← Retour aux ressources
Pourquoi deux textes au lieu d'un
Lorsqu'un système d'intelligence artificielle est utilisé, la transparence est exigée à deux titres. D'un côté, le RGPD protège les personnes dont les données sont traitées par le système : il impose une information sur ce qui est fait des données. De l'autre, le règlement européen sur l'intelligence artificielle (RIA / IA Act, règlement UE 2024/1689) protège les personnes qui interagissent avec un système d'IA ou qui consomment des contenus générés par l'IA : il impose une information sur la nature artificielle de ce qu'elles voient ou entendent.
Les deux textes sont donc complémentaires. Une même situation peut imposer à la fois une information RGPD (parce que des données personnelles sont traitées) et une information IA Act (parce qu'il y a usage d'IA). Comprendre cette articulation est essentiel pour ne pas en oublier l'un des deux.
Côté RGPD : informer sur le traitement des données
Lorsque des données personnelles sont utilisées dans un projet IA — qu'il s'agisse de l'entraînement d'un modèle, du fonctionnement d'un chatbot ou de la prise d'une décision automatisée — les articles 12, 13 et 14 du RGPD imposent une information claire, accessible et compréhensible des personnes concernées.
Articles 13 et 14, RGPD · Informations à fournir
Lors de la collecte des données, le responsable du traitement doit fournir aux personnes concernées : son identité, les finalités du traitement, la base légale, les destinataires, la durée de conservation, l'existence des droits (accès, rectification, opposition, effacement), le droit d'introduire une réclamation auprès de la CNIL.
Le cas particulier des décisions automatisées
L'article 22 du RGPD renforce l'obligation de transparence lorsqu'une décision produisant des effets juridiques ou affectant significativement une personne est prise sur une base exclusivement automatisée. Dans ces cas, la personne doit être informée de la logique sous-jacente, de l'importance et des conséquences prévues du traitement, et elle doit pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision. Cette obligation concerne typiquement les outils de scoring crédit, certains systèmes de recrutement automatisés ou des décisions algorithmiques d'attribution d'aide.
La CNIL a précisé dans ses recommandations sur l'IA (séries 2024-2025) que cette information doit être adaptée à la complexité technique des systèmes d'IA. Elle peut prendre la forme de schémas, d'explications par couches (de l'information générale à l'information détaillée pour qui souhaite approfondir) et doit distinguer clairement la base d'entraînement, le modèle et les sorties du modèle. Pour aller plus loin sur ce sujet, consultez notre article RGPD et intelligence artificielle : ce que dit la CNIL.
Côté IA Act : informer sur la nature artificielle
Le règlement européen sur l'intelligence artificielle pose une obligation distincte, centrée sur la nature même du système. L'article 50 du RIA impose des obligations de transparence applicables à certains systèmes d'IA, indépendamment de leur qualification en tant que systèmes à haut risque. L'objectif est que les personnes sachent qu'elles interagissent avec une IA ou qu'un contenu a été produit par une IA.
Quatre situations sont visées par l'article 50 :
Cas 1 · Interaction avec un système d'IA
Chatbots, assistants vocaux, agents conversationnels
Le fournisseur doit s'assurer que la personne est informée qu'elle interagit avec un système d'IA, sauf si cela est manifestement évident pour un utilisateur normalement averti dans le contexte d'usage.
Cas 2 · Génération de contenus synthétiques
Images, vidéos, sons ou textes générés par IA
Les fournisseurs de systèmes d'IA générative doivent veiller à ce que les contenus générés soient identifiables comme tels, par un marquage technique lisible par machine (filigrane numérique, métadonnées, etc.).
Cas 3 · Reconnaissance des émotions et catégorisation biométrique
Outils d'analyse comportementale, segmentation biométrique
Le déployeur doit informer les personnes physiques exposées à ce système de son fonctionnement. Le traitement des données reste par ailleurs soumis au RGPD.
Cas 4 · Deepfakes et contenus manipulés
Hypertrucages d'images, de vidéos, de sons
Le déployeur doit indiquer que les contenus ont été générés ou manipulés par une IA. Des exceptions existent pour les œuvres artistiques, satiriques ou de fiction, dans la mesure où l'étiquetage n'entrave pas la jouissance de l'œuvre.
📅 Calendrier d'application : les obligations de transparence de l'article 50 du RIA s'appliquent à compter du 2 août 2026. Toutes les organisations qui utilisent ou déploient des systèmes d'IA générative dans l'Union européenne sont concernées.
Comment articuler RGPD et IA Act dans la pratique
Lorsqu'une organisation déploie un système d'IA traitant des données personnelles, elle doit conduire une double analyse : RGPD pour la protection des données, IA Act pour la nature du système. Voici comment se combinent les deux logiques.
Logique RGPD
- Quoi ? Les données personnelles utilisées
- Qui informer ? Les personnes dont les données sont traitées
- Sur quoi ? Finalité, base légale, durée, droits
- Quand ? Au moment de la collecte ou avant
- Articles clés : 12, 13, 14, 22
Logique IA Act
- Quoi ? Le système ou le contenu IA
- Qui informer ? Les personnes qui interagissent ou consomment
- Sur quoi ? Nature artificielle du système ou du contenu
- Quand ? Au moment de l'interaction ou de la consultation
- Article clé : 50
Exemple : un chatbot de service client utilisant les données du CRM
Une entreprise déploie un chatbot d'IA générative qui répond aux questions des clients en s'appuyant sur les données du CRM. Trois informations distinctes doivent être données :
D'abord, au titre du RGPD, la politique de confidentialité doit indiquer que les données du CRM sont utilisées pour alimenter un système d'IA conversationnelle, préciser la base légale du traitement et expliquer les droits des personnes — le tout selon les articles 13 et 14. Ensuite, au titre de l'article 50 du RIA, le chatbot doit clairement signaler qu'il s'agit d'un système d'IA dès le début de la conversation. Enfin, si certaines réponses sont produites de manière automatisée et ont des conséquences pour le client (par exemple un refus de remboursement automatique), l'article 22 du RGPD impose d'informer le client de la logique sous-jacente et de prévoir un recours humain.
Les bonnes pratiques pour une transparence efficace
L'expérience montre que la transparence est efficace quand elle est intégrée dès la conception du système, pas ajoutée a posteriori. Quelques principes à retenir :
Adapter le niveau de détail au public. Une information juridique exhaustive est nécessaire pour la conformité, mais elle doit être complétée par une information claire et accessible — schémas, exemples concrets, langage courant — pour que les personnes la comprennent vraiment.
Distinguer les niveaux d'information. Un premier niveau court et lisible (par exemple un message d'accueil "Vous discutez avec un assistant virtuel") complété par un lien vers une page détaillée présentant les finalités, les bases légales, les sources de données et les recours disponibles.
Étiqueter visiblement les contenus générés. Pour les contenus synthétiques, un marquage visible accompagne le marquage technique. Le projet de Code de bonnes pratiques de la Commission européenne propose une icône commune au niveau de l'UE pour signaler les contenus générés par IA.
Documenter les choix. Comme pour toute conformité, la transparence doit être documentée : modèles d'information, captures d'écran des interfaces, registre des supports utilisés.
Pour aller plus loin
La transparence est l'une des nombreuses dimensions de la conformité IA. Pour aller plus loin sur les obligations applicables à vos projets, consultez les ressources suivantes :
Notre article RGPD et intelligence artificielle : ce que dit la CNIL détaille les quatre séries de recommandations publiées par la CNIL entre 2024 et 2025 sur l'application du RGPD aux systèmes d'IA. Notre page IA responsable présente l'accompagnement proposé par Soéthik pour cadrer vos projets IA. Pour les questions spécifiques de protection des données, consultez la page protection des données personnelles et notre article sur l'AIPD, qui est souvent obligatoire dans les projets IA à risque élevé.
Vous déployez de l'IA ?
Je peux vous accompagner dans l'analyse de transparence RGPD et IA Act de vos systèmes.