Intégration de systèmes d’IA sur le parcours client : sous la double supervision de l’AI Act et du RGPD

La très grande majorité des solutions d’IA utilisées dans les activités de la relation client impliquent, à un niveau ou un autre, le traitement de données personnelles. Ces usages sont aujourd’hui encadrés par deux textes réglementaires : le RGPD et, plus récemment, le règlement européen sur l’IA (AI Act). Deux balises à l’intérieur desquelles doivent nécessairement s’inscrire les projets d’IA déployés ou en cours de déploiement.

Depuis 2018, le RGPD est le texte de référence qui fixe les règles de traitement des données personnelles par les entreprises privées ou les organismes publics. Il constitue le socle sur lequel repose la protection des données personnelles des consommateurs et des citoyens de l’Union européenne.

Pendant ce temps-là, une technologie fortement utilisatrice de données personnelles, l’IA, a pris une place de plus en plus importante dans les parcours client et citoyen. En 2024, le législateur européen a choisi d’encadrer plus strictement les usages de l’IA avec un texte dédié, le règlement européen sur l’IA (AI Act).

Le nouveau cadre de la conformité des solutions d’intelligence artificielle

L’entrée en application des dispositions du texte s’est faite de façon échelonnée, en distinguant les systèmes d’IA selon leur niveau de risques. Le 2 août 2026, le règlement s’appliquera à l’ensemble des solutions d’IA qui utilisent des données de ressortissants européens.

En matière de protection des données personnelles, il y a donc désormais deux textes majeurs qui s’entrecroisent, se superposent, se font écho et peuvent aussi se contredire (l’AI Act préconise parfois de compléter les données d’entraînement alors que le RGPD impose un principe de minimisation des données).

L’enjeu aujourd’hui, quand on déploie une solution d’IA, n’est pas de privilégier un texte plutôt qu’un autre, mais de s’assurer que le projet est en parfaite cohérence avec les deux règlements.

Une des difficultés à surmonter est d’intégrer les nouvelles exigences de l’AI Act alors que de nombreux projets d’IA ont été lancés sur les parcours client et les parcours conseillers, et sont même au-delà de l’expérimentation, déjà dans une phase industrielle. Il s’avère ainsi particulièrement nécessaire, pour chaque projet, de mener des évaluations complémentaires et de renforcer les méthodologies de déploiement.   

Un objectif de performance, un devoir d’éthique

Une bonne pratique consiste à réexaminer les politiques de protection de données internes pour y intégrer les problématiques spécifiques soulevées par l’IA. Les systèmes d’IA seront alors observés selon quatre prismes principaux : la sécurité informatique, la fiabilité du modèle, l’éthique algorithmique et l’impact environnemental.

Cela permet de cartographier les risques, de mettre en évidence les points de vigilance et de documenter les déploiements pour répondre aux obligations de transparence des modèles d’IA (expliquer comment fonctionne l’algorithme, comment l’IA arrive à ses résultats, comment sont traitées les données…).

Si le règlement européen sur l’IA et le RGPD érigent un cadre contraignant, ils fondent dans le même temps, en Europe, un espace de confiance dans lequel peut se développer une innovation respectueuse des droits fondamentaux des consommateurs et des citoyens.

L’articulation des deux textes et le caractère très généraliste de l’AI Act exigent, par ailleurs, d’adopter une démarche agile pour s’adapter aux cas d’usage à venir et aux évolutions législatives qui pourraient encore intervenir à moyen terme (initiative « omnibus numérique » de simplification de la réglementation).

Ce que l’on retient de ces moments d’accélération technologiques que nous vivons, c’est qu’ils ne peuvent se passer d’un pilotage rigoureux de la conformité. C’est le meilleur moyen d’aligner les objectifs de développement de l’innovation, de protection des données personnelles et de consolidation de la confiance client.