fr
Publications

AI Act et RGPD : comment les DPO peuvent piloter la conformité IA

Publié le 2 juillet 2025
conformité AI Act DPO

Pourquoi le DPO est-il un atout pour la conformité à l’AI Act ? 

L’AI Act, récemment adopté, impose un cadre réglementaire strict pour encadrer les systèmes d’intelligence artificielle (SIA), en particulier ceux à haut risque. Pour les organisations privées comme publiques, cela implique une adaptation de leurs pratiques de gestion de la conformité.  

Bonne nouvelle : les méthodes et outils déjà déployés par les DPO dans le cadre du RGPD peuvent être adaptés pour sécuriser les projets IA tout au long de leur cycle de vie. 

Attention toutefois  : on le verra au fil de cet article et en conclusion, le DPO et les outils du DPO ne peuvent se suffire pour réussir la conformité à l’AI Act ! 

Mais commençons par découvrir ce qui existe déjà dans la mallette du DPO qui et peut être mobilisé pour la sécurisation des SIA. 


Étape 1 – Identifier et classifier les systèmes d’IA 

Cartographier les usages et les dépendances aux SIA 

Comme pour les traitements de données personnelles, les systèmes d’IA doivent être identifiés, cartographiés et classifiés selon leur niveau de risque. Cela implique : 

  • La création de cartographies des processus et des dépendances aux systèmes IA 
  • L’usage de questionnaires de détection des SIA 
  • La cotation des risques des SIA 
  • La documentation dans le registre des traitements 
 

Évaluer les risques associés à chaque système IA et tenir un Registre 

Comme pour les traitements de données, les SIA doivent être analysés pour être classifiés et enregistrés, et notamment selon : 

  • Leur finalité 
  • Leur modèle (génératif, analytique…) 
  • Les données mobilisées, leur sensibilité… 
  • Les personnes concernées par les traitements comme par les SIA, 
  • Les impacts potentiels sur les personnes : biais, discrimination, décisions arbitraires, décisions avec impacts négatifs 
  • Les impacts sociaux, sociétaux et environnementaux,  
  • Les mesures techniques et organisationnelles, comprenant notamment pour les SIA des exigences de vérification des résultats et des impacts. 
 

Étape 2 – Évaluer et maîtriser les risques tout au long du cycle de vie 

Appliquer la logique de protection dès la conception 

La Privacy by Design devient ici une IA by Design

  • Identification préalable des finalités 
  • Identification des responsabilités 
  • Description des traitements effectués, et notamment des composantes des IA, LLM, cycle des données… 
  • Évaluation des risques en amont 
  • Tests sur jeux de données (c’est la partie plus spécifique pour les SIA, même si elle est recommandée aussi pour les traitements de données personnelles) 
  • Correctifs et recettage itératif jusque sécurisation maximale 
  • Déploiement contrôlé  
  • Traçabilité des actions 
  • Contrôles et audits réguliers. 
 

Minimiser l’utilisation des données 

La minimisation reste un principe fort que ce soit pour des traitements de données personnelles ou des SIA : 

  • Identification des données utilisables 
  • Analyse de la nécessité de traiter des données brutes 
  • Analyse des impacts à long terme des traitements sur des données personnelles > dont profilage, décisions automatisées… 
  • Déploiement de minimisations des données :
    1. Minimisation de la collecte initiale
    2. Restrictions des collectes depuis les bases de données existantes pour les finalités complémentaires en cas de réutilisation pour une nouvelle finalité (filtrage dans la constitution du datalake)
    3. Exclusion de données particulièrement à risques ou non nécessaires dans la finalité du SIA
    4. Anonymisation des jeux de données
    5. Pseudonymisation avec restrictions fortes sur les clés de rétablissement de la donné source nominative. 
  • Déploiement de minimisations des processus de traitements : 
  • Destruction des données non nécessaires :
    1. Jeux intermédiaires, recettes…
    2. Résultats nominatifs non nécessaires
    3. Profilages dangereux
    4. Et toutes les données analysées dans la minimisation. 

 

Auditer les fournisseurs et partenaires 

Un fournisseur d’IA est tout organisme qui «développe un système d’IA ou le fait développer, en vue de sa mise sur le marché ou de sa mise en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ». 

L’AI Act introduit de nouvelles responsabilités pour les fournisseurs de SIA. Il est indispensable de : 

  • Déployer un Questionnaire fournisseur 
  • Intégrer le questionnaire dans les achats 
  • Analyser les retours, auditer, éventuellement tester et recetter 
  • Décider de l’utilisation ou non du SIA et des modalités de sécurisation 
  • Encadrer contractuellement 
  • Auditer régulièrement (risques d’évolutions non maîtrisées) 

 

Mettre en place des audits internes 

Les SIA évoluent rapidement. Il est crucial d’instituer un processus de révision continue

  • Mise à jour documentaire 
  • Suivi des versions et des usages 
  • . Traitements de données et SIA sont vivants : 
    1. Évolutions techniques internes (versions)
    2. Evolutions des usages et données insérées, nouvelles finalités
    3. Environnement (attaques, influences)
    4. Apprentissage des SIA 

Le DPO préconise une démarche visant à mettre en place des processus de révision et d’audit adaptée aux SIA 

  • Contrôler régulièrement et directement par les exploitants interne le SIA et ses résultats obtenus, avec vérification des résultats et de la pertinence au regard d’une part des finalités et d’autre part des risques et impacts  
  • Surveiller en continu la sécurité des données et SIA 
  • Suivre toutes évolutions, réanalyser le risques 
  • Modifier la documentation et les contrats 
  • Auditer, via des audits internes ou commandés à des organismes indépendants 

 

Étape 3 – Réaliser une analyse d’impact IA (AIPD) 

En premier lieu, côté DPO, tout SIA contenant des données personnelles doit faire l’objet d’une AIPD dès que des risques élevés pour les personnes sont identifiés. 

Par ailleurs, pour conduire une analyse d’impact SIA, on peut s’adosser sur la méthodologie de l’AIPD : 

Méthodologie couvrant les finalités, la conformité et l’analyse des risques 

Nécessité d’ouvrir l’analyse aux autres composantes du AI Act : impacts, sécurité, éthique et RSE, gouvernance, apprentissage, déviances… 

 

AIPD vs. DPIA : deux analyses complémentaires 

Critères AIPD (AI Act) DPIA (RGPD)
Objectif Risques liés à l’IA Risques liés aux traitements de données
Analyse obligatoire ? Oui (hauts risques, usages publics) Oui (risques élevés)
Contenu attendu Description du système, risques, mesures Finalités, traitements, mesures techniques
Documentation Documentation technique requise Disponible pour l’autorité de contrôle
Suivi Revue continue requise Revue périodique recommandée

 

Étape 4 – Gouverner les systèmes d’IA 

Définir les responsabilités des acteurs 

Comme pour le RGPD, l’AI Act introduit des notions de responsabilités à différents degrés. Chaque responsable, selon son implication : 

  • doit s’assurer de ses obligations  
  • et est assujetti à un régime de sanctions spécifique.  

Toutefois, si le DPO est coutumier des rôles différents, les responsabilités IA sont différentes ; pas de Responsable de traitement, Sous-traitant ou responsable conjoint mais l’AI Act introduit des rôles spécifiques : 

  • Fournisseur (provider) : Celui qui développe un système d’IA. 
  • Déployeur (user) : Celui qui utilise le système d’IA à des fins professionnelles. 
  • Importateur : Fait entrer un système d’IA sur le marché européen. 
  • Distributeur : Met sur le marché un système d’IA sans l’avoir modifié. 

Il faut définir et documenter les responsabilités, au même titre que dans le RGPD. 

 

Mobiliser une gouvernance IA transverse 

Outre la Direction générale, les métiers, le DPO, le RSSI et la DSI déjà impliqués dans la conformité protection des données personnelles, d’autres acteurs doivent être impliqués : 

  • Data owners : ce sont souvent leurs données métiers qui sont traitées dans les SIA 
  • Data analysts : au cœur de l’exploitation des SIA, ils peuvent documenter les intrants et les sortants, les mécanismes et langages, les résultats des tests et productions… 
  • Data governors / officers : ceux qui gouvernent la donnée, globalement pour l’organisation ou par secteur / BU… doivent prendre une place stratégique dans la responsabilité sur la conformité des SIA 
  • Filière RSE / éthique : les impacts humains, notamment en termes de risques de discriminations, et environnementaux doivent être mesurés et contraignent la possibilité d’utiliser ou non des SIA 
  • Ingénieries informatique et cybersécurité pour évaluer et sécuriser les risques intrinsèques au SIA (et notamment sur l’autoapprentissage, les biais et discriminations, etc.) et bien évidemment les risques de cybersécurité. 

 

Documenter, tracer, encadrer 

Comme pour le RGPD, une documentation exhaustive est requise, parmi lesquels des outils traditionnels du DPO qui peuvent être adaptés : 

  • Registre des SIA 
  • Politiques et procédures 
  • Documentation technique  
  • Instructions d’utilisation  
  • Conservation et accessibilité : spécificité forte AI Act 
  • Transparence pour les IA génératives 
  • Support pour la gestion de la conformité, audits, conformités connexes (dont RGPD) 
  • Contrats avec les fournisseurs 
  • Etc. 

 

Étape 5 – Etre réactif sur le fonctionnement et les incidents 

Comme pour le RGPD, la réactivité est fondamentale en cas d’IA, et le DPO a des outils pour faciliter cette démarche : 

  • Procédure de gestion des incidents 
  • Surveillance en continue 
  • Dispositif d’alerte 
  • Notification des incidents graves. 
  • Registre des incidents, communiqué à la Direction. 

 

Étape 6 – Informer les personnes et garantir leurs droits 

Le respect des droits fondamentaux est au cœur de l’AI Act, comme pour le RGPD, dont on peut s’inspirer pour construire la démarche et les outils : 

  • Transparence sur les usages de l’IA :  
    1. à partir des différents types de mentions d’information, tant les plus courtes souvent accolées aux formulaires au plus développées regroupées dans la politique de confidentialité.
    2. inscrire explicitement les SIA dans les formulaires, dans les politiques de confidentialités… finalités, moyens…
    3. sans oublier les mentions de génération par une IA lorsque c’est le cas, avec des risques de contenus trompeurs. 
  • Consentement préalable. 
  • Droit d’opposition, de recours, de réparation : on peut s’adosser aux outils déployés pour collecter et traiter les exercices des droits des personnes sur leurs données : procédure, formulaire ou adresse mail, processus de traitement des demandes, tenue d’un registre 
  • Protection contre les biais et discriminations : c’est ici une spécificité 
  • Droit à l’intervention humaine, qu’on retrouve déjà dans les obligations de l’article 22 du RGPD. 

 

Conclusion : les méthodes RGPD au service de la conformité IA 

La mise en conformité à l’AI Act peut sembler complexe, mais elle s’appuie sur des fondamentaux déjà maîtrisés par les DPO. En adaptant les outils de cartographie, d’analyse des risques, d’audit et de gouvernance déjà utilisés dans le cadre du RGPD, il est possible d’instaurer une conformité robuste, continue et documentée des systèmes d’IA. 

Il reste qu’il faudra à votre organisation : 

  • Choisir une gouvernance dédiée à l’IA : elle ne peut se mélanger intégralement à la protection des données personnelles. Devront notamment être associés les métiers de la gouvernance data, de la R&D et de la data analyse, les métiers de l’éthique et de la RSE… 
  • Choisir un pilote dédié à l’IA : si le DPO peut jouer un rôle, le AI Compliance Officer ou le Digital Ethics Officer (DEO) est une mission qui requiert d’autres compétences et une disponibilité spécifique. Si une personne peut tout porter, il faudra s’assurer de la capacité, des compétences… et de la disponibilité ! 
  • Construire des outils spécifiques à l’IA : et notamment, la cartographie des risques par SIA requiert des questionnaires d’audits et une documentation plus spécifique. S’adosser sur les outils du DPO ne peut donc suffire, mais c’est une belle boîte à outils pour commencer 

Les équipes de DPO Consulting et de son pôle IA & Innovations sont à votre écoute pour vous proposer un accompagnement sur mesure de vos besoins particuliers.

 N’hésitez pas à nous contacter : Prendre RDV avec un expert

Par Christophe Drot, Directeur général de DPO Consulting