IA de confiance

AI & Privacy, comment protéger les données ?

La protection des données est au cœur de la sphère numérique depuis des années. Si le RGPD a permis d’encadrer les données personnelles, leur récolte et de sécuriser leur stockage, l’arrivée de l’IA redistribue les cartes. Cette technologie augmente la "surface d’attaque" et crée de nouveaux défis de confidentialité.

Pour aborder le sujet, nous avons eu le plaisir d’accueillir autour d’une table ronde : 

  • ​Paul Mangold - Assistant Professor - École Polytechnique
  • ​Matthieu BOUSSARD - VP AI - Craft AI
  • ​Henri CLAUDOT - Director, innovation & collaborative programs - IDEMIA Public Security
  • ​Isabelle LANDREAU - Chief Privacy officer, Group Data Protection Officer - IDEMIA Public Security
  • ​Jean-Philippe Clement - Deputy Director General of Services in charge of public space and facilities- Ville de Paris 

Mais qu’est-ce qu'une donnée ? 

On entend souvent parler de la nécessité de protéger ses données, de fuites de données ou encore de RGPD… Mais une donnée c’est quoi ? 

Une donnée, c'est tout simplement une information (brute ou un ensemble d’informations) qui peut être stockée puis traitée pour répondre à différents objectifs.  

Aujourd’hui chacun de nous donne ses informations à des centaines de grands acteurs qui les stockent puis les traitent (une donnée n’a de la valeur que si elle peut être traitée ou affinée). 

Les nouveaux enjeux autour de la protection des données

Depuis quelques années, l’intelligence artificielle ne cesse de progresser avec des modèles de plus en plus performants.
Mais cette technologie ne progresse pas par “magie”, en effet les modèles d’IA agrègent de la donnée et sont également entraînés dessus, de plus l’intelligence artificielle générative et son adoption plus ou moins contrôlée renforcent ce besoin de sécurisation de la data. 

Protection des données, privacy, confidentialité… Quelles différences ? 

Aujourd’hui quand on parle de données, beaucoup de termes et de réglementations nous viennent en tête, mais tous ne veulent pas dire la même chose : 

  • La privacy fait référence aux données personnelles. Attention, tous les pays du monde n’ont pas la même définition de ce qu’est une donnée personnelle, (par exemple certains pays considèrent que la religion n’est pas une donnée personnelle alors que d’autres non) et une donnée n'est plus considérée comme personnelle uniquement si elle est réellement anonymisée (lorsqu'il est impossible de réidentifier la personne par la suite).
  • La confidentialité c’est le fait de s’assurer qu’une information n’est accessible qu’aux personnes autorisées (elle n’est pas rendue publique). Cependant ce concept n’est pas défini dans l’IA act (la réglementation européenne destinée à encadrer l’usage de l’IA) seuls quelques articles y sont consacrés et concernent les régimes à haut risque (brevets, marques, informations sensibles) des IA génératives. D’où l’importance du privacy by design qui consiste à intégrer la protection de la vie privée dès les toutes premières étapes de création d'un projet, plutôt que d'y réfléchir après coup. En revanche les organismes “créateurs” de la solution d’IA sont tenus d’informer les utilisateurs sur l’utilisation de leurs données dans une logique de transparence (IA à haut risque ou non) conformément à la réglementation RGPD. 

L’importance de la donnée dans les modèles d’IA et ses applications phares 

Il est d’autant plus important de sécuriser les données dans le cadre d’un projet IA car sans elles, le fonctionnement de l’IA serait impossible, en effet elles sont utiles dans de nombreux cas de figure : 

  • Par exemple les données de l’entreprise “Pay by Phone” (une solution de paiement de stationnement via mobile) sont utilisées pour indiquer des places de stationnement libres. En effet 25% du trafic dans cette zone correspond en réalité à de la recherche de stationnement… Un moyen efficace de réduire et de fluidifier le trafic. 
  • Pour le système Entry Exit d’Idemia installé dans 150 points de passage frontaliers, les données biométriques et personnelles sont utilisées à des fins de sécurité afin de mettre en place un dispositif qui reconnaît les personnes qui sont autorisées ou non à sortir de l’espace Schengen. 

Quels sont les risques en cas de fuite de données ? 

Qui dit base regroupant des millions de données personnelles dit cible de choix pour les cyber attaques… Mais quelles sont les conséquences pour les organismes détenteurs de cette donnée ? 

La fuite de données peut avoir de lourdes conséquences sur les utilisateurs d’une solution (usurpation d’identité, changement de certaines informations…). L’IA act prévoit d’ailleurs des sanctions envers les organismes qui n’ont pas été en mesure de protéger les données de ses utilisateurs, mais au delà des sanctions économiques (qui peut atteindre un pourcentage significatif du chiffre d’affaire de l’entreprise en faute) et administratives, la première conséquence (et la plus lourde) pour ces organismes sera la mauvaise image renvoyée à ses utilisateurs (manque de confiance et de sécurisation). 

Comment sécuriser au mieux la data ?

Afin d’éviter toute fuite de données et de leur utilisation à des fins malveillantes, chaque entreprise agrégeant des données se doit de les sécuriser de différentes manières : 

  • Le privacy by design : en mettant la protection des données au cœur de la conception du système 
  • Utiliser seulement des données réellement utiles en fonction de la solution (pas besoin d’une caméra à haute définition pour simplement savoir si une place de stationnement est pleine ou vide par exemple) et trouver un compromis entre confidentialité et capacité de la solution. C’est ce qu’on appelle plus précisément la “minimisation” des données. 
  • Héberger les données récoltées sur des serveurs européens. 
  • La “differential privacy” : Cette technique mathématique consiste à injecter un léger "bruit" (injection de fausses informations aléatoires qui sert à masquer les données réelles d'un individu) dans les données pour empêcher les attaques par "réidentification". Même en recoupant plusieurs bases de données, un hacker ne pourra pas isoler le profil d'un utilisateur précis au sein d'un modèle d'IA.

En conclusion 

Les données sont utiles sur de nombreux aspects pour les agents IA, mais les organisations et les utilisateurs ont tous deux des bonnes pratiques à respecter afin de garantir la sécurité de l’utilisation d’une solution. 

Pour les entreprises, une bonne sécurisation du système ainsi qu’une collecte “raisonnée” des données et une communication claire sur leur utilisation envers le public est indispensable tandis que les utilisateurs devront se former à une bonne “hygiène numérique” et avoir une utilisation “consciente” de ces solutions (notamment les IA génératives) en ne donnant pas leurs informations personnelles ouvertement dans leurs prompts. 

Pour lancer votre projet d'IA sécurisée contactez nos experts !

Niveau de Risque Exemples d'applications Statut & Obligations
🔴 Inacceptable Notation sociale, scoring biométrique politique/religieux, reconnaissance des émotions au travail/école, moissonnage d'images faciales. Interdit
En vigueur depuis le 2 février 2025.
🟠 Haut Risque Systèmes de tri de CV/recrutement, évaluation du crédit bancaire (credit scoring), infrastructures critiques, éducation. Sous conditions
Autorisé sous conditions strictes : supervision humaine, journalisation, marquage CE.
🟡 Limité Chatbots, générateurs de contenus (images, textes). Transparence
Obligation de transparence (mention explicite "Généré par IA", watermark).
🟢 Faible / Minime Outils de productivité de base, filtres anti-spam. Recommandations
Pas d'obligation légale spécifique, mais des recommandations de bonnes pratiques.

Le cas particulier des GPAI (Modèles d'IA à usage général) : Les grands modèles de langage (LLM) comme Mistral AI, OpenAI ou Claude entrent dans un régime propre. Soumis à une application progressive, ils nécessitent des analyses d'impact approfondies pour évaluer les risques selon s’ils sont utilisés bruts, fine-tunés ou intégrés via API.

3. La Méthode "RADAR" pour Auditer ses Cas d'Usage

Développée par Xavier Trigano, la méthode RADAR permet à toute organisation de piloter sa mise en conformité de manière itérative :

  • R – Recenser : Cartographier exhaustivement tous les cas d'usage de l'entreprise (outils internes pour les collaborateurs et solutions commercialisées).
  • A – Attribuer les rôles : Identifier si l'organisation agit en tant que Fournisseur de modèle, Fournisseur de système d'IA, Intégrateur ou Déployeur (utilisateur final). Une même entreprise peut cumuler plusieurs rôles.
  • D – Déterminer le risque : Qualifier le niveau de risque selon le type de cas d’usage et sa finalité (Inacceptable ? Haut risque ? Limité ? Faible ?).
  • A – Appliquer les mesures : Mettre en œuvre les actions techniques et organisationnelles requises par le niveau de risque identifié.
  • R – Rédiger la documentation : Constituer le registre et les preuves de conformité (similaire à la logique de l'accountability du RGPD).
Focus "AI by Design" - L'exemple du tri automatique de CV : Un outil RH qui exclut ou accepte des candidats de manière 100 % autonome est classé "Haut Risque", avec un coût de conformité très lourd. La méthode RADAR recommande plutôt une approche by design : modifier les fonctionnalités de l'outil pour en faire un simple système d'aide à la décision (qui extrait les compétences clés du CV mais laisse la validation finale à un recruteur humain). L'outil apporte la même valeur métier, mais bascule en risque limité, allégeant drastiquement les contraintes légales.

4. FAQ : Shadow IT, RGPD et Souveraineté

Comment lutter contre le Shadow AI en entreprise ?

L'interdiction pure et simple ne fonctionne pas. Pour maîtriser l'usage des LLM par les collaborateurs, la réponse doit être transverse :

  • Définir un catalogue d'usages autorisés sur la base d'outils sécurisés mis à disposition.
  • Utiliser des solutions technologiques de DLP (Data Loss Prevention) pour bloquer le chargement de données sensibles vers des LLM tiers.
  • Mettre à jour la charte informatique et le règlement intérieur.

L'usage des LLM (ChatGPT, Claude...) viole-t-il le RGPD ?

Ce n'est pas l'outil qui caractérise la violation, mais la finalité de l'usage. Reformuler une campagne marketing sur Claude ne présente aucun risque RGPD. En revanche, y injecter l'intégralité du fichier RH de la pyramide des âges de l'entreprise sans précaution constitue un manquement grave.

Des alternatives souveraines (hébergées on-premise ou sur des clouds français/européens) permettent de pallier les risques liés au Cloud Act américain tout en garantissant une efficacité équivalente.

Comment encadrer mes équipes dans leur utilisation de l’IA ?

L'IA Act impose une obligation de formation pour tous les utilisateurs au sein de l'organisation. L'IA pouvant se tromper ou halluciner, seul l'esprit critique de l'humain formé permet de couvrir ce risque résiduel et d'assurer un contrôle qualité efficace.

5. Conclusion : L'IA Act, un levier de confiance et de compétitivité

L'IA Act ne doit pas être perçu comme un frein à l’innovation, mais comme un cadre de confiance.

En intégrant la conformité dès la conception des projets, l'IA devient un levier pérenne de performance économique, d'acceptabilité sociale et de souveraineté.

Envie de développer votre agent IA sur-mesure conforme à la réglementation AI Act ? Contactez nos équipes.

Et accédez au replay de ce webinaire dès maintenant !