Quiconque traite des données à caractère personnel (y compris les responsables du traitement^[1] et les sous-traitants^[2] ) doit documenter ses activités, principalement à l’intention des autorités de contrôle qualifiées/pertinentes.^[3] Cela doit se faire au moyen de registres du traitement qui sont conservés de manière centralisée par l’organisation pour l’ensemble de ses activités de traitement, et de documents supplémentaires qui se rapportent à une activité individuelle de traitement des données (voir “Documentation du traitement” dans la section “Principaux outils et actions” de la partie II des présentes lignes directrices). Cette étape préliminaire est le moment idéal pour mettre en place une méthode systématique de collecte de la documentation nécessaire, puisque c’est à ce moment-là que l’organisation conçoit et planifie l’activité de traitement^[4] .

En effet, les responsables du traitement devraient créer une politique de protection des données qui permette la traçabilité des informations (s’il existe des codes de conduite approuvés, ceux-ci devraient être mis en œuvre ; voir la sous-section “Économie d’échelle pour la conformité et sa démonstration” dans la section “Responsabilité” des “Principes” de la partie II des présentes lignes directrices). Cette politique devrait également préciser les responsabilités attribuées aux sous-traitants, et inclure dans l’accord de traitement les tâches qui lui seront déléguées en ce qui concerne l’exécution des droits des personnes concernées. Les développeurs d’IA doivent toujours se rappeler que l’article 32, paragraphe 4, du RGPD précise qu’un élément important de la sécurité consiste à s’assurer que les employés n’agissent que sur instruction et selon les instructions du responsable du traitement (voir “Intégrité et confidentialité” dans la partie II, section “Principes”).

Les responsables du traitement doivent toujours garder à l’esprit que le développement d’outils d’IA implique souvent l’utilisation de différents ensembles de données. La traçabilité du traitement, les informations sur l’éventuelle réutilisation des données et l’utilisation de données appartenant à différents ensembles de données dans différentes ou dans les mêmes étapes du cycle de vie doivent être assurées par les registres.

 

 

1. Voir article 30, paragraphe 1, du RGPD. ↑
2. Voir article 30, paragraphe 2, du RGPD. ↑
3. Voir les articles 58(1)(a), 30(4) et 5(2) du RGPD. ↑
4. L’article 25, paragraphe 1, du RGPD appelle cela “le moment de la détermination des moyens de traitement”. ↑