AI Act et RGPD sur les données d’entraînement
L’AI Act et le RGPD sont deux textes distincts, avec des déclencheurs et des périmètres différents — mais ils se rejoignent sur les données d’entraînement.
Ce qui diffère
- Le RGPD se déclenche dès qu’il y a des données personnelles, quel que soit le système.
- L’AI Act (article 10) se déclenche pour les systèmes d’IA à haut risque, qu’il y ait ou non des données personnelles.
Ce qui se recoupe
- Provenance et base légale : l’article 10 exige de documenter l’origine ; le RGPD exige une base légale pour les données personnelles. Même travail de fond.
- Minimisation et finalité : les deux poussent à n’utiliser que ce qui est pertinent, pour une finalité définie.
- Profilage : un système qui profile des personnes tombe facilement côté haut risque et relève du RGPD.
Deux analyses d’impact à ne pas confondre
- AIPD / DPIA (RGPD) : impact sur la protection des données.
- FRIA (AI Act) : analyse d’impact sur les droits fondamentaux, attendue de certains déployeurs de systèmes à haut risque.
Elles ont des périmètres différents et peuvent devoir coexister.
Repère indicatif, pas un avis juridique. Articles et périmètres exacts à vérifier pour votre cas.