Avis révisé de l’EDPS sur l’IA générative

L’essor rapide de l’intelligence artificielle générative pose des défis nouveaux pour la protection des données personnelles, en particulier dans le contexte des institutions européennes soumises au Règlement UE 2018/1725. Consciente de ces enjeux, l’European Data Protection Supervisor (l’EDPS) a publié, fin octobre 2025, une version révisée de ses orientations destinées à accompagner les institutions, organes, bureaux et agences de l’Union européenne dans leur mise en œuvre responsable et conforme aux normes de protection des données des systèmes d’IA générative.

Cet avis, qui vient en quelque sorte complété l’Avis 28/2024 rendu, le 17 décembre 2024, par l’European Data Protection Board (l’EDPB) a adopté et portant sur certains aspects de la protection des données personnelles dans le contexte des modèles d’intelligence artificielle (IA).

Principaux points à retenir de l’Avis de l’EDPS d’octobre 2025 sur l’IA générative

L’avis européen (d’une quarantaine de pages et pourvus de nombreux exemples) aborde notamment le fait que :

1. le développement et l’utilisation des systèmes d’IA générative doivent respecter l’ensemble du Règlement UE 2018/1725 relatif à la protection des données personnelles, applicable aux institutions européennes. En effet, le Règlement (tout comme le RGPD) est technologiquement neutre ;
2. les rôles des différents intervenants doivent être clairement définis. L’institution européenne sera-t-elle (co-)responsable du traitement par rapport à l’utilisation de l’outil d’IA ? Simple sous-traitant ? Définir le rôle doit tenir compte de qui décide des finalités et moyens de traitement et est très important pour connaître les obligations à respecter concomitamment ;
3. les institutions européennes ont/auront l’obligation de réaliser une analyse d’impact relative à la protection des données (DPIA) avant le déploiement d’un système à haut risque, avec l’implication du Délégué à la protection des données (DPO) ;
4. il sera impossible de se baser sur le consentement comme base légale dans le contexte des IA générative en raison du nombre, de la nature et de la complexité des données traitées ;
5. les institutions doivent informer clairement les personnes concernées sur l’usage des IA, les données traitées, les finalités et les droits exercés, notamment dans les cas de décisions automatisées.

Conclusion

L’avis de l’EDPS souligne l’importance cruciale d’une approche prudente, responsable et rigoureuse dans le déploiement des systèmes d’intelligence artificielle générative au sein des institutions européennes. Face à la complexité et aux risques potentiels liés au traitement des données personnelles, les orientations de l’EDPS fournissent un cadre clair pour garantir que les innovations technologiques respectent les droits fondamentaux, la transparence et la confiance des citoyens. L’EDPS appelle ainsi à une vigilance constante, à une gestion proactive des risques et à une gouvernance fondée sur les principes de protection des données dès la conception, afin que l’IA générative puisse être exploitée de manière éthique, fiable et conforme au droit européen.

Cette démarche assure non seulement la conformité légale, mais aussi l’acceptabilité sociale et démocratique de ces technologies innovantes dans le secteur public.