Conformité IA : vous avez déjà fait l'essentiel
Quand on lit l'AI Act pour la première fois, le réflexe est de se dire qu'il faut tout reconstruire. Nouveau cadre, nouvelles obligations, nouvelle documentation. Et pourtant, en travaillant sur le sujet avec des équipes conformité qui ont un programme RGPD sérieux derrière elles, on arrive systématiquement au même constat : la majorité du travail est déjà fait.
Non pas pour minimiser le texte, mais parce que les deux règlements reposent sur une même culture de la gouvernance, et que cette culture, les organisations qui ont fait leur RGPD l'ont déjà intégrée.
Deux registres distincts, mais des objets qui se recoupent
Le pilotage des systèmes d'IA prévu par l'AI Act n'est pas le registre des traitements du RGPD. Ce sont deux instruments distincts avec des finalités différentes, et il n'est pas question de les fusionner. Chez Dastra, nous proposons de réaliser ce pilotage à travers un registre des systèmes d'IA.
Il y a cependant des points de convergence dès qu'un système d'IA traite des données personnelles. Un jeu de données d'entraînement constitué à partir de données clients est à la fois un traitement au sens du RGPD et un asset technique central de la documentation AI Act. Le fournisseur du modèle est à la fois sous-traitant au sens de l'article 28 et fournisseur d'IA au sens du règlement européen. Le système de scoring ou de recommandation qui tourne en production figure dans les deux registres, avec des informations qui se répondent.
| Objet | Côté RGPD | Côté AI Act |
|---|---|---|
| Jeu de données d'entraînement | Traitement de données personnelles | Asset technique à documenter (origine, qualité, biais) |
| Fournisseur de modèle | Sous-traitant (art. 28) | Fournisseur d'IA (obligations de transparence) |
| Système de scoring / décision | Traitement avec prise de décision automatisée (art. 22) | Système d'IA à haut risque potentiel |
| AIPD | Évaluation d'impact sur la vie privée | Base de départ pour l'évaluation de conformité IA |
| Politique fournisseurs / DPA | Encadrement contractuel du sous-traitant | Clause AI Act sur les obligations du fournisseur |
Quand les deux registres sont bien articulés, la mise à jour d'une information dans l'un peut nourrir l'autre. Gérés en silos, ils conduisent à doubler inutilement le travail et à créer des incohérences entre deux sources qui décrivent en partie les mêmes réalités.
Ce que le RGPD a déjà construit
Le RGPD a forcé les organisations à développer des réflexes qui se transposent directement à la gouvernance IA, notamment l'évaluation des risques avant tout déploiement, l'encadrement contractuel des fournisseurs, la documentation des choix effectués et la désignation de responsables internes. L'AIPD en particulier est méthodologiquement très proche de l'évaluation de conformité que l'AI Act impose pour les systèmes à haut risque. Les questions posées ne sont pas les mêmes, mais la démarche qui consiste à identifier les risques, les évaluer et documenter les mesures prises est identique. Une équipe qui a produit des AIPD sérieuses a déjà les bons réflexes pour aborder ce que l'AI Act exige.
L'AIPD que vous avez produite l'an dernier est la meilleure base de départ pour votre évaluation AI Act.
Ce qui est réellement nouveau
L'AI Act introduit toutefois des obligations qui n'ont pas d'équivalent direct dans le RGPD.
| Obligation AI Act | Équivalent RGPD ? | Ce qu'il faut construire |
|---|---|---|
| Classification par niveau de risque | Non | Grille d'analyse à déployer sur l'inventaire des systèmes IA |
| Documentation technique (haut risque) | Partiellement (AIPD) | Enrichir l'AIPD existante avec architecture, métriques, robustesse |
| Marquage CE / conformité fournisseur | Non | Nouveau processus, implique les équipes techniques et achats |
| Post-market monitoring | Partiellement (révision périodique des traitements) | Formaliser la surveillance continue et les mécanismes d'alerte |
| Transparence envers les utilisateurs (IA) | Partiellement (information art. 13/14) | Adapter les mentions d'information pour couvrir la dimension IA |
Pour les systèmes à haut risque en particulier, la documentation technique va plus loin que ce qu'une AIPD couvre habituellement, en intégrant l'architecture du modèle, les données d'entraînement, les métriques de performance et les tests de robustesse. Cela implique de travailler étroitement avec les équipes techniques, en partant des assets déjà documentés côté RGPD pour les compléter plutôt qu'en repartant de zéro.
Par où commencer
La première chose utile est de faire un inventaire des systèmes d'IA déjà en production ou en cours de déploiement, puis de les qualifier selon la grille de risque de l'AI Act. Dans beaucoup d'organisations, cet exercice révèle que la grande majorité des systèmes tombe dans les catégories à risque limité ou minimal, ce qui réduit considérablement le périmètre des obligations renforcées.
Pour les systèmes qui relèvent du haut risque, la démarche la plus efficace consiste à partir de ce qui existe déjà tel que l'AIPD, la fiche fournisseur, les éléments du registre et à l'enrichir avec ce que l'AI Act exige en plus, plutôt que de traiter les deux exercices comme des projets séparés.
C'est ce qu'on a cherché à permettre dans Dastra : que les équipes puissent articuler leurs deux registres, identifier les objets communs et construire leur conformité IA sur ce qu'elles ont déjà bâti pour le RGPD. Le dernier kilomètre est réel, mais il est beaucoup plus court qu'il n'y paraît au premier regard.
Dastra fournit l'outil aux équipes juridiques et conformité pour la mise en place de leur programme de conformité IA. En savoir plus