Quelles lois de confidentialité s'appliquent à l'IA ? La carte pratique
Trois questions décident : qui vous êtes, où sont vos personnes, quelles données vous touchez. La carte du RGPD, de l'AI Act et des régimes américains.
Il n'existe pas une loi unique sur l'IA et la vie privée. Ce qui s'applique dépend de trois choses. Qui vous êtes. Où vivent les personnes dont vous traitez les données. Quelles données vous touchez. Le RGPD couvre les personnes situées dans l'Union européenne, quel que soit votre pays. Le Royaume-Uni applique un régime quasi identique. L'AI Act encadre les systèmes d'IA par niveau de risque, sans remplacer le RGPD. Aux États-Unis, il n'y a pas de loi fédérale générale : une mosaïque de lois d'État et de textes sectoriels prend le relais. Un fil rouge relie tous ces régimes : moins de données personnelles entrent dans l'IA, moins d'obligations pèsent sur vous.
Les trois questions qui décident
Avant de chercher un texte de loi, répondez à trois questions. Elles suffisent presque toujours à savoir où vous êtes.
- 1QUI êtes-vous ? Une entreprise, un hôpital, une école, une banque ? Certaines lois américaines ne visent que des catégories précises d'organisations.
- 2OÙ sont vos personnes ? Pas votre siège social : les personnes dont vous traitez les données. Le RGPD suit la personne, pas le code postal.
- 3QUELLES données touchez-vous ? Une adresse e-mail, un dossier médical, un bulletin scolaire, un compte bancaire ? La catégorie déclenche le régime.
Ces trois réponses vous placent sur la carte. Le reste n'est que du détail d'application.
UE et Royaume-Uni : le RGPD suit la personne
Le RGPD (règlement (UE) 2016/679) ne s'applique pas selon votre adresse. Il s'applique selon les personnes dont vous traitez les données. Son article 3 étend sa portée aux organisations situées hors de l'UE. Deux cas suffisent : vous proposez des biens ou services à des personnes dans l'UE, ou vous suivez leur comportement. Une entreprise américaine ou britannique qui colle les coordonnées d'un client européen dans un outil d'IA est donc concernée. Le Royaume-Uni applique un régime jumeau : le UK GDPR, lu avec le Data Protection Act 2018.
Dès que des données personnelles entrent dans un outil d'IA, quatre devoirs se déclenchent.
- Une base légale (article 6). Vous devez pouvoir dire pourquoi ce traitement est licite.
- La minimisation des données (article 5, paragraphe 1, point c). Les données doivent être adéquates, pertinentes et limitées au strict nécessaire.
- Un contrat de sous-traitance (article 28). Si un fournisseur traite les données pour votre compte, il faut un accord écrit aux clauses contraignantes.
- Une protection renforcée des données sensibles (article 9). Santé, biométrie, religion, appartenance syndicale, vie sexuelle, opinions politiques : interdites par principe, sauf exception étroite.
C'est le socle. Il vaut pour un CRM comme pour un prompt collé dans un chatbot.
L'AI Act : un règlement des systèmes, pas une loi sur la vie privée
L'AI Act européen (règlement (UE) 2024/1689) est souvent mal compris. Ce n'est pas une loi de protection des données. Il encadre les systèmes d'IA par niveau de risque : inacceptable (interdit), haut risque, risque limité (transparence), minimal. Il se place à côté du RGPD, il ne le remplace pas. Vous pouvez donc relever des deux à la fois.
Son Annexe III liste les usages classés à haut risque. On y trouve l'emploi et la gestion des travailleurs : recrutement, tri des candidatures, évaluation des candidats. On y trouve aussi l'éducation, le scoring de crédit, et certains usages de service public et de police.
Les obligations n'arrivent pas toutes en même temps. Le règlement est entré en vigueur en août 2024. Les interdictions et le devoir de culture de l'IA se sont appliqués en premier. Les règles sur les modèles d'IA à usage général ont suivi. L'essentiel du régime haut risque arrive plus tard, et les systèmes intégrés à des produits en dernier. La Commission européenne a publiquement évoqué un ajustement du calendrier. Vérifiez donc l'état du droit au moment où vous lisez.
États-Unis : pas de loi fédérale unique
Aux États-Unis, aucune loi fédérale générale sur la vie privée n'existe. À la place, une mosaïque. Des lois d'État d'un côté. Des textes fédéraux sectoriels de l'autre. Chacun a une portée étroite et définie.
- CCPA, modifié par le CPRA (Californie). D'après le procureur général de Californie, il vise les entreprises à but lucratif actives en Californie qui franchissent un seuil : plus de 25 millions de dollars de chiffre d'affaires annuel brut ; l'achat, la vente ou le partage des données de 100 000 résidents ou foyers californiens ou plus ; ou la moitié au moins du chiffre d'affaires tirée de la vente de données de résidents.
- HIPAA (santé). Elle lie les entités couvertes — régimes d'assurance santé, la plupart des professionnels de santé, chambres de compensation — et leurs sous-traitants qui manipulent des données de santé protégées. Une équipe RH ou une application de fitness n'est généralement pas couverte.
- COPPA (enfants). Elle vise les services en ligne destinés aux moins de 13 ans, ou qui collectent sciemment leurs données personnelles. Elle exige un consentement parental vérifiable.
- FERPA (éducation). Elle régit les dossiers scolaires des établissements financés par le ministère américain de l'Éducation. Le fournisseur d'IA, lui, est généralement lié par contrat.
- GLBA et la Safeguards Rule de la FTC (finance). Elles visent les institutions financières qui manipulent les données financières de leurs clients.
Les Californiens disposent de droits concrets : savoir, supprimer, corriger, refuser la vente ou le partage, et limiter l'usage des données personnelles sensibles. Le procureur général y range notamment le numéro de sécurité sociale, les identifiants de compte financier, la géolocalisation précise, les données génétiques et biométriques. D'autres États ont depuis adopté des lois comparables, et la liste s'allonge.
Ajoutez enfin les régulateurs sectoriels. Finance, santé, assurance, éducation : chacun empile ses propres règles par-dessus. Une banque européenne peut donc relever du RGPD, de l'AI Act et de son superviseur bancaire, sur le même projet d'IA.
La carte de décision
| Qui vous êtes / quelles données | Quelle loi | Ce qu'elle exige surtout |
|---|---|---|
| Données personnelles de personnes situées dans l'UE ou au Royaume-Uni | RGPD ; UK GDPR + Data Protection Act 2018 | Base légale (art. 6), minimisation (art. 5), contrat de sous-traitance (art. 28), protection renforcée des données sensibles (art. 9) |
| Données de consommateurs californiens, si votre entreprise franchit un seuil | CCPA, modifié par le CPRA | Droits de savoir, supprimer, corriger, refuser la vente ou le partage, limiter l'usage des données sensibles |
| Données de santé protégées, si vous êtes une entité couverte ou son sous-traitant | HIPAA | Garanties de protection des données de santé et contrats avec les sous-traitants |
| Données personnelles d'enfants de moins de 13 ans en ligne | COPPA (Federal Trade Commission) | Consentement parental vérifiable avant la collecte |
| Dossiers scolaires d'un établissement financé par le ministère américain de l'Éducation | FERPA | L'établissement contrôle la divulgation ; le fournisseur est lié par contrat |
| Données financières de clients dans une institution financière | GLBA / Safeguards Rule (FTC) | Un programme écrit de sécurité de l'information protégeant les données clients |
| Le système d'IA lui-même, utilisé dans l'UE | AI Act (règlement (UE) 2024/1689) | Obligations selon le niveau de risque ; usages de l'Annexe III (dont le recrutement) classés haut risque ; application échelonnée |
Le fil rouge : la minimisation des données
Un principe traverse tous ces régimes. Moins de données personnelles entrent, moins de surface juridique sort. Le RGPD en fait un principe contraignant. Le CCPA donne un droit de limiter l'usage des données sensibles. Les lois sectorielles américaines ne se déclenchent que sur des catégories de données identifiables et régulées.
La conséquence est très pratique. Retirez les identifiants avant que le prompt n'atteigne le modèle. La plupart des obligations rétrécissent d'un coup. Le vrai levier n'est pas le choix du fournisseur d'IA. C'est ce que vous lui donnez à lire.
- 1Répondez aux trois questions : qui, où, quelles données.
- 2Repérez les identifiants dans votre texte avant l'envoi.
- 3Remplacez-les par des jetons réversibles, côté navigateur.
- 4N'envoyez que le texte anonymisé au modèle.
- 5Restaurez les vraies valeurs dans la réponse, en local.
C'est exactement le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — noms, e-mails, identifiants, données de santé, coordonnées bancaires — et les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. Vous gardez l'aide de l'IA, en réduisant la surface juridique que chacune de ces lois vient mesurer.
Questions fréquentes
- Quelles lois de confidentialité s'appliquent à l'IA ?
- Cela dépend de trois questions : qui vous êtes, où vivent les personnes concernées, et quelles données vous touchez. Le RGPD couvre les personnes situées dans l'UE, quel que soit votre pays ; le Royaume-Uni applique le UK GDPR avec le Data Protection Act 2018. L'AI Act encadre les systèmes d'IA par niveau de risque, à côté du RGPD. Aux États-Unis, il n'y a pas de loi fédérale unique : CCPA, HIPAA, COPPA, FERPA et GLBA ont chacune une portée étroite.
- L'AI Act européen remplace-t-il le RGPD ?
- Non. L'AI Act (règlement (UE) 2024/1689) n'est pas une loi de protection des données. Il encadre les systèmes d'IA par niveau de risque : inacceptable, haut risque, risque limité, minimal. Son Annexe III classe le recrutement, l'éducation ou le scoring de crédit à haut risque. Il se place à côté du RGPD, qui continue de s'appliquer à toutes les données personnelles. Ses obligations s'appliquent de façon échelonnée dans le temps.
- HIPAA s'applique-t-elle à toutes les données de santé mises dans une IA ?
- Non, et c'est l'erreur la plus courante. HIPAA lie les entités couvertes — régimes d'assurance santé, la plupart des professionnels de santé, chambres de compensation — et leurs sous-traitants qui manipulent des données de santé protégées. Une équipe RH, une application de bien-être ou un éditeur de logiciel qui détient des données de santé n'est généralement pas couvert. D'autres règles peuvent toutefois s'appliquer, à commencer par le RGPD si les personnes sont dans l'UE.
Sources et références
- Règlement (UE) 2016/679 (RGPD) — texte intégral : portée territoriale (art. 3), base légale (art. 6), minimisation (art. 5), sous-traitance (art. 28), données sensibles (art. 9) — EUR-Lex (Office des publications de l'Union européenne)
- Règlement (UE) 2024/1689 (AI Act) — texte intégral : niveaux de risque, usages haut risque de l'Annexe III, application échelonnée — EUR-Lex (Office des publications de l'Union européenne)
- California Consumer Privacy Act (CCPA) — entreprises concernées, seuils et droits des consommateurs — California Office of the Attorney General
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt