Le RGPD et l'ENS à l'ère de l'IA : comment démontrer la responsabilité à l'aide de preuves cryptographiques V-PROOF
Le RGPD et l'ENS à l'ère de l'IA : la responsabilité n'est plus une simple déclaration, mais une preuve technique
Le principe de responsabilité prévu par le RGPD impose de démontrer la conformité, et non pas simplement de la déclarer. Lorsque des systèmes d'IA interviennent dans le processus de traitement, les articles 5, 25, 30 et 32 exigent un niveau de traçabilité qu'aucun document de politique ne peut à lui seul garantir.
Points clés
- L'article 5, paragraphe 2, du RGPD établit le principe de responsabilité : le responsable du traitement doit être en mesure de démontrer activement qu'il s'y conforme — il ne suffit pas de le mentionner dans une politique de confidentialité.
- Lorsque des systèmes d'IA sont intégrés au processus de traitement, l'article 25 (respect de la vie privée dès la conception) exige la preuve que les mesures de protection de la vie privée ont été mises en œuvre dès la conception du système, et non pas a posteriori.
- L'article 30 exige un registre des activités de traitement (RAT) précis et à jour — V-PROOF fait un registre accompagné de preuves cryptographiques vérifiables par l'AEPD.
- L'article 33 fixe un délai de 72 heures pour signaler les fuites de données à caractère personnel à l'AEPD. Pour justifier ce délai, l'entité doit disposer d'un enregistrement technique inaltérable indiquant le moment de la découverte.
- L'ENS (décret royal 311/2022) s'applique de manière obligatoire aux administrations publiques espagnoles et à leurs fournisseurs de technologies de l'information et de la communication : les catégories « Moyenne » et « Élevée » exigent des mesures de sécurité vérifiables et dotées d'une traçabilité technique.
- La convergence entre le RGPD et EU AI Act EU AI Act EU AI Act une double obligation pour les systèmes d'IA traitant des données à caractère personnel : l'article 22 du RGPD (décisions automatisées) et l'article 14 de EU AI Act supervision humaine) exigent tous deux la même trace vérifiable de l'intervention humaine.
La responsabilité : une obligation que la plupart des organisations continuent de ne pas respecter
Depuis 2018, le RGPD énonce dans son article 5, paragraphe 2, ce que les experts en protection des données appellent le principe d’« accountability » ou de responsabilité proactive : « Le responsable du traitement est chargé de veiller au respect des dispositions du paragraphe 1 et doit être en mesure de le démontrer. » L’italique est de nous — et c’est là que réside le problème que la plupart des organisations ignorent.
Le RGPD ne dit pas « disposez d’une politique de confidentialité ». Il dit « soyez en mesure de le prouver ». Cette démonstration, lors d’un contrôle de l’AEPD ou devant un tribunal, nécessite des preuves techniques — registres, journaux, preuves vérifiables attestant que les contrôles de protection des données existaient, fonctionnaient et ont été correctement appliqués dans le cadre du traitement spécifique faisant l’objet de l’audit.
La responsabilité en pratique — ce que demande l'AEPD
Lors d'un contrôle de l'AEPD ou d'une procédure de sanction, la question n'est pas « Disposez-vous d'une politique de confidentialité ? », mais « Pouvez-vous prouver que ce traitement spécifique de données à caractère personnel respectait les principes de l'article 5 à la date précise de l'incident ? ». Une politique documentée répond à la première question. Seules des preuves techniques vérifiables répondent à la seconde.
Ce problème s’amplifie de manière exponentielle lorsque les systèmes d’IA interviennent dans le processus de traitement. Un modèle d’apprentissage automatique qui traite des données à caractère personnel pour générer des recommandations, classer des candidats ou détecter des anomalies de comportement introduit une opacité dans le traitement : comment l’organisation peut-elle démontrer que le traitement automatisé a respecté le principe de minimisation des données ? Qu’il y a eu une supervision humaine des décisions ayant un impact significatif ? Que le modèle n’a pas introduit de biais enfreignant l’article 5, paragraphe 1, point a), relatif à la licéité du traitement ? En l’absence de traçabilité technique vérifiable, la réponse à ces questions est toujours la même : elle ne le peut pas.
RGPD et ENS : deux cadres qui se recoupent dans des secteurs clés
Pour les organismes du secteur public espagnol et leurs fournisseurs de technologies, le RGPD n'est pas le seul cadre de référence en matière de protection des données et de sécurité. Le Cadre national de sécurité (ENS, décret royal 311/2022) définit les principes et les exigences de sécurité applicables aux systèmes d'information des administrations publiques — et s'applique également aux prestataires privés fournissant des services à ces dernières.
Le lien est évident : un prestataire de services informatiques au service d’une administration publique espagnole traite des données à caractère personnel au titre du RGPD et doit se conformer à l’ENS. Les preuves techniques générées par V-PROOF simultanément ces deux cadres : l’enregistrement cryptographique des contrôles mis en œuvre sert à la fois à attester de la responsabilité au titre du RGPD auprès de l’AEPD et à démontrer la mise en œuvre des mesures ENS auprès du CCN-CERT.
Les articles qui nécessitent des preuves techniques — et ce que propose V-PROOF
Catégories ENS « Moyenne » et « Élevée » : de la déclaration de conformité aux preuves vérifiables
Le décret royal 311/2022 actualise l'ENS afin de l'aligner sur le paysage actuel des cybermenaces et sur les cadres européens en matière de cybersécurité (NIS2, DORA). Les catégories « Moyenne » et « Élevée » de l'ENS exigent des mesures de sécurité qui vont au-delà de la simple autodéclaration : le CCN-CERT peut exiger des preuves techniques de conformité lors de ses audits.
L'ENS et le secteur public numérique
Toute entreprise privée fournissant des services technologiques à une administration publique espagnole — qu’il s’agisse d’un SaaS de gestion documentaire ou d’une plateforme de traitement électronique des demandes — doit se conformer à la norme ENS dans la catégorie correspondant à son système. Avec la numérisation accélérée des services publics et l’intégration de l’IA dans le traitement des dossiers et l’accueil des citoyens, le nombre de prestataires concernés s’est multiplié. V-PROOF la chaîne d’audit technique exigée par le CCN-CERT pour certifier la conformité ENS des systèmes de catégorie moyenne et élevée.
Couverture V-PROOF au RGPD et à la norme ENS
| Article | Obligation | Couverture | Module V-PROOF |
|---|---|---|---|
| RGPD — Principes et responsabilité | |||
| Art. 5, paragraphe 2 :Responsabilité | Preuve technique vérifiable du respect des principes de traitement | ✓ Terminé | V-Seal |
| Art.25 – Protection de la vie privée dès la conception | Compte rendu indiquant quand et comment les contrôles de confidentialité ont été mis en place lors de la conception du système | ✓ Terminé | V-Seal AI Orchestrator |
| Art.30RAT | Journal des activités de traitement avec chaîne de contrôle cryptographique — immuable et vérifiable a posteriori | ✓ Terminé | V-Seal |
| Art.32 Sécurité du traitement | Preuve de la mise en œuvre de mesures techniques et organisationnelles de sécurité, vérifiable par l'AEPD | ✓ Terminé | V-Seal |
| Art.33 Notification des failles · 72 h | Timestamp du moment de la découverte de la faille — atteste du respect du délai de 72 heures | ✓ Terminé | V-Seal |
| Art.35 du RGPD | Analyse d'impact relative à la protection des données pour les traitements à haut risque | ◐ Partiel | V-Seal |
| ENS — Décret royal n° 311/2022 | |||
| ENS Cat.Media - Mesures de sécurité | Chaîne d'audit technique des mesures de sécurité mises en œuvre, vérifiable par le CCN-CERT | ✓ Terminé | V-Seal |
| ENS Cat.Alta : traçabilité avancée | Preuve cryptographique des contrôles de sécurité avec traçabilité complète du cycle de vie du système | ✓ Terminé | V-Seal Intégration Git |
| Convergence entre le RGPD et EU AI Act Pour les systèmes d'IA traitant des données à caractère personnel | |||
| RGPD, art. 22 et EU AI Act . 14 | Supervision humaine vérifiable dans les systèmes d'IA ayant un impact significatif sur les personnes physiques | ✓ Terminé | V-Proof Orchestrateur IA |
| RGPD, art. 25 et EU AI Act . 10 | Le « Privacy by design » dans le traitement des données d'entraînement des modèles d'IA | ✓ Terminé | AI Orchestrator |
◐ Partiel = V-PROOF les résultats de l'évaluation ; la conception et la mise en œuvre de l'AIPD relèvent de la responsabilité du DPD ou d'un conseiller juridique spécialisé.
RGPD + EU AI Act: une double obligation qui concerne presque tous les systèmes d'IA
Presque tous les systèmes d’IA d’entreprise traitent des données à caractère personnel : systèmes de notation de crédit, plateformes d’analyse du comportement des clients, outils de recrutement assistés par l’IA, systèmes de vidéosurveillance intelligente. Tous relèvent du RGPD et, s’ils présentent un risque élevé, de la EU AI Act. Cette intersection engendre des obligations qu’aucun des deux cadres ne régit de manière isolée.
L'article 22 du RGPD stipule que les personnes concernées ont le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé qui produisent à leur égard des effets juridiques significatifs ou similaires. L’article 14 de EU AI Act que les systèmes d’IA à haut risque fassent l’objet d’une supervision humaine vérifiable. Ces deux textes imposent la même exigence, bien que dans des cadres différents : qu’une personne ait examiné, compris et approuvé la décision — et que cela puisse être démontré.
Une seule preuve pour deux cadres
Le module V-Proof de V-PROOF l'identité du réviseur humain, son rôle, le rapport IA/humain de la décision et le contexte réglementaire appliqué — pour chaque décision individuelle du système. Cet enregistrement répond à la fois à l’exigence de supervision humaine prévue par EU AI Act art. 14) et à l’obligation de démontrer l’intervention humaine en vertu de l’art. 22 du RGPD. Le délégué à la protection des données (DPO) et l’équipe chargée de la gouvernance de l’IA disposent ainsi d’une source unique de preuves pour deux autorités de régulation distinctes.
Pourquoi le lieu d'établissement du prestataire de services de conformité est-il important au regard du RGPD ?
Le RGPD (articles 44 à 49) restreint les transferts de données à caractère personnel vers des pays tiers ne disposant pas de garanties équivalentes. Un fournisseur de plateforme de gouvernance de l'IA ou de GRC basé aux États-Unis qui gère la documentation relative à la conformité au RGPD d'une organisation européenne peut transférer des données de conformité — notamment les registres des activités de traitement et les preuves de violations — hors de l'UE sans garanties adéquates.
Pire encore : le CLOUD Act américain peut contraindre ce fournisseur à remettre ces registres aux autorités américaines, y compris, potentiellement, les registres relatifs aux violations de données à caractère personnel avant même que l'organisation n'ait pu en informer l'AEPD — ce qui pourrait constituer une violation de l'article 33 du RGPD, la confidentialité de la procédure de notification étant ainsi compromise.
V-PROOF son siège social en Espagne. Les registres de conformité au RGPD — le RAT, les preuves de responsabilité, les horodatages de détection des failles — restent sous la souveraineté de l'UE. Il n'y a pas de transfert international, pas de risque lié au CLOUD Act, ni d'incompatibilité avec les articles 44 à 49 du RGPD.
V-PROOF au RGPD et à l'ENS
Atouts, cas d'utilisation dans le domaine réglementaire et limites du champ d'application
- RAT avec chaîne de traçabilité cryptographique : immuable, vérifiable rétrospectivement par l’AEPD — la différence entre déclarer la conformité et pouvoir la démontrer Art. 30 du RGPD — RAT
- Timestamp du moment de la découverte des violations — preuve attestant du respect du délai de 72 heures prévu à l’article 33 ou démontrant son impossibilité technique Article 33 du RGPD — Notification des violations
- Preuve de la « protection de la vie privée dès la conception » : registre indiquant quand et comment les mesures de protection de la vie privée ont été mises en œuvre au cours du développement du système — et non pas sous forme de correctif a posteriori Art. 25 du RGPD — Protection de la vie privée dès la conception
- Contrôle humain vérifiable dans les systèmes d’IA traitant des données à caractère personnel : couvre l’article 22 du RGPD et l’article 14 EU AI Act un seul registre Article 22 du RGPD + EU AI Act 14 EU AI Act
- Chaîne d'audit ENS : preuves techniques des mesures de sécurité des catégories « Moyenne » et « Élevée », vérifiables par le CCN-CERT ENS Cat. Moyenne/Élevée — RD 311/2022
- Siège social en Espagne : registres de conformité au RGPD et à l’ENS sous la souveraineté de l’UE — sans risque lié au CLOUD Act ni incompatibilité avec les articles 44 à 49 du RGPD Articles 44 à 49 du RGPD + ENS sous souveraineté
- Responsables de la protection des données (RPD) d’organisations disposant de systèmes d’IA qui traitent des données à caractère personnel et qui doivent fournir des preuves techniques de leur responsabilité à l’AEPD Art. 5, paragraphe 2, du RGPD — Responsabilité
- Entreprises ayant subi des violations de données et devant prouver le moment exact de leur découverte afin de démontrer le respect du délai de 72 heures Art. 33 du RGPD — Violations de données
- Fournisseurs de technologies de l'information et de la communication (TIC) des administrations publiques espagnoles tenus de certifier la conformité ENS de leurs systèmes dans les catégories « Moyenne » ou « Élevée » ENS — Décret royal n° 311/2022
- Organisations disposant de plateformes de prise de décision automatisée (scoring, recrutement par IA, service aux citoyens) soumises à la double obligation prévue par l'article 22 du RGPD et EU AI Act EU AI Act entre le RGPD et EU AI Act
- Les équipes de développement qui mettent en œuvre des systèmes traitant des données à caractère personnel et qui doivent démontrer le respect du principe de « privacy by design » tout au long du cycle de développement — et non a posteriori Art. 25 du RGPD — « Privacy by design »
- Élaboration de la politique de confidentialité et des mentions légales : V-PROOF que les contrôles existent et ont été mis en œuvre ; il ne rédige pas les clauses juridiques et ne donne pas de conseils sur le fondement juridique du traitement. Politique de confidentialité
- L'analyse d'impact (DPIA, art. 35) : V-PROOF les résultats de la DPIA et son approbation, mais l'analyse des risques et la conception des mesures sont effectuées par le DPD ou des conseillers juridiques spécialisés. Art. 35 du RGPD — DPIA
- La notification formelle des violations à l'AEPD (art. 33) et aux personnes concernées (art. 34) : V-PROOF le moment de la découverte ; la notification formelle incombe au responsable du traitement. Art. 33–34 du RGPD — Notification
- Analyse juridique des transferts internationaux (articles 44 à 49) : V-PROOF gère V-PROOF les clauses contractuelles types et n'évalue pas l'adéquation des pays tiers. Cette analyse nécessite un conseil juridique spécialisé. Articles 44 à 49 du RGPD — Transferts
Votre organisation est-elle en mesure de démontrer à l'AEPD que ses traitements utilisant l'IA sont conformes à l'article 5 du RGPD ?
V-PROOF un diagnostic stratégique de 48 heures qui recense les obligations du RGPD et de l'ENS applicables à vos systèmes, identifie les lacunes en matière de preuves techniques et définit l'intégration nécessaire pour rendre la responsabilité démontrable.
Demander un diagnostic stratégique RGPD / ENSSources et références réglementaires
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) — EUR-Lex CELEX:32016R0679
- Décret royal n° 311/2022, du 3 mai, portant réglementation du dispositif national de sécurité — BOE-A-2022-7191
- AEPD — Guide d'analyse des risques liés au traitement des données à caractère personnel à l'aide de l'IA, 2024 — aepd.es
- AEPD — Guide pratique d'analyse des risques liés au traitement des données à caractère personnel, 2021 — aepd.es
- CCN-CERT — Guide de mise en œuvre de l'ENS (Série CCN-STIC 800) — ccn-cert.cni.es
- EDPB — Lignes directrices 05/2022 relatives à l'utilisation de la technologie de reconnaissance faciale dans le domaine de l'application de la loi — edpb.europa.eu
- Règlement (UE) 2024/1689 (EU AI Act) — référence de convergence avec le RGPD pour les systèmes d’IA traitant des données à caractère personnel — EUR-Lex
