Lignes directrices 2025 du CEPD : évaluations des risques liés à la protection des données dans l'IA

Contexte : quel est le lien entre ces lignes directrices, d’une part, et le RGPD et la loi sur l'IA, d’autre part ?

Avant d'entrer dans les détails techniques, il est essentiel de comprendre comment ces lignes directrices s'inscrivent dans le cadre des réglementations existantes.

Directives du CEPD et loi européenne sur l'IA

La loi européenne sur l'IA est une réglementation horizontale générale qui régit les systèmes d'IA dans toute l'UE. Elle se concentre sur la classification des niveaux de risque liés à l'IA (risque faible à élevé), la sécurité des produits, la transparence et la surveillance. Il s'agit d'une législation de surveillance du marché, qui traite de la sécurité, de l'éthique et de l'accès au marché, en plus de la vie privée.

Les lignes directrices du CEPD se concentrent quant à elles spécifiquement sur l'application de la protection des données au sein des institutions européennes lors du développement et du déploiement de l'IA, y compris l'IA générative. Elles fournissent des recommandations pratiques, axées sur la protection des données, pour l'analyse des risques, la responsabilité et la protection des droits fondamentaux. Elles mettent l'accent sur l'interprétabilité, l'équité, la minimisation des données et les droits des personnes concernées.

Les lignes directrices du CEPD complètent donc la loi sur l'IA, dans le contexte spécifique des institutions de l'UE et de leurs obligations en matière de protection des données.

Lignes directrices du CEPD et RGPD

Le RGPD (règlement général sur la protection des données) est une législation générale de l'UE qui régit tout traitement de données à caractère personnel à l'aide de principes généraux tels que la licéité, la limitation de la finalité et les droits des personnes concernées.

Les lignes directrices du CEPD constituent une application spécifique de ces principes dans le cadre des systèmes d'IA au sein des institutions de l'UE. Elles traduisent les principes abstraits du RGPD en mesures techniques et organisationnelles concrètes visant à atténuer les risques liés à l'IA en matière de protection de la vie privée.

En résumé, le RGPD constitue le fondement de la législation en matière de protection de la vie privée, la loi sur l'IA fournit un cadre plus large pour la réglementation de l'IA dans l'ensemble de l'UE, et les lignes directrices du CEPD précisent les aspects de la protection des données liés à l'IA spécifiquement pour les institutions de l'UE.

Objectif et champ d'application

Le document publié fournit des lignes directrices pour la gestion des risques liés aux systèmes d'IA qui traitent des données à caractère personnel dans les institutions de l'UE. L'accent est mis sur la manière dont ces institutions peuvent garantir le respect des principes de l'EUDPR grâce à des mesures techniques et organisationnelles : équité, exactitude, minimisation des données, sécurité et exercice des droits. Cela doit être fait tout au long du cycle de vie de l'IA.

Ce que sont et ne sont pas les lignes directrices

Les lignes directrices fournissent un cadre analytique permettant d'identifier et de traiter les risques pour les droits fondamentaux lors du développement, de l'acquisition et du déploiement de systèmes d'IA. Elles ne constituent toutefois pas un « code de conformité » et ne remplacent pas l'évaluation propre au responsable du traitement.

L'accent est mis sur les risques de non-conformité avec certains principes de protection des données prévus par l'EUDPR pour lesquels une atténuation technique est possible. Cela n'exclut pas la nécessité d’identifier d’autres risques et de prendre des mesures supplémentaires.

Le cadre : cycle de vie de l'IA et gestion des risques

Gestion des risques selon la norme ISO 31000:2018

Les lignes directrices s'appuient sur la norme ISO 31000:2018, une norme internationale qui fournit des principes et des lignes directrices pour la gestion des risques. Cette norme décrit une approche globale pour identifier, analyser, évaluer, traiter, surveiller et communiquer les risques au sein d'une organisation. Elle aide les organisations à gérer les incertitudes et, ainsi, à mieux atteindre leurs objectifs en réduisant les menaces et en exploitant les opportunités.

Le CEPD se limite à la détection et au traitement des risques, tandis que l'évaluation de la probabilité et de l'impact est laissée à l'organisation elle-même.

Le cycle de vie de l'IA en phases

Le cycle de vie de l'IA est divisé en neuf phases :

• conception/analyse – phase conceptuelle ;
• acquisition et préparation des données ;
• développement ;
• vérification et validation ;
• déploiement – mise en œuvre ;
• exploitation et surveillance ;
• validation continue ;
• réévaluation ;
• retrait – mise hors service.

En outre, le cycle d'approvisionnement (appel d'offres, sélection, mise en œuvre) est décrit séparément, car des choix fondamentaux qui ont une incidence sur la protection des données sont déjà effectués à ce stade.

Transparence et explicabilité

Interprétabilité et explicabilité

Les lignes directrices établissent une distinction importante entre deux concepts :

• L'interprétabilité renvoie à la compréhension du fonctionnement interne d'un système d'IA ;
• L'explicabilité renvoie à la compréhension des décisions concrètes prises par le système.

Ces deux principes sont considérés comme des conditions préalables à la transparence, à la confiance, à la détection des erreurs et à l'auditabilité. Les systèmes de type « boîte noire » inexplicables constituent un risque explicite pour la protection des données.

Équité et lutte contre les biais

Sources de biais

• qualité et représentativité des données ;
• surajustement ;
• biais algorithmique ;
• biais d'interprétation .

Mesures visant à contrer les biais

• politique de qualité des données ;
• audits de biais ;
• mesures d'équité ;
• algorithmes équitables ;
• diversité des équipes .

Exactitude, minimisation des données et sécurité

Les lignes directrices distinguent deux formes d'« exactitude » : l'exactitude juridique des données à caractère personnel et l'exactitude statistique des modèles.

• résultats imprécis ;
• hallucinations ;
• dérive des données ;
• informations peu claires de la part des fournisseurs.

Le CEPD met en garde contre la collecte massive et non ciblée de données et propose des mesures telles que l’évaluation préalable de la pertinence, l’échantillonnage des données et l’anonymisation.

Droits des personnes concernées

Le document souligne qu'il est particulièrement difficile d'exercer les droits d'accès, de rectification et d'effacement avec des modèles d'IA complexes qui « absorbent » les données d'entraînement.

• métadonnées riches ;
• outils de récupération ;
• machine unlearning ;
• filtrage des résultats.

Responsabilités des sous-traitants

• Garanties et mesures ;
• Instructions et coopération ;
• Transparence ;
• Sécurité et droits ;
• Obligations contractuelles ;
• Sous-traitants.

Dans la pratique : la check-list de conformité

Les dernières pages des lignes directrices contiennent une check-list pratique qui indique, pour chaque phase du cycle de vie de l'IA, quels principes de protection des données peuvent être compromis, quels risques spécifiques y sont associés et à quelle phase du développement ou de l’appel d’offres ces risques se manifestent généralement.

Conclusion

Les lignes directrices du CEPD de novembre 2025 fournissent aux institutions de l'UE un cadre pratique et détaillé pour développer et déployer des systèmes d'IA de manière à garantir la protection des données.

Pour les juristes et les professionnels de la conformité, ces lignes directrices signifient :

• des outils concrets ;
• un langage commun ;
• une check-list pour la « due diligence ».

Les lignes directrices du CEPD ne sont pas des conseils non contraignants : elles constituent une étape importante vers une IA responsable au sein des institutions de l'UE.