Le RGPD et l'ENS à l'ère de l'IA : comment démontrer la responsabilité à l'aide de preuves cryptographiques V-PROOF

Le RGPD et l'ENS à l'ère de l'IA : comment démontrer la responsabilité à l'aide de preuves cryptographiques — V-PROOF
Réglementation · Protection des données

Le RGPD et l'ENS à l'ère de l'IA : la responsabilité n'est plus une simple déclaration, mais une preuve technique

Le principe de responsabilité prévu par le RGPD impose de démontrer la conformité, et non pas simplement de la déclarer. Lorsque des systèmes d'IA interviennent dans le processus de traitement, les articles 5, 25, 30 et 32 exigent un niveau de traçabilité qu'aucun document de politique ne peut à lui seul garantir.

Publié en juillet 2026
Cadre réglementaire : RGPD · Articles 5, 25, 30, 32, 33 · ENS RD 311/2022
Catégorie : Réglementation
RGPD · UE 2016/679 ENS · Décret royal n° 311/2022 Fournisseur européen

Points clés

  • L'article 5, paragraphe 2, du RGPD établit le principe de responsabilité : le responsable du traitement doit être en mesure de démontrer activement qu'il s'y conforme — il ne suffit pas de le mentionner dans une politique de confidentialité.
  • Lorsque des systèmes d'IA sont intégrés au processus de traitement, l'article 25 (respect de la vie privée dès la conception) exige la preuve que les mesures de protection de la vie privée ont été mises en œuvre dès la conception du système, et non pas a posteriori.
  • L'article 30 exige un registre des activités de traitement (RAT) précis et à jour — V-PROOF fait un registre accompagné de preuves cryptographiques vérifiables par l'AEPD.
  • L'article 33 fixe un délai de 72 heures pour signaler les fuites de données à caractère personnel à l'AEPD. Pour justifier ce délai, l'entité doit disposer d'un enregistrement technique inaltérable indiquant le moment de la découverte.
  • L'ENS (décret royal 311/2022) s'applique de manière obligatoire aux administrations publiques espagnoles et à leurs fournisseurs de technologies de l'information et de la communication : les catégories « Moyenne » et « Élevée » exigent des mesures de sécurité vérifiables et dotées d'une traçabilité technique.
  • La convergence entre le RGPD et EU AI Act EU AI Act EU AI Act une double obligation pour les systèmes d'IA traitant des données à caractère personnel : l'article 22 du RGPD (décisions automatisées) et l'article 14 de EU AI Act supervision humaine) exigent tous deux la même trace vérifiable de l'intervention humaine.

La responsabilité : une obligation que la plupart des organisations continuent de ne pas respecter

Depuis 2018, le RGPD énonce dans son article 5, paragraphe 2, ce que les experts en protection des données appellent le principe d’« accountability » ou de responsabilité proactive : « Le responsable du traitement est chargé de veiller au respect des dispositions du paragraphe 1 et doit être en mesure de le démontrer. » L’italique est de nous — et c’est là que réside le problème que la plupart des organisations ignorent.

Le RGPD ne dit pas « disposez d’une politique de confidentialité ». Il dit « soyez en mesure de le prouver ». Cette démonstration, lors d’un contrôle de l’AEPD ou devant un tribunal, nécessite des preuves techniques — registres, journaux, preuves vérifiables attestant que les contrôles de protection des données existaient, fonctionnaient et ont été correctement appliqués dans le cadre du traitement spécifique faisant l’objet de l’audit.

La responsabilité en pratique — ce que demande l'AEPD

Lors d'un contrôle de l'AEPD ou d'une procédure de sanction, la question n'est pas « Disposez-vous d'une politique de confidentialité ? », mais « Pouvez-vous prouver que ce traitement spécifique de données à caractère personnel respectait les principes de l'article 5 à la date précise de l'incident ? ». Une politique documentée répond à la première question. Seules des preuves techniques vérifiables répondent à la seconde.

Ce problème s’amplifie de manière exponentielle lorsque les systèmes d’IA interviennent dans le processus de traitement. Un modèle d’apprentissage automatique qui traite des données à caractère personnel pour générer des recommandations, classer des candidats ou détecter des anomalies de comportement introduit une opacité dans le traitement : comment l’organisation peut-elle démontrer que le traitement automatisé a respecté le principe de minimisation des données ? Qu’il y a eu une supervision humaine des décisions ayant un impact significatif ? Que le modèle n’a pas introduit de biais enfreignant l’article 5, paragraphe 1, point a), relatif à la licéité du traitement ? En l’absence de traçabilité technique vérifiable, la réponse à ces questions est toujours la même : elle ne le peut pas.

RGPD et ENS : deux cadres qui se recoupent dans des secteurs clés

Pour les organismes du secteur public espagnol et leurs fournisseurs de technologies, le RGPD n'est pas le seul cadre de référence en matière de protection des données et de sécurité. Le Cadre national de sécurité (ENS, décret royal 311/2022) définit les principes et les exigences de sécurité applicables aux systèmes d'information des administrations publiques — et s'applique également aux prestataires privés fournissant des services à ces dernières.

RGPD · Règlement (UE) 2016/679
Responsabilité du responsable du traitement
Applicable à toute organisation traitant des données à caractère personnel de résidents de l'UE. Principes : licéité, loyauté, transparence, limitation de la finalité, minimisation, exactitude, limitation de la durée de conservation, intégrité et confidentialité. Tous ces principes doivent pouvoir être démontrés — art. 5, paragraphe 2.
ENS · Décret royal n° 311/2022
Sécurité des systèmes d'information publics
Obligatoire pour les administrations publiques espagnoles et leurs fournisseurs de services informatiques. Trois catégories : « de base », « moyenne » et « élevée », en fonction de l'impact d'un incident de sécurité. Les catégories « moyenne » et « élevée » exigent des mesures de sécurité pouvant faire l'objet d'un audit, avec une traçabilité technique vérifiable par le CCN-CERT.

Le lien est évident : un prestataire de services informatiques au service d’une administration publique espagnole traite des données à caractère personnel au titre du RGPD et doit se conformer à l’ENS. Les preuves techniques générées par V-PROOF simultanément ces deux cadres : l’enregistrement cryptographique des contrôles mis en œuvre sert à la fois à attester de la responsabilité au titre du RGPD auprès de l’AEPD et à démontrer la mise en œuvre des mesures ENS auprès du CCN-CERT.

Les articles qui nécessitent des preuves techniques — et ce que propose V-PROOF

Art. 5, paragraphe 2, du RGPD — Responsabilité
Le responsable doit être en mesure de démontrer le respect des principes de traitement
Le principe de responsabilité est présent dans l'ensemble du RGPD : chaque décision relative au traitement — quelles données sont collectées, à quelles fins, pendant combien de temps, avec quelles mesures de sécurité — doit pouvoir être justifiée auprès de l'autorité de contrôle. « Pouvoir le démontrer » signifie fournir des preuves techniques, et non une simple déclaration d'intention.
Preuve V-PROOF V-Seal scelle de manière cryptographique chaque décision pertinente en matière de traitement : la mise en place d’une nouvelle catégorie de données, la modification d’une finalité de traitement, l’application d’une mesure de sécurité. timestamp crée un historique vérifiable des décisions de conformité — défendable devant l’AEPD dans le cadre de toute procédure.
Art. 25 du RGPD — Protection de la vie privée dès la conception
Preuve que les mesures de protection de la vie privée ont été mises en œuvre dès la conception du système
La protection de la vie privée dès la conception et par défaut exige que les contrôles de confidentialité ne soient pas ajoutés a posteriori, mais qu’ils soient mis en œuvre dès la conception du système. À l’ère de l’IA, cela signifie que les principes de minimisation des données et de limitation de la finalité doivent être intégrés à l’architecture du modèle — et que cela doit pouvoir être démontré.
Preuves V-PROOF V-PROOF les mesures de protection de la vie privée mises en œuvre dans le système de traitement, le moment où elles ont été mises en œuvre (lors de la conception ou après le lancement) et qui les a approuvées. Pour les systèmes d’IA, le module AI Orchestrator consigne que les principes de minimisation et de limitation de la finalité ont été appliqués pendant l’entraînement et le déploiement.
Art. 30 du RGPD — Journal des activités
RAT avec preuve cryptographique vérifiable : le registre que l'AEPD peut contrôler
Le registre des activités de traitement (RAT) constitue la colonne vertébrale documentaire de la conformité au RGPD. Cependant, un RAT sous forme de document Word ou de feuille de calcul présente un problème fondamental : il peut être modifié rétroactivement. Lorsque l’AEPD procède à un audit dans le cadre d’un incident, l’entité ne peut garantir que le registre reflète ce qui était réellement effectué à la date de l’incident.
Preuve V-PROOF V-PROOF le RAT en un registre doté d’une chaîne de conservation cryptographique : chaque entrée du registre des activités reçoit un timestamp immuable timestamp . Si l’AEPD procède à un audit d’un traitement ayant eu lieu il y a 18 mois, l’entité peut démontrer exactement ce que contenait le RAT à cette date — et qu’il n’a pas été modifié depuis lors.
Art. 32–33 du RGPD — Sécurité et violations de données
Mesures de sécurité vérifiables et timestamp la détection des failles
L'article 32 exige la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement. L'article 33 fixe un délai de 72 heures pour notifier les violations de données à caractère personnel à l'AEPD — à compter du moment où le responsable « prend connaissance » de l'incident. C'est cette expression « prend connaissance » qui fait l'objet d'un litige dans la plupart des procédures de sanction pour violation de données.
Preuve V-PROOF V-Seal certifie la mise en œuvre de chaque mesure de sécurité prévue à l’article 32 à l’aide timestamp . En cas de violation, l’enregistrement immuable du moment de la découverte (c’est-à-dire le moment où l’équipe a eu connaissance de l’incident sur le plan technique) constitue la preuve attestant le respect du délai de 72 heures prévu à l’article 33 auprès de l’AEPD — ou démontrant qu’il était impossible d’en avoir eu connaissance auparavant.

Catégories ENS « Moyenne » et « Élevée » : de la déclaration de conformité aux preuves vérifiables

Le décret royal 311/2022 actualise l'ENS afin de l'aligner sur le paysage actuel des cybermenaces et sur les cadres européens en matière de cybersécurité (NIS2, DORA). Les catégories « Moyenne » et « Élevée » de l'ENS exigent des mesures de sécurité qui vont au-delà de la simple autodéclaration : le CCN-CERT peut exiger des preuves techniques de conformité lors de ses audits.

L'ENS et le secteur public numérique

Toute entreprise privée fournissant des services technologiques à une administration publique espagnole — qu’il s’agisse d’un SaaS de gestion documentaire ou d’une plateforme de traitement électronique des demandes — doit se conformer à la norme ENS dans la catégorie correspondant à son système. Avec la numérisation accélérée des services publics et l’intégration de l’IA dans le traitement des dossiers et l’accueil des citoyens, le nombre de prestataires concernés s’est multiplié. V-PROOF la chaîne d’audit technique exigée par le CCN-CERT pour certifier la conformité ENS des systèmes de catégorie moyenne et élevée.

Couverture V-PROOF au RGPD et à la norme ENS

Article Obligation Couverture Module V-PROOF
RGPD — Principes et responsabilité
Art. 5, paragraphe 2 :Responsabilité Preuve technique vérifiable du respect des principes de traitement ✓ Terminé V-Seal
Art.25 – Protection de la vie privée dès la conception Compte rendu indiquant quand et comment les contrôles de confidentialité ont été mis en place lors de la conception du système ✓ Terminé V-Seal AI Orchestrator
Art.30RAT Journal des activités de traitement avec chaîne de contrôle cryptographique — immuable et vérifiable a posteriori ✓ Terminé V-Seal
Art.32 Sécurité du traitement Preuve de la mise en œuvre de mesures techniques et organisationnelles de sécurité, vérifiable par l'AEPD ✓ Terminé V-Seal
Art.33 Notification des failles · 72 h Timestamp du moment de la découverte de la faille — atteste du respect du délai de 72 heures ✓ Terminé V-Seal
Art.35 du RGPD Analyse d'impact relative à la protection des données pour les traitements à haut risque ◐ Partiel V-Seal
ENS — Décret royal n° 311/2022
ENS Cat.Media - Mesures de sécurité Chaîne d'audit technique des mesures de sécurité mises en œuvre, vérifiable par le CCN-CERT ✓ Terminé V-Seal
ENS Cat.Alta : traçabilité avancée Preuve cryptographique des contrôles de sécurité avec traçabilité complète du cycle de vie du système ✓ Terminé V-Seal Intégration Git
Convergence entre le RGPD et EU AI Act Pour les systèmes d'IA traitant des données à caractère personnel
RGPD, art. 22 et EU AI Act . 14 Supervision humaine vérifiable dans les systèmes d'IA ayant un impact significatif sur les personnes physiques ✓ Terminé V-Proof Orchestrateur IA
RGPD, art. 25 et EU AI Act . 10 Le « Privacy by design » dans le traitement des données d'entraînement des modèles d'IA ✓ Terminé AI Orchestrator

◐ Partiel = V-PROOF les résultats de l'évaluation ; la conception et la mise en œuvre de l'AIPD relèvent de la responsabilité du DPD ou d'un conseiller juridique spécialisé.

RGPD + EU AI Act: une double obligation qui concerne presque tous les systèmes d'IA

Presque tous les systèmes d’IA d’entreprise traitent des données à caractère personnel : systèmes de notation de crédit, plateformes d’analyse du comportement des clients, outils de recrutement assistés par l’IA, systèmes de vidéosurveillance intelligente. Tous relèvent du RGPD et, s’ils présentent un risque élevé, de la EU AI Act. Cette intersection engendre des obligations qu’aucun des deux cadres ne régit de manière isolée.

L'article 22 du RGPD stipule que les personnes concernées ont le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé qui produisent à leur égard des effets juridiques significatifs ou similaires. L’article 14 de EU AI Act que les systèmes d’IA à haut risque fassent l’objet d’une supervision humaine vérifiable. Ces deux textes imposent la même exigence, bien que dans des cadres différents : qu’une personne ait examiné, compris et approuvé la décision — et que cela puisse être démontré.

Une seule preuve pour deux cadres

Le module V-Proof de V-PROOF l'identité du réviseur humain, son rôle, le rapport IA/humain de la décision et le contexte réglementaire appliqué — pour chaque décision individuelle du système. Cet enregistrement répond à la fois à l’exigence de supervision humaine prévue par EU AI Act art. 14) et à l’obligation de démontrer l’intervention humaine en vertu de l’art. 22 du RGPD. Le délégué à la protection des données (DPO) et l’équipe chargée de la gouvernance de l’IA disposent ainsi d’une source unique de preuves pour deux autorités de régulation distinctes.

Souveraineté des données · Pertinence du RGPD / ENS

Pourquoi le lieu d'établissement du prestataire de services de conformité est-il important au regard du RGPD ?

Le RGPD (articles 44 à 49) restreint les transferts de données à caractère personnel vers des pays tiers ne disposant pas de garanties équivalentes. Un fournisseur de plateforme de gouvernance de l'IA ou de GRC basé aux États-Unis qui gère la documentation relative à la conformité au RGPD d'une organisation européenne peut transférer des données de conformité — notamment les registres des activités de traitement et les preuves de violations — hors de l'UE sans garanties adéquates.

Pire encore : le CLOUD Act américain peut contraindre ce fournisseur à remettre ces registres aux autorités américaines, y compris, potentiellement, les registres relatifs aux violations de données à caractère personnel avant même que l'organisation n'ait pu en informer l'AEPD — ce qui pourrait constituer une violation de l'article 33 du RGPD, la confidentialité de la procédure de notification étant ainsi compromise.

V-PROOF son siège social en Espagne. Les registres de conformité au RGPD — le RAT, les preuves de responsabilité, les horodatages de détection des failles — restent sous la souveraineté de l'UE. Il n'y a pas de transfert international, pas de risque lié au CLOUD Act, ni d'incompatibilité avec les articles 44 à 49 du RGPD.

Pour le secteur public soumis à l'ENS, ce point revêt une importance particulière : l'ENS exige que les systèmes d'information des administrations publiques et leurs données restent sous souveraineté espagnole. Un prestataire de services de gestion des preuves conforme à l'ENS dont le siège se trouve aux États-Unis n'est pas compatible avec cette exigence.
Analyse stratégique

V-PROOF au RGPD et à l'ENS

Atouts, cas d'utilisation dans le domaine réglementaire et limites du champ d'application

F
Points forts · Ce que V-PROOF au RGPD et à l'ENS
  • RAT avec chaîne de traçabilité cryptographique : immuable, vérifiable rétrospectivement par l’AEPD — la différence entre déclarer la conformité et pouvoir la démontrer Art. 30 du RGPD — RAT
  • Timestamp du moment de la découverte des violations — preuve attestant du respect du délai de 72 heures prévu à l’article 33 ou démontrant son impossibilité technique Article 33 du RGPD — Notification des violations
  • Preuve de la « protection de la vie privée dès la conception » : registre indiquant quand et comment les mesures de protection de la vie privée ont été mises en œuvre au cours du développement du système — et non pas sous forme de correctif a posteriori Art. 25 du RGPD — Protection de la vie privée dès la conception
  • Contrôle humain vérifiable dans les systèmes d’IA traitant des données à caractère personnel : couvre l’article 22 du RGPD et l’article 14 EU AI Act un seul registre Article 22 du RGPD + EU AI Act 14 EU AI Act
  • Chaîne d'audit ENS : preuves techniques des mesures de sécurité des catégories « Moyenne » et « Élevée », vérifiables par le CCN-CERT ENS Cat. Moyenne/Élevée — RD 311/2022
  • Siège social en Espagne : registres de conformité au RGPD et à l’ENS sous la souveraineté de l’UE — sans risque lié au CLOUD Act ni incompatibilité avec les articles 44 à 49 du RGPD Articles 44 à 49 du RGPD + ENS sous souveraineté
Domaines d'intervention · Cas d'utilisation dans le cadre réglementaire
  • Responsables de la protection des données (RPD) d’organisations disposant de systèmes d’IA qui traitent des données à caractère personnel et qui doivent fournir des preuves techniques de leur responsabilité à l’AEPD Art. 5, paragraphe 2, du RGPD — Responsabilité
  • Entreprises ayant subi des violations de données et devant prouver le moment exact de leur découverte afin de démontrer le respect du délai de 72 heures Art. 33 du RGPD — Violations de données
  • Fournisseurs de technologies de l'information et de la communication (TIC) des administrations publiques espagnoles tenus de certifier la conformité ENS de leurs systèmes dans les catégories « Moyenne » ou « Élevée » ENS — Décret royal n° 311/2022
  • Organisations disposant de plateformes de prise de décision automatisée (scoring, recrutement par IA, service aux citoyens) soumises à la double obligation prévue par l'article 22 du RGPD et EU AI Act EU AI Act entre le RGPD et EU AI Act
  • Les équipes de développement qui mettent en œuvre des systèmes traitant des données à caractère personnel et qui doivent démontrer le respect du principe de « privacy by design » tout au long du cycle de développement — et non a posteriori Art. 25 du RGPD — « Privacy by design »
Hors du périmètre · Responsabilité du client
  • Élaboration de la politique de confidentialité et des mentions légales : V-PROOF que les contrôles existent et ont été mis en œuvre ; il ne rédige pas les clauses juridiques et ne donne pas de conseils sur le fondement juridique du traitement. Politique de confidentialité
  • L'analyse d'impact (DPIA, art. 35) : V-PROOF les résultats de la DPIA et son approbation, mais l'analyse des risques et la conception des mesures sont effectuées par le DPD ou des conseillers juridiques spécialisés. Art. 35 du RGPD — DPIA
  • La notification formelle des violations à l'AEPD (art. 33) et aux personnes concernées (art. 34) : V-PROOF le moment de la découverte ; la notification formelle incombe au responsable du traitement. Art. 33–34 du RGPD — Notification
  • Analyse juridique des transferts internationaux (articles 44 à 49) : V-PROOF gère V-PROOF les clauses contractuelles types et n'évalue pas l'adéquation des pays tiers. Cette analyse nécessite un conseil juridique spécialisé. Articles 44 à 49 du RGPD — Transferts
Diagnostic RGPD / ENS

Votre organisation est-elle en mesure de démontrer à l'AEPD que ses traitements utilisant l'IA sont conformes à l'article 5 du RGPD ?

V-PROOF un diagnostic stratégique de 48 heures qui recense les obligations du RGPD et de l'ENS applicables à vos systèmes, identifie les lacunes en matière de preuves techniques et définit l'intégration nécessaire pour rendre la responsabilité démontrable.

Demander un diagnostic stratégique RGPD / ENS

Sources et références réglementaires

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) — EUR-Lex CELEX:32016R0679
  2. Décret royal n° 311/2022, du 3 mai, portant réglementation du dispositif national de sécurité — BOE-A-2022-7191
  3. AEPD — Guide d'analyse des risques liés au traitement des données à caractère personnel à l'aide de l'IA, 2024 — aepd.es
  4. AEPD — Guide pratique d'analyse des risques liés au traitement des données à caractère personnel, 2021 — aepd.es
  5. CCN-CERT — Guide de mise en œuvre de l'ENS (Série CCN-STIC 800) — ccn-cert.cni.es
  6. EDPB — Lignes directrices 05/2022 relatives à l'utilisation de la technologie de reconnaissance faciale dans le domaine de l'application de la loi — edpb.europa.eu
  7. Règlement (UE) 2024/1689 (EU AI Act) — référence de convergence avec le RGPD pour les systèmes d’IA traitant des données à caractère personnel — EUR-Lex
Précédent
Précédent

Comment V-PROOF contribue V-PROOF respect de la réglementation DORA et au secteur financier

Suivant
Suivant

NIS2 en Espagne : ce qu'exige la directive 2022/2555 et comment attester de la conformité avec V-PROOF