01
Inventaire des systèmes d'IA et cartographie des données
Vous ne pouvez pas évaluer ce que vous n'avez pas répertorié. Une AIPD IA défendable commence par un inventaire complet de chaque système d'IA, des données personnelles qu'il ingère et des flux de données entre entités et sous-traitants. Cet inventaire doit être relié à votre registre des activités de traitement, et non maintenu dans un silo distinct.
Correspond à : gestion du registre des traitements avec cartographie des données inter-entités
02
Limitation des finalités et analyse de la base légale
Pour chaque cas d'usage de l'IA, documentez la finalité précise, la base légale du traitement (consentement, intérêt légitime ou autre fondement valable) et la manière dont la limitation des finalités est respectée lorsque les modèles sont réentraînés ou réaffectés. Les recommandations de la CNIL exigent spécifiquement que tout système d'IA utilisant des données personnelles poursuive un objectif bien défini, explicite et légitime, établi dès le démarrage du projet.
Source : recommandations de la CNIL sur le développement de l'IA, 2025
03
Classification algorithmique des risques
Classez chaque système d'IA selon les niveaux de risque du règlement européen sur l'IA : inacceptable, élevé, limité et minimal. Mettez ensuite cette classification en correspondance avec le seuil « susceptible d'engendrer un risque élevé » de l'article 35 du RGPD. La CNIL a indiqué que, pour tous les systèmes à haut risque au titre du règlement sur l'IA, une AIPD sera présumée nécessaire dès lors que le développement ou le déploiement implique des données personnelles.
Source : lignes directrices de la CNIL sur l'AIPD pour les systèmes d'IA ; cadre de risque du règlement européen sur l'IA (règlement 2024/1689)
04
Analyse d'impact des transferts (TIA)
Lorsque les données d'entraînement, les résultats des modèles ou les données personnelles franchissent des frontières, une analyse d'impact des transferts (TIA) est requise en complément de votre AIPD. Ce point est particulièrement critique pour les organisations recourant à des services d'IA dans le cloud avec des sous-traitants ultérieurs situés dans des pays non adéquats. Un modèle d'IA entraîné sur les données de salariés de l'UE, déployé dans une filiale américaine et hébergé par un sous-traitant à Singapour déclenche des obligations qui se chevauchent au titre du RGPD, des lois étatiques américaines sur la protection des données et des réglementations locales.
Correspond à : flux de travail AIPD/TIA intégrés et gestion des CCT
05
Consultation des parties prenantes et validation
L'article 35, paragraphe 9, du RGPD exige des responsables du traitement qu'ils recueillent l'avis des personnes concernées le cas échéant. Au-delà de ce minimum réglementaire, une AIPD IA doit associer les ingénieurs en apprentissage automatique, les responsables de produit, le service juridique et le DPD, avec une validation documentée à chaque étape. Les autorités s'attendent à constater non seulement qu'une consultation a eu lieu, mais aussi qui a été consulté et à quel moment.
Source : article 35, paragraphe 9, du RGPD ; orientations de l'ICO sur les exigences en matière d'AIPD
06
Mesures d'atténuation et documentation du risque résiduel
Pour chaque risque identifié, documentez la mesure d'atténuation, le responsable concerné, l'échéance de mise en œuvre et le niveau de risque résiduel. Les autorités attendent que les risques soient traités, et pas seulement identifiés. Au titre du règlement européen sur l'IA, les systèmes d'IA à haut risque exigent une identification, une analyse, une estimation et une atténuation continues des risques tout au long du cycle de vie du système.
Source : règlement européen sur l'IA, article 9 (gestion des risques) ; sanctions en cas de non-conformité pouvant atteindre 35 M EUR ou 7 % du chiffre d'affaires mondial
07
Recertification et déclencheurs de surveillance continue
Définissez les événements qui déclenchent une réévaluation : réentraînement du modèle, nouvelles sources de données, expansion vers de nouvelles juridictions ou évolutions réglementaires. Le règlement européen sur l'IA impose aux fournisseurs de systèmes d'IA à haut risque de mettre en place un système de surveillance après commercialisation qui collecte et analyse activement et systématiquement les données de performance tout au long de la durée de vie du système. Une évaluation ponctuelle ne suffit plus.
Source : règlement européen sur l'IA, article 72 (obligations de surveillance après commercialisation)