AI Act et RGPD sur les données d’entraînement

L’AI Act et le RGPD sont deux textes distincts, avec des déclencheurs et des périmètres différents — mais ils se rejoignent sur les données d’entraînement.

Ce qui diffère

  • Le RGPD se déclenche dès qu’il y a des données personnelles, quel que soit le système.
  • L’AI Act (article 10) se déclenche pour les systèmes d’IA à haut risque, qu’il y ait ou non des données personnelles.

Ce qui se recoupe

  • Provenance et base légale : l’article 10 exige de documenter l’origine ; le RGPD exige une base légale pour les données personnelles. Même travail de fond.
  • Minimisation et finalité : les deux poussent à n’utiliser que ce qui est pertinent, pour une finalité définie.
  • Profilage : un système qui profile des personnes tombe facilement côté haut risque et relève du RGPD.

Deux analyses d’impact à ne pas confondre

  • AIPD / DPIA (RGPD) : impact sur la protection des données.
  • FRIA (AI Act) : analyse d’impact sur les droits fondamentaux, attendue de certains déployeurs de systèmes à haut risque.

Elles ont des périmètres différents et peuvent devoir coexister.

Repère indicatif, pas un avis juridique. Articles et périmètres exacts à vérifier pour votre cas.