Débutant

GDPR & IA — Comprendre la protection des données

⏱ ~30 Durée · 7 Module

Pourquoi est-ce important?

L'IA traite d'énormes quantités de données — souvent sur des personnes qui ne le savent pas. Le GDPR vous donne des droits en tant que personne concernée. En tant qu'opérateur, vous avez des obligations. Connaître les deux est une condition préalable fondamentale pour une utilisation responsable de l'IA.

Ce que vous allez apprendre

Vous comprenez les 6 principes du GDPR, connaissez vos droits en tant que personne concernée et savez quelles obligations en matière de protection des données surviennent lors de l'utilisation de l'IA.

Lesen

GDPR et IA — les fondamentaux

~15 Min

DSGVO et IA — les Fondamentaux

Qu'est-ce qui est personnel ?

Données personnelles = toutes les informations se rapportant à une personne identifiable.

Pas seulement le nom et l'e-mail. Aussi : adresse IP, données de localisation, comportement d'achat, schémas de clics, identifiants d'appareils — et toutes les combinaisons pouvant mener à l'identification.

Les systèmes d'IA traitent presque toujours des données personnelles. Le DSGVO s'applique.

Les 6 Principes — en bref

Principe	Ce qu'il exige	Pertinence pour l'IA
Légalité	Base légale pour chaque traitement	Consentement, contrat ou intérêt légitime à définir explicitement
Limitation de la finalité	Uniquement pour la finalité indiquée	Entraînement IA ≠ droit d'utilisation pour d'autres fins
Minimisation des données	Minimum de données	Ingénierie des caractéristiques : uniquement les variables pertinentes
Exactitude	Maintenir les données à jour	Données d'entraînement obsolètes → discrimination obsolète
Limitation de la conservation	Pas plus longtemps que nécessaire	Politique de rétention pour les données d'entraînement
Intégrité & Confidentialité	Protection contre les abus	Contrôles d'accès, chiffrement

Vos droits en tant que personne concernée

Droit	Art.	Ce que vous pouvez demander
Accès	15	Quelles données ? Pourquoi ? Combien de temps ?
Rectification	16	Corriger les données incorrectes
Effacement	17	« Droit à l'oubli »
Limitation	18	Arrêter temporairement le traitement
Opposition	21	S'opposer au traitement
Pas d'automatisation complète	22	Vérification humaine pour les décisions significatives

L'Art. 22 est particulièrement pertinent pour l'IA : Les décisions automatisées ayant un impact significatif sur les personnes (refus de crédit, refus d'emploi, prix d'assurance) doivent être contestables.

Catégories particulières de données — protection accrue

Ces données ne peuvent en principe pas être traitées — sauf avec consentement explicite :

Données de santé
Origine ethnique
Opinions politiques
Convictions religieuses
Appartenance syndicale
Données biométriques
Orientation sexuelle

Pour les développeurs d'IA : Si les données d'entraînement permettent même implicitement de tirer des conclusions sur ces catégories — risque accru.

Suite : Obligations pour les opérateurs →

Quiz

Vérification rapide

1. Quel principe du GDPR exige que seules les données nécessaires soient collectées ?

A Transparence B Minimisation des données C Exactitude

2. Que signifie GDPR Art. 22 ?

A L'IA ne doit pas stocker de données B Les décisions automatiques ayant un impact significatif peuvent être contestées C Tous les systèmes d'IA doivent être certifiés

Merke

Aperçu du GDPR

6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
Art. 15: Du kannst fragen welche Daten gespeichert sind
Art. 16: Du kannst falsche Daten korrigieren lassen
Art. 17: Du kannst Löschung beantragen
Art. 22: Automatische Entscheidungen können angefochten werden

Lesen

GDPR dans l'utilisation de l'IA — Obligations pour les opérateurs

~15 Min

Obligations du GDPR lors de l'utilisation de l'IA

Avant le démarrage : Trois obligations

1. Définir la base légale

Aucun traitement de données sans base légale. Les plus importantes pour l'IA :

Base légale	Quand appropriée	Prudence
Consentement (Art. 6 Abs. 1 a)	Clairement volontaire, spécifique	Doit être révocable à tout moment
Contrat (Art. 6 Abs. 1 b)	IA nécessaire à l'exécution du contrat	Uniquement si vraiment nécessaire
Intérêt légitime (Art. 6 Abs. 1 f)	Optimisation interne	Documenter la balance des intérêts

Attention : « Nous voulons améliorer l'IA » n'est pas un intérêt légitime qui s'applique automatiquement. Une balance des intérêts documentée est nécessaire.

2. Vérifier la DPIA — quand est-elle obligatoire ?

Une évaluation d'impact sur la protection des données (DPIA) est obligatoire selon l'Art. 35 du GDPR dans les cas suivants :

Profilage systématique des personnes
Traitement de catégories particulières de données (→ Module 1)
Décisions automatisées avec un impact significatif
Surveillance des employés assistée par l'IA

Quelle ampleur ? La DPIA documente : Qu'est-ce qui est traité ? Pourquoi ? Quels risques émergent ? Quelles mesures de protection sont en place ?

3. Informer les personnes concernées

Avant le traitement, les personnes concernées doivent savoir :

Qui traite les données (nom, contact)
Pourquoi (objectif et base légale)
Combien de temps
À qui elles sont transmises
Si des décisions automatisées ont lieu (Art. 13 Abs. 2 f)

En opération : Deux obligations critiques

Signaler les violations de données (Art. 33)

En cas de perte de données, vol ou accès non autorisé :

72 heures pour signaler à l'autorité de protection des données
En cas de risque élevé pour les personnes concernées : également informer directement les personnes concernées (Art. 34)

Aucune exception pour les systèmes d'IA. Une fuite de données provenant d'un système d'IA déclenche les mêmes obligations.

Respecter les politiques de rétention

Les données d'entraînement de l'IA sont soumises aux mêmes obligations de suppression que toutes les autres données personnelles. « Nous avons besoin des données pour un réentraînement » n'est pas une raison de conservation illimitée.

Cas pratique : Le chatbot apprenant

Un chatbot de service client enregistre toutes les conversations « pour s'améliorer ». Dans les conversations, des données de santé sont parfois mentionnées.

Violations du GDPR :

Absence de consentement pour les données de santé (Art. 9 — catégorie particulière)
Violation de la finalité : conversation pour le service client ≠ consentement pour l'entraînement de l'IA
Les personnes concernées n'ont pas été informées de l'utilisation de l'IA

Ce qu'il faut faire :

Retirer immédiatement les données de santé des données d'entraînement
Informer l'autorité de protection des données (en cas de risque significatif)
Adapter le processus : obtenir le consentement avant l'utilisation pour l'entraînement

Résumé : La liste de contrôle du GDPR pour l'IA

Avant l'utilisation :
  ☐ Base légale documentée
  ☐ DPIA vérifiée (et effectuée si nécessaire)
  ☐ Personnes concernées informées
  ☐ Catégories de données vérifiées (catégories particulières ?)

En opération :
  ☐ Politique de rétention définie et mise en œuvre
  ☐ Contrôles d'accès actifs
  ☐ Processus pour les violations de données en place (délai de 72h !)
  ☐ Processus pour les droits des personnes concernées défini

Retour : Fondamentaux du GDPR | Commencer l'évaluation →

Praxisfall

Cas pratique : Le chatbot et les données sensibles

Situation

Un chatbot de service client collecte des historiques de conversation pour "s'améliorer". Un utilisateur se plaint que le chatbot connaît ses données de santé issues d'une conversation antérieure — bien qu'il n'ait jamais explicitement consenti à ce qu'elles soient enregistrées.

Quelles violations du GDPR sont présentes et que doit faire l'entreprise ?

Lösung anzeigen

Au moins deux violations du GDPR :

Absence de base légale (Art. 6) : Pour les données de santé (Art. 9 — catégorie spéciale), un consentement explicite est nécessaire. "Collecte de données d'entraînement" n'est pas une base suffisante.
Violation de la limitation de la finalité (Art. 5) : Les données issues d'une conversation ne peuvent pas être utilisées pour l'entraînement sans autre justification.

Ce que l'entreprise doit faire :

Immédiatement : Retirer les données de santé des données d'entraînement
Informer les personnes concernées (Art. 34 si risque élevé)
Signaler à l'autorité de protection des données si la violation est significative (Art. 33, délai de 72h)
Adapter le processus : Obtenir le consentement avant l'utilisation pour l'entraînement

Häufige Fehler:

✗ Ne rien faire — l'utilisateur a accepté les CGU

Les clauses des CGV qui restreignent les droits du GDPR sont nulles. Le consentement explicite pour les données sensibles est obligatoire.

Reflexion

Vos données

Pour quels services numériques as-tu le sentiment qu'ils en savent plus sur toi qu'ils ne devraient ?

Beispiele:

Werbung die zu gut zu meinen Gesprächen passt
Empfehlungen die zeigen dass mein Verhalten beobachtet wird
Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben

Wird nur in deinem Browser gespeichert.

Merke

Ce que vous emportez

Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
Zweckbindung: Daten nur für den angegebenen Zweck nutzen
DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren

Prêt pour l'évaluation?

Cours terminé ! Commencer l'évaluation.

Lancer l'évaluation →