📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 78 – Confidentialité

Table des matières

Explication de l’article

L’article 78 pose le cadre de confidentialité applicable aux autorités et personnes impliquées dans la supervision et l’application de l’IA Act. Il s’adresse à un cercle large : la Commission européenne, les autorités de surveillance du marché, les organismes notifiés, et toute personne physique ou morale participant à l’application du règlement.

Le principe directeur est simple : quiconque accède à des informations sensibles dans le cadre de l’application de l’IA Act est tenu au secret. Cela vaut pour les données techniques, commerciales, opérationnelles ou classifiées obtenues lors d’inspections, d’audits ou d’enquêtes.

L’article introduit également une règle de minimisation des données (§2) : les autorités ne peuvent collecter que ce qui est strictement nécessaire, doivent sécuriser ces données et les effacer dès qu’elles ne sont plus utiles.

Le §3 crée un régime dérogatoire renforcé pour les domaines sensibles : répression pénale, contrôle aux frontières, immigration et asile. Dans ces cas, la documentation technique peut rester sur place, et tout échange d’informations entre autorités est soumis à consultation préalable.

Enfin, les §4 et §5 articulent ces obligations de confidentialité avec les nécessités de coopération, qu’elle soit intra-européenne ou internationale.

Notions clés à comprendre

Secret commercial et propriété intellectuelle Les informations obtenues lors des contrôles peuvent révéler l’architecture d’un système d’IA, son code source, ses données d’entraînement. Ces éléments constituent souvent le cœur de la valeur concurrentielle d’une entreprise. L’article 78 les protège explicitement, en renvoyant à la directive sur les secrets commerciaux.

Principe de minimisation appliqué aux autorités Ce n’est pas uniquement une obligation pesant sur les fournisseurs d’IA : les autorités elles-mêmes sont soumises à une logique de proportionnalité dans la collecte. Elles ne peuvent pas exiger plus que ce que leurs missions justifient.

Documentation technique in situ Pour les systèmes d’IA à haut risque utilisés par les forces de l’ordre, l’immigration ou l’asile, la documentation technique (Annexe IV) ne circule pas librement. Elle reste dans les locaux de l’autorité concernée. L’accès des superviseurs est encadré par habilitation sécurité.

Habilitation de sécurité Notion importée du droit de la défense et du renseignement : seul le personnel disposant du niveau d’habilitation adéquat peut consulter certaines documentations. C’est une première dans un texte de régulation économique de l’UE.

Accords de confidentialité bilatéraux ou multilatéraux Le §5 ouvre la voie à des échanges d’informations avec des pays tiers, mais sous condition stricte : un accord préalable garantissant un niveau de confidentialité adéquat doit exister. C’est un mécanisme de coopération internationale encadré, distinct des flux de données personnelles.

Exemple pratique

Contexte : Une autorité de surveillance du marché française (disons la future autorité désignée en application de l’article 74) mène une inspection chez un fournisseur d’un système d’IA à haut risque utilisé par la Police nationale pour l’analyse de risques lors de contrôles aux frontières (Annexe III, point 7).

Ce qui se passe concrètement :

  • Les inspecteurs accèdent aux locaux et demandent la documentation technique (Annexe IV). Conformément au §3, cette documentation ne quitte pas les locaux de la Police nationale.
  • Les inspecteurs doivent disposer d’une habilitation de sécurité au niveau approprié pour la consulter sur place.
  • Ils ne peuvent collecter que les informations strictement nécessaires à leur évaluation du risque, pas le code source intégral si une description fonctionnelle suffit.
  • Si l’autorité française souhaite partager ses conclusions avec son homologue allemand dans le cadre d’une coopération transfrontalière, elle doit consulter préalablement l’autorité d’origine et le déployeur (la Police nationale) avant toute divulgation.

Les données opérationnelles sensibles (profils de personnes contrôlées, résultats d’enquêtes en cours) sont exclues de tout échange, même entre autorités européennes.

Prouvez votre conformité à l'IA Act sans exposer vos secrets commerciaux ?
La gestion de cette confidentialité demande une approche structurée : savoir exactement quelles données transmettre et comment sécuriser leur communication est crucial pour prévenir toute fuite d'informations sensibles
Sécuriser mon IA et anticiper les audits

Texte original de l’IA Act

Article 78 : Confidentialité

  1. La Commission, les autorités de surveillance du marché et les organismes notifiés, ainsi que toute autre personne physique ou morale participant à l’application du présent règlement, respectent, conformément au droit de l’Union ou au droit national, la confidentialité des informations et des données obtenues dans l’accomplissement de leurs tâches et de leurs activités, de manière à protéger notamment

(a) les droits de propriété intellectuelle et les informations commerciales confidentielles ou les secrets commerciaux d’une personne physique ou morale, y compris le code source, sauf dans les cas visés à l’article 5 de la directive (UE) 2016/943 du Parlement européen et du Conseil[57];

(b) la mise en œuvre effective du présent règlement, notamment à des fins d’inspection, d’enquête ou d’audit ;

(c) les intérêts publics et de sécurité nationale ;

(d) la conduite de procédures pénales ou administratives ;

(e) les informations classifiées en vertu du droit de l’Union ou du droit national.

  1. Les autorités participant à l’application du présent règlement en vertu du paragraphe 1 ne demandent que les données strictement nécessaires à l’évaluation du risque posé par les systèmes d’IA et à l’exercice de leurs compétences conformément au présent règlement et au règlement (UE) 2019/1020. Ils mettent en place des mesures de cybersécurité adéquates et efficaces pour protéger la sécurité et la confidentialité des informations et des données obtenues, et suppriment les données collectées dès qu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été obtenues, conformément au droit de l’Union ou au droit national applicable.
  2. Sans préjudice des paragraphes 1 et 2, les informations échangées sur une base confidentielle entre les autorités nationales compétentes ou entre les autorités nationales compétentes et la Commission ne sont pas divulguées sans consultation préalable de l’autorité nationale compétente d’origine et du déployeur lorsque les systèmes d’IA à haut risque visés à l’annexe III, points 1, 6 ou 7, sont utilisés par les services répressifs, les services de contrôle aux frontières, les services d’immigration ou les services d’asile et que cette divulgation porterait atteinte aux intérêts de la sécurité publique et de la sécurité nationale. Cet échange d’informations ne couvre pas les données opérationnelles sensibles relatives aux activités des services répressifs, de contrôle des frontières, d’immigration ou d’asile. Lorsque les services répressifs, d’immigration ou d’asile sont des fournisseurs de systèmes d’IA à haut risque visés à l’annexe III, points 1, 6 ou 7, la documentation technique visée à l’annexe IV reste dans les locaux de ces autorités. Ces autorités veillent à ce que les autorités de surveillance du marché visées à l ‘article 74, paragraphes 8 et 9, selon le cas, puissent, sur demande, accéder immédiatement à la documentation ou en obtenir une copie. Seul le personnel de l’autorité de surveillance du marché disposant du niveau d’habilitation de sécurité approprié est autorisé à accéder à cette documentation ou à toute copie de celle-ci.
  3. Les paragraphes 1, 2 et 3 ne portent pas atteinte aux droits et obligations de la Commission, des États membres et de leurs autorités compétentes, ni à ceux des organismes notifiés, en ce qui concerne l’échange d’informations et la diffusion d’alertes, y compris dans le cadre de la coopération transfrontalière, ni aux obligations des parties concernées de fournir des informations en vertu du droit pénal des États membres.
  4. La Commission et les États membres peuvent échanger, si nécessaire et conformément aux dispositions pertinentes des accords internationaux et commerciaux, des informations confidentielles avec les autorités de régulation de pays tiers avec lesquelles ils ont conclu des accords de confidentialité bilatéraux ou multilatéraux garantissant un niveau de confidentialité adéquat.

Perspectives avec d’autres textes

Directive (UE) 2016/943 du Parlement européen et du Conseil relative à la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires)

L’article 78 §1(a) renvoie explicitement à l’article 5 de cette directive, qui prévoit des exceptions à la protection des secrets commerciaux, notamment lorsque leur divulgation sert l’intérêt général ou la transparence. Ce renvoi est délicat : il signifie que la confidentialité protégée par l’IA Act n’est pas absolue. Si une divulgation est justifiée au sens de la directive secrets d’affaires. Par exemple pour protéger un intérêt légitime reconnu, elle primera sur la protection accordée par l’article 78. En pratique, cela peut concerner des situations où une alerte relative à un système d’IA dangereux nécessite de rendre publics des éléments normalement couverts par le secret commercial.

Règlement (UE) 2019/1020 sur la surveillance du marché et la conformité des produits

Le §2 de l’article 78 renvoie directement à ce règlement pour définir le périmètre des compétences des autorités de surveillance. Ce texte constitue le cadre général de surveillance du marché dans l’UE, sur lequel l’IA Act se greffe pour les systèmes d’IA. L’obligation de minimisation des données et de cybersécurité posée à l’article 78 s’inscrit donc dans une logique de complémentarité : les autorités exercent des pouvoirs d’inspection étendus (fouille de locaux, saisie de documents, tests de produits), mais ces pouvoirs sont désormais assortis d’obligations de protection des informations collectées qui vont au-delà de ce que prévoyait le texte de 2019.

Règlement (UE) 2016/679 – Règlement Général sur la Protection des Données (RGPD)

L’article 78 n’est pas un texte sur la protection des données personnelles, mais il en croise la logique à plusieurs endroits. La minimisation des données du §2 — ne collecter que ce qui est strictement nécessaire, supprimer les données dès qu’elles ne sont plus utiles — est une transposition directe des principes de minimisation et de limitation de la conservation consacrés par l’article 5 du RGPD. Par ailleurs, lorsque les autorités de surveillance accèdent à des systèmes d’IA traitant des données personnelles, deux régimes coexistent : le RGPD régit le traitement des données des individus concernés, tandis que l’article 78 protège les informations de l’entreprise contrôlée. La frontière est parfois ténue, notamment lorsque la documentation technique contient des données d’entraînement nominatives.

Directive (UE) 2016/680 relative au traitement des données personnelles par les autorités compétentes à des fins répressives

Le §3 de l’article 78 traite spécifiquement des systèmes d’IA utilisés par les services répressifs et de contrôle aux frontières. Dans ces contextes, les données opérationnelles sont doublement protégées : par l’article 78 qui interdit leur circulation entre autorités de surveillance, et par la directive 2016/680 qui encadre leur traitement à des fins pénales. Cette articulation crée une zone de protection renforcée autour des systèmes d’IA à haut risque déployés par les forces de l’ordre, où ni la transparence concurrentielle ni la coopération administrative ne peuvent primer sur les impératifs de sécurité publique et d’efficacité des enquêtes.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour auditer votre système d’IA selon les réglementations en vigueur. 

← Article précédent - Article 77 : Protection des droits fondamentaux
Article suivant –Article 79 : Procédure au niveau national pour traiter les systèmes d'IA présentant un risque

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.