Chapitre 15 : Réglementations RGPD et IA Act dans l'activité de formation

Dans le cadre de son activité, l’organisme de formation mobilise souvent des ressources numériques et outils digitaux (LMS, environnements numériques de travail (Moodle, extranet, quiz interactif ou espace collaboratif…)), voire, la technologie de l’Intelligence artificielle, communément dite « IA » (chatbots, outils de learning analytics…). De la mobilisation de ces ressources découle la nécessaire observation des obligations qui s’imposent à lui, résultant principalement de deux textes européens :
- le règlement européen dit « RGPD » (n° 2016/679) du 27 avril 2016 ;
- le règlement européen dit « IA Act » (n° 2024/1689) du 13 juin 2024.

Ces deux règlements présentent des caractéristiques communes. Emanant tous deux de l'Union européenne, ils visent la protection des droits et libertés des ressortissants de l'Union contre les risques inhérents aux nouvelles technologies. Ces deux réglementations entretiennent aussi une relation étroite ; elles sont susceptibles de s'appliquer cumulativement à un même opérateur. 

Le règlement RGPD vise la protection des droits et libertés, des données personnelles des personnes physiques. Il confère à ces personnes des droits relatifs aux données personnelles traitées. Il responsabilise et impose aux opérateurs réalisant de tels traitements de données personnelles des obligations. 

Le règlement IA Act établit un cadre juridique uniforme pour encadrer dans l'Union le déploiement, au sens large, des systèmes d'intelligence artificielle (SIA). En imposant des obligations aux différents opérateurs intervenant dans la chaîne de valeur et de circulation d'un SIA, ce règlement vise l'adoption, au sein de l'Union, d'une IA axée sur l’humain, éthique et digne de confiance, tout en garantissant un niveau élevé de protection des droits fondamentaux. L'intensité des obligations est variable selon le rôle de l'opérateur et la teneur du risque que présente le SIA.

Présentation et relation des règlements RGPD et IA Act

Ces deux règlements européens ont une convergence existentielle : leur adoption est une réponse à l’essor de technologies qu’il faut juguler, en particulier pour protéger les droits fondamentaux garantis par l’Union. L’un comme l’autre traduit cette exigence en imposant aux opérateurs réglementés le respect de principes et d’obligations. Pour ce, les règlements ont des mécanismes opérationnels communs : documentation, sanctions, contrôles… qui doivent être identifiés. Le Règlement RGPD, publié au JOUE du 4 mai 2016, est identifié ci-après en références Règlement (UE) n° 2016-679 du 27.4.16.Le Règlement IA Act, publié au JOUE du 12 juillet 2024, est identifié ci-après en… Fiche 15-1 : Configuration générale des règlements RGPD et IA Act Fiche 15-2 : Articulation RGPD et IA Act

RGPD

Le RGPD constitue le socle de la protection des données personnelles au sein de l’Union Européenne. Il fonde un ensemble de principes et d’obligations visant à garantir que les données des individus soient traitées de manière juste et intègre, transparente et sécurisée. Fiche 15-3 : Données personnelles traitées Fiche 15-4 : Opérateurs et leurs responsabilités Fiche 15-5 : Principes et droits créés du RGPD

IA Act

L’IA Act, entré en vigueur le 1er août 2024 avec une application progressive, établit un cadre réglementaire harmonisé pour les systèmes d’intelligence artificielle (SIA) au sein de l’Union Européenne. Il est décrit comme le premier instrument juridique complet en matière d’IA. Il adopte une approche basée sur les risques que comporte ces SIA, et participe, au sein de l’Union, à soutenir le développement d’une « IA digne de confiance ». Fiche 15-6 : Systèmes d'intelligence artificielle (SIA) Fiche 15-7 : Opérateurs : présentation Fiche 15-8 : Obligations d'un déployeur de SIA à haut risque