Digital Omnibus et RGPD : Articuler le RGPD avec l’émergence des systèmes et modèles d’IA

Digital Omnibus et RGPD : Articuler le RGPD avec l’émergence des systèmes et modèles d’IA

L’Union européenne a adopté un cadre horizontal sur l’intelligence artificielle à travers l’AI Act, qui encadre les systèmes d’IA et certains modèles. Dans ce contexte, le projet de Digital Omnibus cherche à ajuster le RGPD afin de répondre à une réalité opérationnelle désormais évidente : le développement, l’entraînement, les tests et l’exploitation de systèmes ou de modèles d’IA impliquent fréquemment le traitement de données personnelles, parfois à très grande échelle, et parfois avec des résidus difficiles à éliminer totalement.


L’avis conjoint du CEPD et du Contrôleur européen de la protection des données confirme d’ailleurs que cette question mérite bien un traitement spécifique. Les deux autorités reconnaissent qu’il existe, en pratique, des difficultés réelles liées à l’entraînement et au fonctionnement de certains systèmes ou modèles d’IA, notamment lorsqu’il est impossible d’éviter totalement le traitement incidentel et résiduel de catégories particulières de données.


Le cœur du changement : une nouvelle dérogation dans l’article 9 pour certains cas d’IA


Le projet introduit un nouveau motif de dérogation au principe d’interdiction de l’article 9(1) du RGPD. Il permettrait, sous conditions, le traitement de catégories particulières de données dans le contexte du développement et de l’exploitation d’un système ou d’un modèle d’IA.


L’idée générale est de distinguer deux situations.


A. Les données sensibles sont incidentes et résiduelles


Le texte vise principalement les hypothèses dans lesquelles des données sensibles apparaissent malgré des mesures de prévention, parce que les jeux de données sont massifs, hétérogènes ou imparfaits. L’avis conjoint confirme que, dans le cas de certains systèmes ou modèles d’IA, notamment les modèles généralistes, il n’est pas toujours possible d’éviter totalement ce type de traitement incident ou résiduel.


Dans cette hypothèse, le mécanisme envisagé repose sur une séquence d’obligations :

  • mise en place de mesures organisationnelles et techniques pour éviter la collecte et le traitement de données sensibles ;

  • obligation de retirer ces données lorsqu’elles sont identifiées dans les datasets ou dans le modèle ;

  • si la suppression est impossible ou implique un effort disproportionné, obligation de protéger effectivement ces données, afin d’empêcher :

    • leur utilisation pour produire des outputs,

    • leur divulgation,

    • leur mise à disposition à des tiers.


L’avis conjoint accueille favorablement cette logique dans son principe, mais recommande plusieurs améliorations importantes :

  • inscrire explicitement dans le texte les notions "d’incidental and residual” ;

  • clarifier la portée exacte de la dérogation ;

  • préciser que la suppression doit être impossible ou impliquer un effort disproportionné ;

  • exiger que cette appréciation repose sur un effort correctement documenté, tenant compte de l’état de l’art technologique et de l’impact sur les personnes ;

  • préciser que les garanties doivent s’appliquer tout au long du cycle de vie de l’IA, et inclure aussi la prévention du réemploi des données pour d’autres finalités.


B. Les données sensibles sont nécessaires à la finalité


À l’inverse, lorsque les données sensibles sont nécessaires à la finalité poursuivie, la logique “résiduelle” ne joue plus. Par exemple, si un système d’IA médical nécessite des données de santé pour être développé ou validé, la dérogation proposée ne s’applique pas : il faut alors se fonder sur l’une des bases déjà prévues à l’article 9(2) du RGPD. L’avis conjoint est très clair sur ce point.


Il faut également noter que le CEPD et le Contrôleur européen demandent une clarification importante : la dérogation ne devrait pas être comprise comme couvrant les données sensibles qui pourraient être collectées via les prompts lors du déploiement du système ou du modèle. Là encore, la portée exacte du mot “operation” est jugée trop floue et doit être précisée.


L’article 88c : intérêt légitime et IA, mais sans autorisation générale


Le projet ajoute un article 88c afin de préciser que, “là où c’est approprié”, certains traitements liés au développement et à l’exploitation de l’IA peuvent reposer sur l’intérêt légitime au sens de l’article 6(1)(f) du RGPD.


Sur ce point, l’avis conjoint est particulièrement nuancé.


Le CEPD et le Contrôleur européen reconnaissent que, dans certains cas, l’intérêt légitime peut effectivement servir de base légale pour des traitements liés à l’IA. Mais ils rappellent aussi que cette possibilité avait déjà été reconnue dans l’Opinion 28/2024 du CEPD, sur le fondement du droit actuel. En conséquence, ils estiment qu’il n’était pas nécessaire d’ajouter une disposition spécifique dans le corps même du RGPD, en particulier dans la partie normative du texte.


Autrement dit, la nouveauté n’est pas tant de “rendre possible” l’intérêt légitime que de politiser et expliciter ce recours dans le texte lui-même.


Les limites rappelées par l’avis conjoint

Le CEPD et le Contrôleur européen insistent sur plusieurs points :

  • le recours à l’intérêt légitime n’est jamais automatique ;

  • il suppose toujours le test en trois étapes prévu à l’article 6(1)(f) : intérêt légitime, nécessité, balance des intérêts ;

  • l’expression “where appropriate” utilisée dans la proposition est jugée trop floue et susceptible de réduire, plutôt que d’augmenter, la sécurité juridique.


Les garanties attendues : minimisation, transparence, opposition


Le texte proposé mentionne plusieurs garde-fous :

  • la minimisation dès la sélection des sources et pendant l’entraînement ou les tests ;

  • des mesures contre la rétention et la divulgation de données résiduelles dans le modèle ;

  • une transparence renforcée ;

  • et surtout un droit d’opposition inconditionnel.


L’avis conjoint accueille favorablement l’idée d’un tel droit d’opposition renforcé, mais il considère qu’il serait plus cohérent de l’intégrer directement dans l’article 21 du RGPD, plutôt que de créer une disposition autonome à l’article 88c. Les autorités insistent également sur le fait que ce droit devrait être porté à la connaissance des personnes aussi tôt que possible, afin qu’elles puissent l’exercer dès l’origine du traitement.


Elles soulignent d’ailleurs que cette précision est nécessaire, notamment parce qu’il peut être techniquement difficile de retirer ensuite des données personnelles déjà retenues dans un système ou un modèle.


Elles demandent aussi que la notion de “transparence renforcée” soit mieux définie, en précisant qu’il s’agit d’une information supplémentaire par rapport aux articles 13 et 14 du RGPD. Enfin, elles rappellent que les mesures de mitigation citées dans le texte ne doivent pas être confondues avec les mesures de conformité déjà exigées par le RGPD.


Une proximité troublante avec les pratiques industrielles récentes


Sur ce point, il convient de rester rigoureux. Le texte, à lui seul, ne permet pas de “prouver” un lobbying déterminé. En revanche, il existe une concomitance objective entre cette proposition et certaines stratégies déjà mises en œuvre ou revendiquées par de grands acteurs du numérique, notamment autour de l’idée suivante : entraîner des modèles sur des données accessibles, sans consentement explicite, mais avec un mécanisme d’opposition.


Le projet de Digital Omnibus s’inscrit donc clairement dans une bataille industrielle très réelle autour de la question suivante : peut-on développer et entraîner des systèmes d’IA en s’appuyant sur l’intérêt légitime et sur une logique d’opt-out renforcé ?


Sans affirmer l’existence d’une capture directe du texte, il faut constater que la proposition “colle” fortement à ces enjeux économiques contemporains.


Conclusion


Sur le volet IA, le projet de Digital Omnibus ne supprime pas le RGPD. Il cherche plutôt à mettre au carré plusieurs zones grises qui explosent déjà en pratique :

  • le traitement incident et résiduel de catégories particulières de données dans certains pipelines IA ;

  • l’encadrement de l’argument d’effort disproportionné, avec une exigence de protection effective et documentée ;

  • et la mobilisation plus explicite de l’intérêt légitime dans certains traitements liés au développement et à l’exploitation de l’IA.


L’avis conjoint du CEPD et du Contrôleur européen ne rejette pas cette orientation dans son principe. En revanche, il considère que le texte reste insuffisamment précis et doit être fortement clarifié pour éviter que la recherche de sécurité juridique ne se transforme en autoroute interprétative pour les acteurs les plus puissants.

Create a free website with Framer, the website builder loved by startups, designers and agencies.