Le RGPD s’applique dès lors qu’un traitement concerne des données personnelles. Mais dans le contexte des modèles d’intelligence artificielle (IA), beaucoup d’acteurs ignorent que cette règle s’applique dès la phase de développement, bien avant le déploiement d’un produit IA.
Ce guide vise à répondre à une question fréquente : mon modèle (ou mon système IA) est-il soumis au RGPD ? Nous vous proposons une méthode concrète pour le déterminer, accompagnée de tests, cas limites, exemples réels et outils pour documenter votre position.
notions fondamentales
- Modèle : structure entraînée à partir de données pour produire une sortie.
- Système d’IA : ensemble incluant modèle + pipeline + données + interfaces + surveillance.
- Donnée personnelle : toute information permettant d’identifier directement ou indirectement une personne.
- Traitement : toute opération sur des données personnelles (collecte, structuration, entraînement, inférence…).
- Rôles RGPD : responsable de traitement ou sous-traitant selon le contrôle exercé sur les finalités et moyens.
méthode de qualification RGPD
Question 1 : traitez-vous des données personnelles dans votre pipeline ? (entraînement, prompts, logs, feedbacks, etc.)
Oui → RGPD s’applique. Identifiez votre rôle.
Non → passez à la question suivante.
Question 2 : le modèle peut-il régurgiter des données personnelles de son entraînement ?
Oui ou doute → RGPD s’applique au niveau modèle.
Non, prouvé par test → RGPD peut ne pas s’appliquer au modèle. Attention aux données périphériques.
cas limites fréquents
- Données publiques : le RGPD s’applique même si la source est publique (ex. forum, github, réseaux sociaux).
- Modèles pré-entraînés : leur réutilisation peut être RGPD si vous en faites un usage opérationnel dans un système contenant des PII.
- Modèles open source : soumis ou non selon leur capacité de réidentification et les données environnantes.
tester le modèle pour prouver l’absence de données personnelles
- Effectuez des tests de régurgitation ciblés avec des canaris ou prompts sensibles.
- Utilisez des méthodes de membership inference si possible.
- Créez un rapport de test confidentiel avec vos résultats.
- Utilisez PANAME (outil CNIL/ANSSI) dès qu’il est disponible.
RGPD système vs modèle
Un modèle peut être considéré hors RGPD, mais être encapsulé dans un système (application, API, produit) qui, lui, traite des données personnelles via :
- prompts utilisateurs,
- logs d’interaction,
- intégration de données client (RAG, fine-tune, re-entraînement).
Conclusion : même si le modèle est neutre, le système complet peut être soumis au RGPD.
obligations complètes si le RGPD s’applique
- Base légale : souvent l’intérêt légitime (test de mise en balance indispensable).
- Information : créer des mentions claires, y compris pour collecte indirecte.
- Droits : organiser l’accès, l’opposition, l’effacement, la limitation.
- Sécurité : chiffrement, pseudonymisation, anti-poisoning, filtrage, traçabilité.
- Registre : documenter les traitements IA spécifiquement.
- AIPD : obligatoire si haut risque (génératif, décisionnel, sensible).
modèle de fiche de registre RGPD IA
Traitement : entraînement d’un modèle IA sur corpus interne/public.
Responsable : Nom / Département
Base légale : Intérêt légitime
Données : textes internes, historiques de chat, journaux de support.
Droits : formulaire web, délai 30j
Sécurité : chiffrement, logging, rédaction.
Durée : 12 mois max, revue trimestrielle
AIPD : réalisée / non requise
Tests d’extraction : oui / non + résultats
erreurs à éviter
- Considérer que les données publiques ne sont pas concernées par le RGPD.
- Oublier de séparer entraînement et déploiement dans votre analyse.
- Reutiliser les données client pour entraînement sans information claire.
- Ignorer les données de logs, prompts ou feedbacks utilisateurs.
