Analyses d'impact RGPD et AI Act, obligations respectives et liens

Quels sont les périmètres respectifs de ces analyses d'impacts ? Dans quelle mesure ces obligations sont-elles susceptibles d'évoluer avec les règlements Digital Omnibus[1] et Omnibus on AI[2] ? Et quels sont les liens entre ces obligations ?

1. Analyse d'impact au titre du RGPD et Digital Omnibus

Pour mémoire, au titre du RGPD, l'article 35 impose au responsable du traitement l'obligation de réaliser une analyse d'impact en cas de risques élevés -en termes de gravité et de vraisemblance- pour les droits et libertés des personnes physiques :

"Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires."

L'obligation s'applique en particulier pour les traitements suivantes (1) (i) traitement automatisé, y compris le profilage, (ii) traitement à grande échelle de catégories particulières de données et (iii) traitement de surveillance systématique à grande échelle d'une zone accessible au public, et (2) pour les traitements figurant sur une liste établie par l'autorité de contrôle et communiquée au CEPD.

A ce titre, en France, la CNIL a publié une liste de traitements pour lesquels une AIPD est requise[3] - y incluant plusieurs types de traitements de données de santé, notamment ceux mis en œuvre par les établissements de santé ou ESM pour la prise en charge, ou par des responsables du traitement d'EDS, ou de traitements de données génétiques - , et une liste de traitement pour lesquels une AIPD n'est pas requise[4] - y incluant les traitements de données de santé nécessaires à la prise en charge d'un patient par un professionnel libéral exerçant à titre individuel-.

L'analyse doit contenir au moins :

"(a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement,

(b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,

(c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1, et

(d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées".

Le sous-traitant est tenu d'apporter son aide au responsable du traitement.

En cas de manquement à cette obligation, les responsables du traitement encourent jusqu'à 10 millions d'euros ou 2% du CA annuel mondial de l'exercice précédent.

La proposition Digital Omnibus vise à harmoniser, au sein de l'Union, "les listes des activités de traitement qui nécessitent, ou qui ne nécessitent pas, une analyse d’impact relative à la protection des données en prévoyant qu’une liste unique des opérations de traitement qui nécessitent, ou qui ne nécessitent pas, une analyse d’impact relative à la protection des données soit fournie au niveau de l’Union, contribuant ainsi à l’harmonisation de la notion de risque élevé". Le CEPD serait tenu d’élaborer des propositions pour ces listes. Il serait également tenu d’élaborer des propositions de modèle commun et de méthodologie commune pour la réalisation d’analyses d’impact relatives à la protection des données, que la Commission serait habilitée à adopter par voie d’acte d’exécution, après les avoir révisées, le cas échéant.

2. Analyse d'impact au titre du RIA et Omnibus on AI

Au titre du RIA, l'article 27 impose aux déployeurs "qui sont des organismes de droit public ou des entités privées fournissant des services publics et certains déployeurs de systèmes d’IA à haut risque" visés à l’annexe III, d'effectuer une analyse de l'impact sur les droits fondamentaux que l'utilisation de ce système peut produire. A ce titre les déployeurs doivent effectuer une analyse comprenant :

"a) une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination,

b) une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé,

c) les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation dans le contexte spécifique,

d) les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés (.) compte tenu des informations fournies par le fournisseur conformément à l’article 13,

e) une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation,

f) les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes."

Cette obligation s’applique à la première utilisation du système d’IA à haut risque. "Le déployeur peut, dans des cas similaires, s’appuyer sur des analyses d’impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d’impact existantes réalisées par le fournisseur."

Le Bureau de l’IA élabore un modèle de questionnaire, y compris au moyen d’un outil automatisé, afin d’aider les déployeurs à se conformer de manière simplifiée aux obligations qui leur incombent.

Une fois l’analyse effectuée, le déployeur en notifie les résultats à l’autorité de surveillance du marché, et soumet le modèle, rempli, dans le cadre de la notification.

La proposition Omnibus on AI prévoit des lignes directrices assorties d'un modèle pour l’analyse d’impact sur les droits fondamentaux, afin de faciliter le respect du RIA, "l’accent étant mis sur la fourniture d’instructions claires et pratiques pour appliquer le règlement sur l’IA parallèlement à d’autres actes législatifs de l’UE".

A défaut, le "régime de sanctions et autres mesures d’exécution" défini par l'état membre pourrait être appliqué.

3. Liens entre les analyses d'impact au titre du RGPD et du RIA

L'art. 27 de l'AI Act prévoit que si l’une des obligations relatives à l'analyse d'impact au titre du RIA est déjà remplie au moyen de l’analyse d’impact relative à la protection des données réalisée en application de l’article 35 du RGPD, l’analyse d’impact sur les droits fondamentaux au titre de l'AI Act complète ladite analyse d’impact relative à la protection des données.

La CNIL a eu l'occasion d'apporter de premiers éclairages sur l'articulation entre les exigences de documentation du RIA la réalisation d’une AIPD[5]. 

"Si elles s'inscrivent toutes deux dans une logique d'anticipation des risques et peuvent se recouper, il existe des différences notables entre l’AIPD et la documentation de la conformité au règlement sur l'IA".
Parmi les différences notables la CNIL relève que les analyses diffèrent dans leur champ d'application: certains systèmes d'IA n'étant pas classifiés comme à haut risque -et donc non concernés par l'analyse d'impact au titre du RIA- reposeront sur des traitements présentant des risques pour la protection des données personnelles, justifiant la réalisation d’une AIPD au titre du RGPD.

La CNIL relève que les acteurs en charge différeraient également : "D'autre part, il appartiendra au responsable du traitement en cause, que ce dernier concerne le développement ou le déploiement du système, de réaliser une AIPD, alors que les exigences de documentation du projet de règlement sur l'IA pèseront essentiellement sur le fournisseur du système d'IA." Aussi, d'après son analyse, le responsable du traitement est toujours l'acteur en charge de l'AIPD, que ce soit au stade du développement ou au stade du déploiement, tandis qu'au titre du RIA "les exigences de documentation du projet de règlement sur l'IA pèseront essentiellement sur le fournisseur du système d'IA" selon les termes de la CNIL.

Pourtant, l'obligation d'analyse d'impact au titre du RIA pèse sur le déployeur, lequel est le plus souvent également responsable du traitement au titre du RGPD au stade du déploiement du système d'IA, de sorte que l'acteur en charge de ces obligations respectives devrait en pratique être le plus souvent le même.

Dans le même sens, le sous-traitant (RGPD) et fournisseur (RIA) devra toujours apporter son concours au responsable du traitement déployeur, étant précisé que ce dernier établira l'analyse d'impact au titre du RIA sur la base d'une notice d'utilisation réalisée par le fournisseur, voire directement en s'appuyant "sur des analyses d’impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d’impact existantes réalisées par le fournisseur".

Ainsi, dès l'entrée en vigueur des dispositions du RIA applicables aux systèmes d'IA à haut risque relevant de l'annexe III, c’est-à-dire à compter du 2 août 2026, il appartiendra possiblement à certains responsables du traitement également déployeurs de réaliser une double analyse d'impact afin d'anticiper (i) les impacts sur les droits et libertés des traitements sur les personnes objets de ces traitements, et (ii) les incidences sur les "catégories de personnes physiques et les groupes susceptibles d’être concernés" par l'utilisation du SIA dans le contexte spécifique, lesquelles pourraient être les personnes dont les données sont traitées ou des utilisateurs par exemple.

De nouvelles réflexions et documentations à anticiper pour satisfaire aux obligations au titre du RGPD et du RIA… et à l'équilibre toujours fragile entre innovation et droits fondamentaux.