Dispositions du RGPD
Home » IA » Exposition générale » Responsabilité » Dispositions du RGPD

Responsabilité

Conformément à l’article 5, paragraphe 2, du RGPD, le responsable du traitement est responsable du respect de tous les principes du RGPD mentionnés à l’article 5, paragraphe 1, et doit être en mesure de le démontrer. Cela inclut le principe de responsabilité (voir “Principe de responsabilité” dans la partie II, section “Principes” des présentes lignes directrices).

Le principe de responsabilité du RGPD est fondé sur le risque : plus le risque du traitement des données pour les droits et libertés fondamentaux des personnes concernées est élevé, plus les mesures nécessaires pour atténuer ces risques sont importantes.[1] Le principe de responsabilité repose sur plusieurs obligations de conformité pour les responsables du traitement des données, notamment : des obligations de transparence (articles 12-14) ; la garantie de l’exercice des droits en matière de protection des données (articles 15-22) ; la tenue de registres des opérations de traitement des données (article 30) ; la notification des éventuelles violations de données à une autorité de contrôle nationale (article 33) et aux personnes concernées (article 34) ; et, en cas de risque plus élevé, le recrutement d’un DPD et la réalisation d’une AIPD (article 35).

Étant donné que le traitement des données à caractère personnel dans les systèmes d’IA peut souvent être considéré comme à haut risque,[2] le développeur de l’IA devra souvent avoir un DPD et effectuer une AIPD. Les deux sections suivantes traitent de ces deux obligations spécifiques de responsabilité.

Évaluation des risques et AIPD

Une AIPD est un processus dans lequel le responsable du traitement des données, avant de lancer une procédure de traitement des données présentant un risque élevé pour les libertés et droits fondamentaux des personnes concernées, évalue l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (article 35, paragraphe 1).

Déterminer si le traitement des données présente un risque élevé n’est cependant pas une tâche facile. L’article 35, paragraphe 3, énumère trois cas : (1) une évaluation systématique et extensive d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative de façon similaire ; (2) un traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10 ; et (3) une surveillance systématique à grande échelle d’un domaine accessible au public.

En ce qui concerne les technologies innovantes, le groupe de travail “Article 29” a précisé certains exemples, tels que “l’utilisation combinée de la reconnaissance des empreintes digitales et du visage pour améliorer le contrôle d’accès physique” et “certaines applications de l'”Internet des objets””. Ces opérations de traitement des données sont considérées comme à haut risque “parce que l’utilisation de ces technologies peut impliquer de nouvelles formes de collecte et d’utilisation des données, éventuellement avec un risque élevé pour les droits et libertés des individus. En effet, les conséquences personnelles et sociales du déploiement d’une nouvelle technologie peuvent être inconnues.”[3]

Si le traitement présente un risque élevé, il convient alors de réaliser une AIPD conformément à l’article 35, paragraphe 7, du RGPD. Le considérant 90 du RGPD précise en outre que l’évaluation du risque doit être effectuée à l’aide de deux paramètres : la probabilité et la gravité du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des sources de risque. Plusieurs autorités nationales de contrôle ont publié des orientations sur la manière d’évaluer ces risques, comme l’Agencia Española de Protección de Datos Personales, l’Information Commissioner’s Office, la Commission irlandaise de protection des données, la Commission nationale de l’informatique et des libertés, entre autres (voir “AIPD” dans la partie II, section “Principaux outils et actions” de la partie II des présentes lignes directrices).

Dans certaines situations, si le résultat de la AIPD est que l’activité de traitement envisagée présente un risque élevé de porter atteinte aux libertés et droits fondamentaux des personnes concernées, le responsable du traitement doit demander l’avis de l’autorité de contrôle nationale, comme le prescrit l’article 36 du RGPD. Certains États membres ont publié des listes qui contiennent des exemples d’activités de traitement des données qui déclencheraient cette consultation obligatoire ; parmi ces exemples, nous pouvons identifier des situations qui correspondent aux techniques d’IA et, dans certains cas, aller jusqu’à inclure expressément l’IA. Les autorités de contrôle peuvent exiger l’adoption de certaines mesures pour atténuer le risque, si possible, ou interdire l’utilisation de l’IA si cela n’est pas possible.

Liste de contrôle : une AIPD est-elle nécessaire ?

 Le responsable du traitement a déterminé les juridictions où les activités de traitement des données auront lieu.

 Le responsable du traitement a vérifié si ces juridictions ont adopté des listes indiquant les traitements qui nécessitent une analyse de l’impact sur la protection des données et a vérifié si les activités de traitement des données prévues qui impliquent l’IA sont couvertes par ces dispositions.

 Si les responsables du traitement ne sont pas sûrs de la nécessité d’effectuer une analyse de l’impact sur la protection des données, ils consultent le DPD ou, à défaut, le service juridique du responsable du traitement.

 Le cas échéant, le responsable du traitement a procédé à une AIPD.

 Si nécessaire, le responsable du traitement a déposé une consultation préalable auprès de l’autorité de contrôle compétente.

 Si des modifications étaient suggérées, le responsable du traitement suivait l’avis de l’autorité de contrôle.

Diligence raisonnable du sous-traitant

Le principe de responsabilité (voir “Principe de responsabilité” dans la partie II, section “Principes” des présentes lignes directrices) est également présent lorsqu’un responsable du traitement choisit de faire appel aux services d’un sous-traitant. À cet égard, l’article 28, paragraphe 1, du RGPD[4] exige que les responsables du traitement effectuent certaines actions de diligence raisonnable, et ce avant de donner aux sous-traitants l’accès aux données à caractère personnel pour l’exécution d’activités de traitement des données. Comme pour les autres dispositions du RGPD, il n’est pas précisé quelles actions spécifiques un responsable du traitement doit mener lors de l’évaluation des sous-traitants. Le seul critère fourni par le RGPD est que les responsables du traitement doivent juger les sous-traitants sur la base de leur capacité à démontrer qu’ils peuvent effectuer des activités de traitement en conformité avec le RGPD.

Par conséquent, un chercheur qui développe une IA et qui doit faire appel à un tiers pour certaines activités de traitement devrait se poser deux questions : (1) quel type de comportement est attendu pour démontrer le respect de cette obligation ; et (2), si une certaine forme d’action positive est attendue, comment les responsables du traitement doivent-ils procéder pour effectuer cette diligence raisonnable ?

Pour la première question, le RGPD indique que si les responsables du traitement entendent rester en conformité avec le RGPD, ils ne peuvent retenir qu’un sous-traitant capable de démontrer sa conformité avec le RGPD. Par conséquent, les responsables du traitement doivent demander des informations pour l’évaluer. En d’autres termes, le RGPD attend des responsables du traitement qu’ils interrogent activement leur sous-traitant potentiel à ce sujet ; il ne suffit pas de s’appuyer sur une clause de déclaration et de garantie dans l’accord de traitement des données (voir “Principe d’intégrité et de confidentialité” dans la partie II, section “Principes” des présentes lignes directrices).

Quant à la manière dont les responsables du traitement doivent effectuer cette diligence raisonnable, là encore le RGPD ne fournit pas de points concrets à analyser. Néanmoins, certaines autorités de contrôle nationales ont proposé des sujets à prendre en compte, comme le fait de savoir si le sous-traitant suit les normes du secteur, de demander la fourniture d’informations tant juridiques que techniques sur la manière dont le sous-traitant traite les données à caractère personnel, s’il adhère à un code de conduite ou s’il a suivi un programme de certification. [5]

Outre ces considérations générales, et en fonction de la manière dont le traitement demandé à ce tiers s’intègre dans le cadre de l’IA développée, d’autres questions doivent être posées. À cet égard, toute question que les responsables du traitement se poseraient lors du développement de l’IA devrait être posée au sous-traitant. Nous nous en remettons aux questions posées dans la liste de contrôle pour plus d’indications.

Liste de contrôle : diligence raisonnable du sous-traitant

 Les responsables du traitement ont demandé des informations concernant le lieu où les activités de traitement des données auront lieu, et : (1) procéder à l’examen de la jurisprudence suggéré ci-dessous ; et (2) évaluer si les juridictions, dans le cas de pays non membres de l’UE, sont considérées comme adéquates par la Commission européenne.

 Les responsables du traitement ont examiné la jurisprudence des autorités de contrôle nationales où le sous-traitant opère afin de vérifier les sanctions potentielles.

 Les responsables du traitement ont exigé la preuve de l’adhésion à un code de conduite ou à une certification.

 Les responsables du traitement ont exigé la preuve d’une certification ISO pertinente.

 Les responsables du traitement ont demandé une copie des registres des activités de traitement.

 Les responsables du traitement se sont enquis du processus de développement de l’IA, en particulier du type de données utilisées pour l’entraînement de l’IA et des données dont l’IA a besoin pour fonctionner et fournir un résultat utile.

DPD

Les DPD jouent un rôle crucial lors de la conception et de la mise en œuvre des activités de traitement des données dans le respect du RGPD. Ils constituent une autre garantie que le RGPD rend obligatoire à certaines occasions et, en général, il est recommandé de nommer une telle personnalité. Le groupe de travail Article 29 considère qu’il s’agit “d’une pierre angulaire de la responsabilité et que la nomination d’un DPD peut faciliter la conformité”.[6]

L’article 37, paragraphe 1, du RGPD[7] indique dans quels cas les responsables du traitement et les sous-traitants doivent désigner un DPD. Dans le cas du développement de l’IA, et comme expliqué précédemment, la désignation d’un DPD est (presque) certainement nécessaire, car de nombreux systèmes d’IA traitent des données à caractère personnel, ce qui les rendrait applicables aux conditions décrites à l’article 37, paragraphe 1, points a) et b), dans la plupart des situations. Cette opinion est partagée, par exemple, par l’autorité de contrôle espagnole.[8] Cependant, ni le groupe de travail Article 29 ni l’EDPB n’ont spécifiquement déclaré qu’un DPD est obligatoire si un responsable du traitement ou un sous-traitant s’engage dans des activités de traitement de données qui impliquent l’IA. Néanmoins, le groupe de travail Article 29 a souligné que les activités de profilage peuvent être considérées comme des activités qui déclenchent la nomination obligatoire d’un DPD[9] si, comme indiqué ci-dessus, ces activités de profilage impliquent l’IA.

Il serait utile que la réglementation de chaque État membre relative à la nécessité de désigner un DPD élargisse la liste des activités qui exigent la désignation d’un DPD ou, au moins, fournisse des exemples clairs qui pourraient aider à interpréter quelles activités de traitement des données effectuées par les responsables du traitement et les sous-traitants exigent une telle désignation.

Si un DPD doit être désigné, pour l’une des raisons mentionnées ci-dessus, il est nécessaire qu’il participe à l’AIPD (requise par l’article 39, paragraphe 1, point c)) ainsi qu’à toute autre question liée à la protection des données au sein de l’entité (comme le prescrit l’article 39, paragraphe 1, point a)). Cela peut inclure l’examen d’un sous-traitant potentiel, comme décrit dans le point précédent. Par conséquent, les chercheurs impliqués dans le développement de l’IA devraient consulter le DPD concernant les questions de protection des données qui pourraient se poser au cours du développement de l’IA. Par exemple, le rôle du DPD, en ce qui concerne les systèmes d’IA, est également pertinent pour collaborer à la rédaction d’une notification appropriée, comme l’exigent les articles 13 et 14 correspondants, afin de communiquer correctement aux personnes concernées le fonctionnement de l’IA et les conséquences qu’elle pourrait avoir sur elles.

Liste de contrôle : DPD

 Les responsables du traitement ont vérifié si l’institution a déjà nommé un DPD.

 Si ce n’est pas le cas, ils ont vérifié auprès du service juridique si les activités de traitement des données envisagées nécessitent la désignation d’un DPD, soit en examinant les interprétations européennes faisant autorité, les réglementations locales, les interprétations locales faisant autorité, la jurisprudence – tant locale qu’européenne – et, enfin, les interprétations universitaires.

 Les responsables du traitement ont exigé la nomination de DPD si nécessaire, et leur implication dans le processus de développement de l’IA si nécessaire.

 En règle générale, le DPD doit être informé de chaque démarche entreprise afin de pouvoir intervenir s’il le juge utile.
Informations complémentaires

Agencia Española de Protección de Datos Personales (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, p.35. Agencia Española de Protección de Datos Personales, Madrid. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf

Groupe de travail Article 29 (2010) Avis 3/2010 sur le principe de responsabilité. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp173_en.pdf

Groupe de travail Article 29 (2017) Lignes directrices sur l’analyse d’impact sur la protection des données (AIPD), pp. 9-10. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

  1. Voir les articles 24, 25 et 32 du RGPD, qui exigent que les responsables du traitement prennent en compte les “risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques” lorsqu’ils adoptent des mesures spécifiques de protection des données.
  2. Voir, en particulier, l’article 35, paragraphe 3, point a), selon lequel le traitement des données est considéré comme présentant un risque élevé dans les cas, entre autres, “d’une évaluation systématique et extensive d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques à l’égard de la personne physique ou l’affectant de manière significative de façon similaire”.
  3. Groupe de travail Article 29 (2017) Lignes directrices relatives à l’analyse d’impact sur la protection des données, WP248, p. 10. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (consulté le 20 mai 2020).
  4. “Article 28 Sous-traitant 1. “Lorsque le traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci ne fait appel qu’à des sous-traitants présentant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.”
  5. ICO (aucune date) Guide du Règlement général sur la protection des données (RGPD), Quelles sont les responsabilités et les obligations des contrôleurs lorsqu’ils font appel à un sous-traitant ? Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/responsibilities-and-liabilities-for-controllers-using-a-processor/ (consulté le 20 mai 2020).
  6. Groupe de travail Article 29 (2017) Lignes directrices sur les délégués à la protection des données (“DPD”), p.4. Commission européenne, Bruxelles.
  7. Article 37. Désignation du délégué à la protection des données. 1. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où : (a) le traitement est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles ; b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle ; ou c) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements à grande échelle de catégories particulières de données conformément à l’article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10.
  8. Agencia Española de Protección de Datos Personales (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, p.35. Agencia Española de Protección de Datos Personales, Madrid. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 20 mai 2020).
  9. Groupe de travail Article 29 (2017) Lignes directrices sur les délégués à la protection des données (“DPD”), p.4. Commission européenne, Bruxelles.

 

Aller au contenu principal