L’usage de l’Intelligence artificielle modifie profondément le traitement des données personnelles en finance. Les modèles exploitent des volumes massifs d’informations et posent des enjeux de Protection des données.
Face à ces risques, la CNIL a publié des recommandations pour clarifier l’application du RGPD aux systèmes d’IA. Ces principes opérationnels méritent une synthèse pratique, détaillée ensuite dans le titre A retenir :
A retenir :
- Information claire sur l’utilisation des données par les systèmes d’IA
- Mise à jour des politiques de confidentialité et des mentions légales
- Mécanismes techniques de rectification et de suppression adaptés aux modèles
- Gouvernance renforcée, analyses d’impact et traçabilité des sources de données
Obligations d’information RGPD pour l’Intelligence artificielle en finance
Le rappel synthétique précédent conduit à détailler l’obligation d’information dans les usages financiers. Selon la CNIL, l’information doit rester compréhensible et accessible pour chaque personne concernée.
Transparence des sources et catégorisation des données
Ce point précise comment catégoriser les sources lorsque les modèles agrègent de multiples bases. Selon la CNIL, une approche par catégories de sources peut suffire à informer les personnes.
Catégories de sources :
- Données bancaires internes
- Bases de scoring externes
- Données issues de partenaires tiers
- Données publiques collectées sur le web
« J’ai dû refondre notre politique de confidentialité pour expliciter l’origine des données utilisées par nos algorithmes. Ce travail a amélioré le taux de confiance client. »
Sophie L.
Exemples pratiques et ajustement des mentions
L’autre angle consiste à adapter les mentions et clauses contractuelles aux usages concrets de l’IA. Des exemples de reformulation clarifient la nature des traitements et la finalité poursuivie par l’établissement.
Mentions d’information adaptées :
- Finalité précise du traitement
- Principales catégories de sources
- Durée de conservation estimée
- Modalités d’exercice des droits
Usage
Types de données
Exigence d’information
Mesure recommandée
Scoring crédit
Historique bancaire, comportement
Information spécifique sur la finalité
Mention explicite et accès aux données
Détection de fraude
Transactions, logs
Information sur le traitement en temps réel
Journalisation et justification des détections
Personnalisation commerciale
Données de navigation, profil
Information sur la finalité marketing
Opt‑out et durée limitée
Gestion des risques
Données agrégées, tiers
Information sur les sources agrégées
Catégorisation des sources et traçabilité
Ce renforcement informationnel débouche sur la question de l’exercice effectif des droits, abordée ensuite.
Faciliter l’exercice des droits des personnes face à l’IA
L’exigence d’information conduit naturellement à examiner les moyens pratiques d’exercer les droits garantis par le RGPD. Selon la CNIL, la conception des systèmes doit intégrer des mécanismes favorisant l’accès, la rectification et la suppression.
Contraintes techniques et solutions opérationnelles
Ce H3 examine les obstacles techniques et propose des réponses opérationnelles adaptées aux modèles d’IA. Parmi les pistes, l’anonymisation, l’architecture de données et la possibilité de recalibrage ciblé figurent en priorité.
Mesures techniques clés :
- Anonymisation des bases d’apprentissage
- Journalisation des modifications de jeux de données
- Procédures de retraining ciblé
- Segmentation des données par finalité
« Nous avons mis en place des journaux de données et cela a facilité plusieurs demandes de suppression. »
Marc D.
Évaluer les coûts et documenter les impossibilités
Cette partie porte sur l’évaluation des coûts techniques et sur la justification documentaire des limites pratiques de mise en œuvre. Selon la CNIL, il est acceptable, si documenté, d’expliquer l’impossibilité technique d’isoler une donnée sans retraitement complet.
Ce travail d’analyse prépare la gouvernance renforcée et la responsabilité contractuelle, développées ensuite.
Gouvernance, responsabilité et sécurité des données pour une IA conforme
La mise en place de mécanismes opérationnels ouvre sur la gouvernance et la Responsabilité des acteurs. Selon la CNIL, l’AIPD et la qualification juridique des fournisseurs sont des points essentiels de contrôle.
Piloter la conformité : rôles et gouvernance
Ce paragraphe décrit les rôles attendus des responsables et des sous-traitants dans une gouvernance claire. Une gouvernance robuste inclut des registres, des contrats adaptés et des évaluations régulières de sécurité des données.
Principes de gouvernance :
- Registre des traitements actualisé
- Analyses d’impact périodiques
- Clauses contractuelles sur la responsabilité
- Plans de contrôle et d’audit
Élément
Description
Responsable
Fréquence d’audit
Registre des traitements
Inventaire des flux et finalités
Responsable du traitement
Annuel ou à chaque changement majeur
AIPD
Évaluation des risques pour les droits et libertés
Responsable du projet
Avant mise en production et périodique
Contrats fournisseurs
Clauses sur sécurité et sous-traitance
Direction juridique
À la signature et lors des renouvellements
Plan de réponse incident
Procédures de gestion et notification
RSSI
Tests trimestriels et post-incident
Sécurité des données et mesures opérationnelles
La sécurité opérationnelle des systèmes d’IA conditionne la confiance et la conformité au RGPD. Des mesures telles que le chiffrement, le contrôle d’accès et l’hardening des modèles réduisent significativement les risques.
Mesures de sécurité essentielles :
- Chiffrement des données au repos et en transit
- Contrôle d’accès strict par rôle
- Tests d’intrusion et audits réguliers
- Procédures de surveillance et de journalisation
« En tant que consultant, j’observe que la conformité renforce la confiance commerciale et réduit les risques réputationnels. »
Philippe N.
« Notre comité de pilotage a privilégié l’AIPD systématique pour les usages à haut enjeu, décision validée par le conseil. »
Élodie R.
Source : CNIL, « Recommandations pour l’application du RGPD aux systèmes d’IA », CNIL, 7 février 2025.