Conformité8 min de lecture

Quelles lois de confidentialité s'appliquent à l'IA ? La carte pratique

Trois questions décident : qui vous êtes, où sont vos personnes, quelles données vous touchez. La carte du RGPD, de l'AI Act et des régimes américains.

Par Pierre de ONYRI

Il n'existe pas une loi unique sur l'IA et la vie privée. Ce qui s'applique dépend de trois choses. Qui vous êtes. Où vivent les personnes dont vous traitez les données. Quelles données vous touchez. Le RGPD couvre les personnes situées dans l'Union européenne, quel que soit votre pays. Le Royaume-Uni applique un régime quasi identique. L'AI Act encadre les systèmes d'IA par niveau de risque, sans remplacer le RGPD. Aux États-Unis, il n'y a pas de loi fédérale générale : une mosaïque de lois d'État et de textes sectoriels prend le relais. Un fil rouge relie tous ces régimes : moins de données personnelles entrent dans l'IA, moins d'obligations pèsent sur vous.

Les trois questions qui décident

Avant de chercher un texte de loi, répondez à trois questions. Elles suffisent presque toujours à savoir où vous êtes.

  1. 1QUI êtes-vous ? Une entreprise, un hôpital, une école, une banque ? Certaines lois américaines ne visent que des catégories précises d'organisations.
  2. 2OÙ sont vos personnes ? Pas votre siège social : les personnes dont vous traitez les données. Le RGPD suit la personne, pas le code postal.
  3. 3QUELLES données touchez-vous ? Une adresse e-mail, un dossier médical, un bulletin scolaire, un compte bancaire ? La catégorie déclenche le régime.

Ces trois réponses vous placent sur la carte. Le reste n'est que du détail d'application.

UE et Royaume-Uni : le RGPD suit la personne

Le RGPD (règlement (UE) 2016/679) ne s'applique pas selon votre adresse. Il s'applique selon les personnes dont vous traitez les données. Son article 3 étend sa portée aux organisations situées hors de l'UE. Deux cas suffisent : vous proposez des biens ou services à des personnes dans l'UE, ou vous suivez leur comportement. Une entreprise américaine ou britannique qui colle les coordonnées d'un client européen dans un outil d'IA est donc concernée. Le Royaume-Uni applique un régime jumeau : le UK GDPR, lu avec le Data Protection Act 2018.

Dès que des données personnelles entrent dans un outil d'IA, quatre devoirs se déclenchent.

  • Une base légale (article 6). Vous devez pouvoir dire pourquoi ce traitement est licite.
  • La minimisation des données (article 5, paragraphe 1, point c). Les données doivent être adéquates, pertinentes et limitées au strict nécessaire.
  • Un contrat de sous-traitance (article 28). Si un fournisseur traite les données pour votre compte, il faut un accord écrit aux clauses contraignantes.
  • Une protection renforcée des données sensibles (article 9). Santé, biométrie, religion, appartenance syndicale, vie sexuelle, opinions politiques : interdites par principe, sauf exception étroite.

C'est le socle. Il vaut pour un CRM comme pour un prompt collé dans un chatbot.

L'AI Act : un règlement des systèmes, pas une loi sur la vie privée

L'AI Act européen (règlement (UE) 2024/1689) est souvent mal compris. Ce n'est pas une loi de protection des données. Il encadre les systèmes d'IA par niveau de risque : inacceptable (interdit), haut risque, risque limité (transparence), minimal. Il se place à côté du RGPD, il ne le remplace pas. Vous pouvez donc relever des deux à la fois.

Son Annexe III liste les usages classés à haut risque. On y trouve l'emploi et la gestion des travailleurs : recrutement, tri des candidatures, évaluation des candidats. On y trouve aussi l'éducation, le scoring de crédit, et certains usages de service public et de police.

Les obligations n'arrivent pas toutes en même temps. Le règlement est entré en vigueur en août 2024. Les interdictions et le devoir de culture de l'IA se sont appliqués en premier. Les règles sur les modèles d'IA à usage général ont suivi. L'essentiel du régime haut risque arrive plus tard, et les systèmes intégrés à des produits en dernier. La Commission européenne a publiquement évoqué un ajustement du calendrier. Vérifiez donc l'état du droit au moment où vous lisez.

États-Unis : pas de loi fédérale unique

Aux États-Unis, aucune loi fédérale générale sur la vie privée n'existe. À la place, une mosaïque. Des lois d'État d'un côté. Des textes fédéraux sectoriels de l'autre. Chacun a une portée étroite et définie.

  • CCPA, modifié par le CPRA (Californie). D'après le procureur général de Californie, il vise les entreprises à but lucratif actives en Californie qui franchissent un seuil : plus de 25 millions de dollars de chiffre d'affaires annuel brut ; l'achat, la vente ou le partage des données de 100 000 résidents ou foyers californiens ou plus ; ou la moitié au moins du chiffre d'affaires tirée de la vente de données de résidents.
  • HIPAA (santé). Elle lie les entités couvertes — régimes d'assurance santé, la plupart des professionnels de santé, chambres de compensation — et leurs sous-traitants qui manipulent des données de santé protégées. Une équipe RH ou une application de fitness n'est généralement pas couverte.
  • COPPA (enfants). Elle vise les services en ligne destinés aux moins de 13 ans, ou qui collectent sciemment leurs données personnelles. Elle exige un consentement parental vérifiable.
  • FERPA (éducation). Elle régit les dossiers scolaires des établissements financés par le ministère américain de l'Éducation. Le fournisseur d'IA, lui, est généralement lié par contrat.
  • GLBA et la Safeguards Rule de la FTC (finance). Elles visent les institutions financières qui manipulent les données financières de leurs clients.

Les Californiens disposent de droits concrets : savoir, supprimer, corriger, refuser la vente ou le partage, et limiter l'usage des données personnelles sensibles. Le procureur général y range notamment le numéro de sécurité sociale, les identifiants de compte financier, la géolocalisation précise, les données génétiques et biométriques. D'autres États ont depuis adopté des lois comparables, et la liste s'allonge.

Ajoutez enfin les régulateurs sectoriels. Finance, santé, assurance, éducation : chacun empile ses propres règles par-dessus. Une banque européenne peut donc relever du RGPD, de l'AI Act et de son superviseur bancaire, sur le même projet d'IA.

La carte de décision

Qui vous êtes / quelles donnéesQuelle loiCe qu'elle exige surtout
Données personnelles de personnes situées dans l'UE ou au Royaume-UniRGPD ; UK GDPR + Data Protection Act 2018Base légale (art. 6), minimisation (art. 5), contrat de sous-traitance (art. 28), protection renforcée des données sensibles (art. 9)
Données de consommateurs californiens, si votre entreprise franchit un seuilCCPA, modifié par le CPRADroits de savoir, supprimer, corriger, refuser la vente ou le partage, limiter l'usage des données sensibles
Données de santé protégées, si vous êtes une entité couverte ou son sous-traitantHIPAAGaranties de protection des données de santé et contrats avec les sous-traitants
Données personnelles d'enfants de moins de 13 ans en ligneCOPPA (Federal Trade Commission)Consentement parental vérifiable avant la collecte
Dossiers scolaires d'un établissement financé par le ministère américain de l'ÉducationFERPAL'établissement contrôle la divulgation ; le fournisseur est lié par contrat
Données financières de clients dans une institution financièreGLBA / Safeguards Rule (FTC)Un programme écrit de sécurité de l'information protégeant les données clients
Le système d'IA lui-même, utilisé dans l'UEAI Act (règlement (UE) 2024/1689)Obligations selon le niveau de risque ; usages de l'Annexe III (dont le recrutement) classés haut risque ; application échelonnée
Carte de lecture — la portée de chaque régime est étroite : vérifiez toujours si vous entrez dans le champ avant de conclure.
Carte de décision : en haut, une fiche de données en clair (ambre) traverse deux portes — une porte de juridiction en losange, une porte sectorielle en hexagone — puis se disperse vers cinq boucliers de formes différentes représentant des régimes juridiques distincts, avec une alerte ambre ; en bas, la même fiche minimisée en jetons cobalt suit une route courte et nette à travers les deux portes et arrive avec une coche.
D'après les textes du RGPD et de l'AI Act publiés sur EUR-Lex et la page CCPA du procureur général de Californie.

Le fil rouge : la minimisation des données

Un principe traverse tous ces régimes. Moins de données personnelles entrent, moins de surface juridique sort. Le RGPD en fait un principe contraignant. Le CCPA donne un droit de limiter l'usage des données sensibles. Les lois sectorielles américaines ne se déclenchent que sur des catégories de données identifiables et régulées.

La conséquence est très pratique. Retirez les identifiants avant que le prompt n'atteigne le modèle. La plupart des obligations rétrécissent d'un coup. Le vrai levier n'est pas le choix du fournisseur d'IA. C'est ce que vous lui donnez à lire.

  1. 1Répondez aux trois questions : qui, où, quelles données.
  2. 2Repérez les identifiants dans votre texte avant l'envoi.
  3. 3Remplacez-les par des jetons réversibles, côté navigateur.
  4. 4N'envoyez que le texte anonymisé au modèle.
  5. 5Restaurez les vraies valeurs dans la réponse, en local.

C'est exactement le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, e-mails, identifiants, données de santé, coordonnées bancaires — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. Vous gardez l'aide de l'IA, en réduisant la surface juridique que chacune de ces lois vient mesurer.

Questions fréquentes

Quelles lois de confidentialité s'appliquent à l'IA ?
Cela dépend de trois questions : qui vous êtes, où vivent les personnes concernées, et quelles données vous touchez. Le RGPD couvre les personnes situées dans l'UE, quel que soit votre pays ; le Royaume-Uni applique le UK GDPR avec le Data Protection Act 2018. L'AI Act encadre les systèmes d'IA par niveau de risque, à côté du RGPD. Aux États-Unis, il n'y a pas de loi fédérale unique : CCPA, HIPAA, COPPA, FERPA et GLBA ont chacune une portée étroite.
L'AI Act européen remplace-t-il le RGPD ?
Non. L'AI Act (règlement (UE) 2024/1689) n'est pas une loi de protection des données. Il encadre les systèmes d'IA par niveau de risque : inacceptable, haut risque, risque limité, minimal. Son Annexe III classe le recrutement, l'éducation ou le scoring de crédit à haut risque. Il se place à côté du RGPD, qui continue de s'appliquer à toutes les données personnelles. Ses obligations s'appliquent de façon échelonnée dans le temps.
HIPAA s'applique-t-elle à toutes les données de santé mises dans une IA ?
Non, et c'est l'erreur la plus courante. HIPAA lie les entités couvertes — régimes d'assurance santé, la plupart des professionnels de santé, chambres de compensation — et leurs sous-traitants qui manipulent des données de santé protégées. Une équipe RH, une application de bien-être ou un éditeur de logiciel qui détient des données de santé n'est généralement pas couvert. D'autres règles peuvent toutefois s'appliquer, à commencer par le RGPD si les personnes sont dans l'UE.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi