RGPD (Règlement général sur la protection des données)
Le Règlement (UE) 2016/679, applicable depuis mai 2018, encadre le traitement des données à caractère personnel des personnes situées dans l'Union européenne.
Le RGPD impose une base légale pour chaque traitement, des droits aux personnes concernées (information, accès, rectification, opposition, portabilité, effacement) et des obligations au responsable de traitement et à ses sous-traitants. Pour les systèmes d'intelligence artificielle, l'article 22 sur les décisions automatisées est central : interdiction par défaut des décisions exclusivement automatisées produisant un effet juridique ou affectant significativement la personne, sauf exceptions encadrées.
Les amendes peuvent atteindre 20 millions EUR ou 4 pour cent du chiffre d'affaires mondial. La CNIL est l'autorité de contrôle française. En 2024, le total des sanctions CNIL a dépassé 35 millions EUR cumulés.