Newsletters

AI Act : Ce qu'il faut retenir de l'avis du Contrôleur européen de la protection des données

En cours de négociation entre la Commission, le Conseil et le Parlement européen, l'AI Act – proposition de règlement qui encadre les systèmes d'intelligence artificielle – a fait l'objet de remarques de la part du Contrôleur européen de la protection des données . L'Usine Digitale propose un résumé de l'avis en cinq points. 

Alice Vitard
Wojciech Wiewiórowsk
EDPS
Wojciech Wiewiórowsk

Le Contrôleur européen de la protection des données (European Data Protection Supervisor, EDPS), une autorité chargée de s'assurer que les institutions de l'Union européenne respectent la législation sur la protection des données, a rendu un avis le 23 octobre sur l'Artificial Intelligence (AI) Act.

Ce texte , présenté par la Commission européenne en avril 2021 et en cours de discussions au sein du trilogue, vise à établir des règles harmonisées concernant l'intelligence artificielle en se limitant "aux exigences minimales nécessaires pour répondre aux risques et aux problèmes liés à l’IA, sans restreindre ou freiner indûment le développement technologique ni augmenter de manière disproportionnée les coûts de mise sur le marché de solutions d’IA". 

1) Ne pas franchir certaines lignes rouges

Dans son avis, l'EDPS réitère son appel à "l'interdiction des systèmes d'IA présentant des risques inacceptables pour les individus". Le règlement européen devrait ainsi prohiber, et non seulement considérer comme à "haut risque" : 

- les systèmes d'IA pour effectuer du "scoring social" (système de crédit social) 

- l'utilisation de l'IA pour "la reconnaissance automatisée des caractéristiques humaines" dans l'espace public, tels que le visage, la démarche, les empreintes digitales, l'ADN, la voix...

- les systèmes pour faire de la reconnaissance des émotions sauf "pour certains cas (...) à des fins de santé ou de recherche" 

- les systèmes qui classent les individus, à partir de données biométriques, en groupe en fonction de leur appartenanceethnique, sexe, orientation politique ou sexuelle 

- les systèmes destinés à être utilisés par les autorités répressives dont la validité scientifique n'est pas prouvée, tel que le polygraphe (détecteur de mensonges) 

- le recours par les services répressifs à des systèmes afin d'évaluer "le risque de délinquance" ou de récidive d'un individu ou pour prédire la commission d'une infraction 

2) Préciser le champ d'application du texte

Le texte s'applique aux fournisseurs, établis dans l'Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d'IA au sein l'Union européenne. A ce titre, l'article 83 précise que le règlement ne s'applique que aux systèmes mis sur le marché 12 mois avant sa date d'entrée en application. Il prévoit une exception : lorsque les systèmes font l'objet de modifications importantes dans leur conception ou dans leur finalité ou en cas de "modifications substantielles". "Ces dispositions manquent de clarté", juge le Contrôleur. En effet, il craint que "certains systèmes d'IA, qui présentent un risque élevé de préjudice ou d'impact négatif sur les droits fondamentaux, ne relèvent jamais du champ d'application de la loi parce qu'ils continuent de fonctionner sans aucun 'changement significatif' ou 'modification substantielle". 

Il appelle donc les instances européennes à instaurer des critères plus précis ainsi que de supprimer l'exception pour les systèmes d'IA à haut risque. 

3) Allouer Des moyens financiers et humains supplémentaires

La proposition de règlement attribue deux fonctions à l'EDPS. Dans le cadre du contrôle préalable de mise sur le marché, il agira en tant qu'organisme d'évaluation lorsqu'un système d'IA à haut risque est destiné à être mis en service par les institutions européennes. Dans le cadre du contrôle après la mise sur le marché, il sera compétent pour contrôler les institutions européennes entrant dans le champ d'application de l'AI Act. Il sera notamment chargé de mettre en place des "bacs à sable réglementaire". 

L'EPDS se félicite de ces missions tout en demandant des précisions afin de "rendre les dispositions pertinentes opérationnelles". Il demande également l'allocation de "ressources humaines et financières adéquates" pour remplir ses nouvelles missions. 

4) Désigner les autorités de protection des données comme autorités de contrôle

Le texte prévoit la désignation par les Etats membres d'une autorité pour assurer son application et sa mise en oeuvre, sans précisant laquelle. L'EDPS cible les autorités de protection des données ; la Commission nationale de l'informatique et des libertés (Cnil) en France. En effet, il estime qu'elles contrôlent l'application de textes, tels que le Règlement général sur la protection des données (RGPD), qui recoupent certaines préoccupations de l'AI Act, tels que le droit à la dignité ou à un recours juridictionnel effectif et à un procès équitable. Par ailleurs, cette désignation permettrait d'articuler le RGPD et l'AI Act. 

5) Disposer d'un droit de vote au sein du Comité européen de l'intelligence artificielle

L'EDPS se félicite de la création, par le texte, d'un Comité européen de l'intelligence artificielle (Office AI) qui sera chargé de conseiller la Commission européenne. Cependant, il regrette de ne pas avoir de droit de vote au sein de son conseil d'administration, contrairement aux autorités nationales de contrôle. Il ne sera pas en mesure de "coopérer efficacement sur un 'pied d'égalité'" avec celles-ci, déplore-t-il.

À lire aussi

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay