Qu'est-ce qu'une analyse d'impact algorithmique et quand est-elle obligatoire ?
Réponse courte
L'analyse d'impact algorithmique est une évaluation structurée des risques qu'un système d'IA présente pour les droits fondamentaux. L'AI Act impose aux déployeurs de systèmes à haut risque de réaliser une analyse d'impact sur les droits fondamentaux (article 27) avant le déploiement. Le RGPD exige une AIPD (article 35) dès qu'un traitement automatisé engendre un risque élevé pour les droits des personnes.
Ces deux analyses sont complémentaires mais distinctes. L'analyse AI Act porte sur les droits fondamentaux au sens large (non-discrimination, dignité, accès à l'emploi), tandis que l'AIPD se concentre sur la protection des données personnelles. Les entreprises utilisant l'IA en RH doivent généralement réaliser les deux. L'analyse doit être effectuée avant le déploiement et mise à jour en cas de modification significative du système.
Définition
L'analyse d'impact sur les droits fondamentaux prévue par l'AI Act est une démarche d'évaluation préalable qui oblige le déployeur à identifier les risques spécifiques que le système d'IA présente pour les droits des personnes dans son contexte d'utilisation particulier. Elle examine les impacts potentiels sur la non-discrimination, la dignité humaine et les libertés fondamentales.
L'AIPD (analyse d'impact relative à la protection des données) prévue par le RGPD est une obligation distincte qui évalue les risques du traitement pour la vie privée et la protection des données. Le profilage et les décisions automatisées produisant des effets juridiques figurent parmi les cas nécessitant systématiquement une AIPD, ce qui couvre la plupart des usages RH de l'IA.
Conditions d’exercice
Les conditions d'obligation varient selon la source réglementaire.
| Analyse | Base légale | Obligatoire quand | Contenu principal |
|---|---|---|---|
| Analyse AI Act | AI Act Art. 27 | Déploiement d'un système à haut risque (recrutement, évaluation, affectation) | Impact sur les droits fondamentaux, mesures d'atténuation, plan de supervision |
| AIPD RGPD | RGPD Art. 35 | Traitement automatisé avec profilage ou décision produisant des effets juridiques | Nécessité et proportionnalité, risques pour les droits des personnes, mesures envisagées |
| Information délégation | Art. L.261-1 | Traitement de données à des fins de surveillance des salariés | Description de la finalité, des modalités et de la durée de conservation |
Modalités pratiques
La réalisation d'une analyse d'impact suit une méthodologie structurée.
| Étape | Détail |
|---|---|
| Description du système | Documenter la finalité, le fonctionnement, les données traitées et les personnes concernées |
| Évaluation des risques | Identifier les impacts sur les droits fondamentaux et la protection des données |
| Mesures d'atténuation | Définir les mesures techniques et organisationnelles pour réduire les risques |
| Supervision humaine | Prévoir les modalités de contrôle humain et d'intervention |
| Consultation | Consulter le DPO, la délégation du personnel et, le cas échéant, la CNPD |
| Documentation | Formaliser l'analyse dans un document accessible et daté |
| Mise à jour | Réévaluer en cas de modification du système ou de son contexte d'utilisation |
Pratiques et recommandations
Combiner les deux analyses (AI Act et RGPD) dans un document unique pour éviter les redondances et garantir une vision globale des risques, tout en respectant les exigences spécifiques de chaque cadre.
Impliquer le DPO, les représentants du personnel et les utilisateurs opérationnels dans la démarche d'analyse pour bénéficier de perspectives complémentaires sur les risques réels.
Documenter les résultats de manière détaillée et les conserver pendant toute la durée d'utilisation du système, car ces documents devront être présentés en cas de contrôle ou de contestation.
Réévaluer l'analyse à intervalles réguliers et systématiquement après toute modification significative du système, de ses données d'entraînement ou de son périmètre d'utilisation.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 27 | Analyse d'impact sur les droits fondamentaux pour les déployeurs de systèmes à haut risque |
| RGPD - Article 35 | Analyse d'impact relative à la protection des données |
| RGPD - Article 36 | Consultation préalable de l'autorité de contrôle si le risque résiduel reste élevé |
| Art. L.261-1 | Information préalable de la délégation du personnel |
| Art. L.414-1 | Consultation de la délégation du personnel |
Note
L'analyse d'impact est une obligation préalable au déploiement, pas une formalité a posteriori. Son absence constitue une infraction sanctionnable tant au titre de l'AI Act que du RGPD. Les entreprises ont intérêt à mutualiser les deux démarches dans un processus unique.