Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

Discrimination algorithmique : l’AI Act et le RGPD en tension

par | Sep 18, 2025 | AI ACT

Illustration professionnelle montrant une balance équilibrant le RGPD et l’AI Act, symbolisant les enjeux de conformité entre protection des données et intelligence artificielle.

 MDP Data Protection aide les entreprises à prévenir la discrimination algorithmique et à concilier conformité RGPD et AI Act

 

Alors que l’Intelligence Artificielle (IA) s’invite dans tous les secteurs, de l’éducation, la formation, de la santé à la banque en passant par les ressources humaines, la question de la discrimination algorithmique devient centrale. Les régulateurs européens ont mis en place deux cadres ambitieux pour encadrer ces pratiques : le Règlement Général sur la Protection des Données (RGPD) et le règlement européen sur l’Intelligence Artificielle (AI Act). Mais comment cohabitent-ils ? Sont-ils complémentaires ou parfois contradictoires ?

Chez MDP Data Protection, nous vous aidons à transformer vos obligations règlementaires en leviers de confiance et de performance.

 

 

Comprendre la discrimination algorithmique

La discrimination algorithmique désigne le traitement inégal ou biaisé que peut produire un système d’IA lorsqu’il prend des décisions automatisées à partir de données biaisées, mal structurées ou historiques. Les biais peuvent concerner l’origine, le genre, l’âge, la situation sociale ou encore l’état de santé.

Les conséquences peuvent être graves : refus de crédit, non-embauche, accès différencié à des services publics.

 

Le RGPD : un socle juridique fort, mais généraliste

Le RGPD impose des obligations strictes en matière de traitement des données personnelles, dont plusieurs directement liées à la lutte contre les discriminations :

  • Droit à ne pas faire l’objet d’une décision automatisée sans intervention humaine (article 22)
  • Droit d’accès à une « explication » sur la logique ayant conduit à une décision
  • Principe de loyauté, de minimisation des données et d’équité dans les traitements

Mais ces principes, bien que puissants, ne sont pas toujours suffisants face à des modèles d’IA complexes et peu transparents (« boîte noire »).

 

L’AI Act : des règles spécifiques, fondées sur le risque

Adopté en 2024, l’AI Act introduit une classification des systèmes d’IA selon leur niveau de risque. Les systèmes à haut risque, notamment ceux utilisés pour le recrutement, le scoring ou l’éducation, sont soumis à des obligations supplémentaires :

  • Documentation et traçabilité des données d’apprentissage
  • Explicabilité des décisions automatisées
  • Auditabilité et surveillance humaine
  • Évaluation de conformité avant mise sur le marché

L’AI Act complète donc le RGPD, mais dans une approche « ex ante », centrée sur la conception et la commercialisation des systèmes.

 

Une divergence croissante entre RGPD et AI Act

Alors que le RGPD impose un encadrement strict du traitement des données sensibles, l’AI Act, quant à lui, prévoit des mécanismes pour autoriser ce traitement sous conditions strictes, notamment lorsqu’il permet de prévenir ou de corriger des biais algorithmiques. Cette divergence crée une véritable zone grise réglementaire : comment garantir une IA non discriminatoire sans avoir recours à certaines données protégées par le RGPD, comme l’origine ethnique ou les opinions politiques ? Cette tension soulève des interrogations fondamentales sur la manière d’interpréter et d’articuler deux textes pourtant complémentaires dans leurs finalités.

 

Un défi juridique pour les entreprises et les développeurs

Pour les responsables de traitement et les développeurs d’IA, cette incertitude juridique représente un risque concret. D’un côté, le RGPD interdit en principe le traitement de données dites « sensibles », sauf exceptions encadrées. De l’autre, l’AI Act encourage une IA équitable, ce qui suppose parfois l’usage de ces données pour détecter des discriminations. Sans clarification ou ligne directrice claire de la part des autorités (CNIL, EDPB…), les entreprises doivent naviguer à vue. Cette situation met en lumière les limites actuelles du RGPD dans un contexte technologique en pleine mutation, où l’encadrement juridique doit accompagner l’innovation tout en garantissant les droits fondamentaux.

 

Points de tension entre les deux cadres

Élément RGPD AI Act
Champ d’application Traitement des données personnelles Systèmes d’IA (même sans données personnelles)
Moment d’intervention Pendant et après le traitement Avant mise sur le marché
Responsabilités Responsable de traitement / sous-traitant Fournisseur / utilisateur de l’IA
Base juridique Consentement, contrat, intérêt légitime… Obligations techniques et réglementaires

 

Perspectives d’évolution : vers une convergence réglementaire ?

Une réforme du RGPD pourrait s’avérer nécessaire et des lignes directrices clarificatrices sont attendues pour harmoniser les deux réglementations. Cette tension réglementaire souligne l’urgence d’adapter notre cadre juridique à l’ère de l’IA, pour concilier innovation, éthique et protection des données personnelles.

Cependant, malgré les divergences, le Comité Européen de la Protection des Données (EDPB) plaide pour une application conjointe des deux textes. La CNIL, dans son dossier IA, insiste sur l’importance de l’éthique dès la conception, en s’appuyant sur les principes RGPD tout en respectant les obligations AI Act.

 

Bonnes pratiques pour les entreprises

  • Cartographier les systèmes d’IA déployés ou envisagés
  • Réaliser une AIPD (analyse d’impact) pour tout traitement sensible ou décision automatisée
  • Documenter la provenance des données et les biais potentiels
  • Définir des mécanismes de recours pour les personnes affectées
  • Former les équipes aux enjeux juridiques et éthiques de l’IA

 

En résumé  

La conformité IA s’impose comme un passage obligé pour toutes les organisations innovantes. Bien plus qu’un simple respect des obligations, elle ouvre la voie à une transformation responsable, source de confiance, d’agilité et de performance. Anticipez dès aujourd’hui les évolutions réglementaires : cartographiez vos systèmes IA, sensibilisez vos équipes, outillez-vous et faites de la conformité un atout stratégique. Pour aller plus loin, n’hésitez pas à solliciter un audit personnalisé ou à rejoindre notre plateforme de formation MDP Campus.

  • Cartographier ses systèmes IA et évaluer les risques
  • Mettre en place une gouvernance et une documentation solide
  • Sensibiliser, former et responsabiliser toutes les équipes
  • S’appuyer sur des outils et partenaires spécialisés
  • Anticiper les évolutions pour rester conforme et innovant

 

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Livre Blanc RGPD

Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?

Recevoir le Livre blanc RGPD

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.