécurisation des bases d’entraînement par défaut
- Traçabilité des sources de données et documentation des traitements d’IA
Applicabilité du RGPD aux modèles d’intelligence artificielle
Après ce condensé des obligations, il faut préciser quand le RGPD s’applique aux modèles d’IA.
La question repose sur la présence de données personnelles dans les jeux d’entraînement et dans les sorties des modèles.
Critères d’applicabilité du RGPD aux modèles de langage
Ce point relie directement la théorie aux pratiques d’entraînement et d’exploitation des modèles de langage.
Selon le Comité européen de la protection des données, l’existence de données personnelles dans les jeux d’entraînement rend le RGPD applicable.
Selon la CNIL, il faut évaluer la mémorisation potentielle des données et la possibilité d’identification des personnes.
Critères d’applicabilité RGPD :
- Type de données présentes dans les jeux d’entraînement
- Niveau d’identifiabilité des personnes concernées
- Mécanismes de pseudonymisation et anonymisation
- Finalités prévues pour l’exploitation du modèle
Type de modèle
RGPD applicable
Points clés
Modèles de langage généraux (LLM)
Souvent applicable
Risque de mémorisation de données personnelles
Modèles anonymisés correctement
Pas applicable
Données irréversiblement anonymisées
Systèmes embarqués privés
Dépend
Selon collecte locale et finalités
Modèles entraînés sur tierces sources
Souvent applicable
Nécessité de vérifier licéité des sources
Mesures techniques pour protéger les bases d’entraînement
Ce point précise des actions concrètes pour diminuer les risques liés aux jeux de données utilisés pour l’IA.
Selon la CNIL, la sélection et le nettoyage des données restent des étapes déterminantes pour respecter le principe de minimisation.
Bonnes pratiques techniques :
- Pseudonymisation systématique avant stockage
- Contrôles d’accès stricts pour les jeux d’entraînement
- Audit régulier des jeux de données
- Chiffrement des archives de modèles sensibles
« J’ai réduit les risques en minimisant les données de test et en anonymisant les jeux sensibles. »
Claire L.
Informer les personnes et faciliter l’exercice des droits
Ce nouveau volet prolonge les obligations d’applicabilité et insiste sur l’information des personnes concernées.
Les modalités d’information peuvent varier selon les contraintes opérationnelles et les risques identifiés.
Modalités d’information adaptées aux sources tierces
Ce point met en relation la difficulté pratique de contacter individuellement chaque personne et les solutions proportionnées prévues par le RGPD.
Selon la CNIL, une information globale sur le site web, précisant catégories et sources principales, peut suffire dans certains cas.
Options d’information pratiques :
- Page dédiée sur le site listant catégories de sources
- Fiches projet expliquant finalités et garanties
- Portails d’accès centralisés pour les demandes
- Mécanismes de notification groupée lorsque approprié
« Nous avons centralisé les demandes et amélioré la traçabilité des réponses utilisateurs. »
Pauline M.
Exercer les droits dans un modèle entraîné
Ce point aborde les difficultés pratiques pour appliquer les droits d’accès, rectification et effacement au niveau des modèles.
Selon le CEPD, il convient d’innover pour permettre l’identification des données et proposer des solutions raisonnables aux demandeurs.
Mesures pour faciliter les droits :
- Mécanismes d’anonymisation réversible contrôlée pour vérification
- Interfaces de requête simplifiées pour les personnes concernées
- Procédures documentées pour l’évaluation des demandes complexes
- Délai aménagé lorsque l’effort technique est conséquent
Conformité pratique pour les acteurs technologiques
Ce chapitre s’appuie sur les obligations précédentes pour définir des actions opérationnelles chez les acteurs du secteur.
Les grandes entreprises technologiques ont des responsabilités particulières en raison de leurs capacités et ressources.
Bonnes pratiques pour développeurs et entreprises
Ce point propose des étapes concrètes pour intégrer la protection des données dès la conception des systèmes.
Selon l’Autorité italienne et plusieurs décisions récentes, la conformité technique et documentaire est indispensable pour éviter des sanctions lourdes.
Actions recommandées en interne :
- Réaliser des AIPD pour les systèmes à haut risque
- Appliquer la protection des données dès la conception
- Former les équipes produit aux principes du RGPD
- Documenter chaînes de traitement et sources de données
« La conformité a renforcé la confiance de nos clients et réduit les risques juridiques. »
Nathalie D.
Cas pratiques chez Microsoft, Google, Apple et autres acteurs
Ce point illustre comment les grandes entreprises adaptent leurs pratiques pour concilier innovation et protection des données.
Les exemples de Microsoft, Google, Apple, Facebook et Amazon montrent des stratégies variées de conformité et d’outillage.
Entreprise
Rôle dans l’écosystème
Mesure de conformité observable
Microsoft
Fournisseur de cloud et modèles
Outils de gouvernance de données et AIPD
Google
Fournisseur de données et modèles
Politiques de suppression et interfaces utilisateurs
Apple
Écosystème matériel et données locales
Limitation des transferts et anonymisation locale
Facebook
Grande plateforme sociale
Programmes de transparence et recours utilisateur
« Nous avons adapté notre gouvernance pour mieux documenter les flux de données. »
Lucas R.
Source : CNIL, « Recommandations IA », CNIL, 2025 ; Garante per la protezione dei dati personali, « Sanction OpenAI », Garante, 2024 ; EDPB, « Guidelines on AI and GDPR », EDPB, 2024.
