L'Article 22 : le droit de ne pas être soumis à une décision automatisée

L'Article 22 du RGPD est la disposition centrale pour les systèmes d'IA qui influencent des décisions concernant des personnes. Il interdit les décisions "basées uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant une personne physique ou l'affectant de manière significative similaire."

Trois exceptions permettent de déroger à cette interdiction : le consentement explicite de la personne concernée, la nécessité pour l'exécution d'un contrat, ou une autorisation prévue par le droit de l'Union ou des États membres. Même dans ces cas, la personne conserve le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.

En pratique, les systèmes IA de scoring de crédit, de sélection de CV, de tarification d'assurance personnalisée et d'évaluation des performances professionnelles sont tous potentiellement soumis à l'Article 22. La qualification "uniquement automatisé" est interprétée strictement : une validation humaine purement formelle, sans réelle possibilité d'influencer la décision, ne suffit pas à écarter l'application de l'article.

L'AIPD : obligation et méthodologie

Une Analyse d'Impact sur la Protection des Données (AIPD, ou DPIA en anglais) est obligatoire avant tout déploiement d'un système d'IA qui présente un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste des types de traitement qui exigent systématiquement une AIPD, cette liste inclut explicitement les systèmes d'évaluation ou de scoring des personnes, les décisions automatisées ayant des effets significatifs, le traitement à grande échelle de catégories particulières de données, et la surveillance systématique d'espaces accessibles au public.

L'AIPD doit documenter : la description du traitement et de ses finalités, l'évaluation de la nécessité et de la proportionnalité, l'évaluation des risques pour les droits et libertés des personnes, et les mesures de protection prévues. Elle doit être menée avant le déploiement, pas après.

Données d'entraînement et base légale

L'utilisation de données personnelles pour entraîner des modèles d'IA requiert une base légale distincte pour cette finalité spécifique. La réutilisation de données collectées à d'autres fins pour l'entraînement IA n'est légale que si elle est compatible avec la finalité initiale, test de compatibilité que la CNIL applique de manière rigoureuse. Les modèles entraînés sur des données personnelles peuvent eux-mêmes constituer des données personnelles si ces données peuvent en être extraites, point que le CEPD a explicitement soulevé dans son avis sur les grands modèles de langage.