La loyauté dans le respect des droits des personnes concernées
Home » IA » Exposition générale » Vie privée et gouvernance des données » Dispositions du RGPD » La loyauté dans le respect des droits des personnes concernées

La loyauté est un concept essentiel en matière de protection des données (voir la sous-section “Loyauté” dans la section “Licéité, loyauté et transparence” des “Principes”, ainsi que “Droits des personnes concernées”, tous deux dans la partie II des présentes lignes directrices), un concept qui peut difficilement être atteint sans une prise de conscience que le développement d’outils d’IA peut porter atteinte aux intérêts, aux droits et aux libertés des personnes concernées. C’est pourquoi il est logique de veiller à ce que des garanties adéquates soient mises en œuvre non seulement pour éviter les conséquences injustes, mais aussi pour fournir aux personnes concernées des droits exécutoires qui garantissent une protection adéquate contre le traitement déloyal.

Dans cette section, nous examinons comment les principaux droits reconnus par le RGPD s’appliquent au cadre de développement de l’IA. À cette fin, nous nous concentrerons sur certains droits qui sont particulièrement pertinents dans ce domaine : (a) le droit à l’information ; (b) le droit d’accès ; (c) le droit à la portabilité des données ; (d) le droit de rectification ; et (e) le droit à l’effacement ; et (f) le droit d’opposition.

Toutefois, avant d’envisager cela, les chercheurs doivent vérifier si leur recherche peut être considérée comme une recherche scientifique au sens de l’article 89 du RGPD. C’est extrêmement important : si c’est le cas, le droit de l’UE ou des États membres peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21 (adresse, rectification, restriction et objet – et, indirectement, portabilité). Celles-ci sont soumises aux conditions et garanties visées à l’article 89, paragraphe 1, dans la mesure où ces droits sont susceptibles de rendre impossible ou de nuire gravement à la réalisation des finalités spécifiques, et où ces dérogations sont nécessaires à la réalisation de ces finalités (voir la section “Protection des données et recherche scientifique” dans les “Concepts principaux”, partie II des présentes lignes directrices).

a) Droit à l’information

Selon l’article 13 du RGPD, avant de traiter des données à caractère personnel, le responsable du traitement doit fournir aux personnes concernées des informations complètes sur le traitement et leurs droits dans un format compréhensible. Si “le responsable du traitement a l’intention de traiter ultérieurement les données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre finalité et toute autre information pertinente” (article 13, paragraphe 3).

Toutefois, les responsables du traitement sont dispensés de fournir des informations aux personnes concernées si : la fourniture de ces informations s’avère impossible ; elle impliquerait un effort disproportionné, notamment pour le traitement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; ou l’obligation de fournir des informations est susceptible de rendre impossible ou de nuire gravement à la réalisation des finalités de ce traitement. Dans ces circonstances, les responsables du traitement doivent prendre des mesures appropriées pour protéger les droits, les libertés et les intérêts légitimes de la personne concernée, y compris en rendant les informations accessibles au public. Cette dérogation est toutefois subordonnée à l’adoption des garanties imposées par l’article 89 (voir la section “Protection des données et recherche scientifique” de la partie II “Concepts principaux” des présentes lignes directrices).

b) Droit d’accès

Le droit d’accès des personnes concernées à leurs données doit être garanti à toutes les étapes du cycle de vie d’un outil d’IA. Les responsables du traitement sont encouragés à mettre en œuvre des mesures techniques adéquates pour s’assurer que cet accès est facilement accessible par la personne concernée. En effet, l’article 15 du RGPD donne à la personne concernée le droit d’obtenir des détails sur toute donnée personnelle utilisée pour le profilage, y compris les catégories de données utilisées pour construire un profil. En outre, en vertu de l’article 15, paragraphe 3, le responsable du traitement a l’obligation de mettre à disposition les données utilisées en entrée pour créer le profil, ainsi que l’accès aux informations sur le profil et les détails des segments dans lesquels la personne concernée a été placée. De même, le considérant 63 du RGPD stipule que “[l]orsque cela est possible, le responsable du traitement devrait être en mesure de fournir un accès à distance à un système sécurisé qui permettrait aux personnes concernées d’accéder directement à leurs données personnelles”. Cela inclut les données observées, dérivées et déduites. [1]

Encadré 7. La question des données déduites

L’une des questions les plus urgentes auxquelles nous sommes confrontés dans le domaine de l’IA est le statut concret des données déduites. Il s’agit de données qui ne sont pas fournies par les personnes concernées, mais qui leur sont “attribuées” à partir de données disponibles, provenant soit des mêmes personnes, soit d’autres personnes. Parfois, ces données déduites fournissent des informations sur une personne identifiable. Que ces informations soient exactes ou non, ces données doivent être considérées comme des données à caractère personnel et le RGPD s’applique donc à elles. En conséquence, les droits des personnes concernées doivent être strictement respectés, y compris le droit d’accès à ces données.[2] Toutefois, comme indiqué ailleurs dans les présentes lignes directrices, les données déduites ne sont pas incluses dans le droit à la portabilité (voir “Droit à la portabilité” dans la partie II section “Droits des personnes concernées” des présentes lignes directrices).

L’un des principaux problèmes inhérents au traitement de l’IA et du big data est que le droit d’accès peut parfois entrer en conflit avec l’intérêt d’une entreprise à conserver ses secrets commerciaux. En effet, le considérant 63 du RGPD prévoit une certaine protection pour les responsables du traitement qui ne souhaitent pas dévoiler leurs secrets commerciaux ou leur propriété intellectuelle, ce qui peut être particulièrement pertinent en ce qui concerne le profilage.[3] Toutefois, les développeurs d’IA ne peuvent pas invoquer la protection de leurs secrets commerciaux comme excuse pour refuser l’accès ou refuser de fournir des informations aux personnes concernées. Les organisations doivent plutôt trouver des solutions pragmatiques.[4]

Le droit d’accès peut être plus ou moins applicable, selon le stade du cycle de vie auquel se trouve le développement de l’IA. Par exemple, il peut être difficile de donner accès aux données d’entraînement à une personne concernée, car elles ne contiennent généralement que des informations pertinentes pour les prédictions (par exemple, des transactions antérieures, des données démographiques, une localisation), mais pas de coordonnées ou d’identifiants uniques du client. De plus, elles sont souvent prétraitées pour les rendre plus accessibles aux algorithmes d’apprentissage automatique. Cependant, cela ne signifie pas du tout que ces données peuvent être considérées comme anonymes. Ainsi, elles continuent d’être des données à caractère personnel. Par exemple, dans le cas d’un modèle de prédiction d’achat, la formation peut inclure un modèle d’achat propre à un client. Dans cet exemple, si un client devait fournir une liste de ses achats récents dans le cadre de sa demande, l’organisation pourrait être en mesure d’identifier la partie des données d’apprentissage qui se rapporte à cet individu.

Dans ces circonstances, les responsables du traitement doivent répondre aux demandes d’accès des personnes concernées à leurs données personnelles, en supposant qu’ils aient pris des mesures raisonnables pour vérifier l’identité de la personne concernée, et qu’aucune autre exception ne s’applique. Et, comme l’indique l’ICO, “les demandes d’accès, de rectification ou d’effacement de données de formation ne doivent pas être considérées comme manifestement infondées ou excessives simplement parce qu’elles peuvent être plus difficiles à satisfaire ou que la motivation de la demande peut être peu claire par rapport aux autres demandes d’accès qu’une organisation reçoit habituellement”.[5] Toutefois, les organisations ne sont pas tenues de collecter ou de conserver des données à caractère personnel supplémentaires pour permettre l’identification des personnes concernées par les données de formation dans le seul but de se conformer au règlement. Si les responsables du traitement ne peuvent pas identifier une personne concernée dans les données de formation, et que la personne concernée ne peut pas fournir d’informations supplémentaires qui permettraient son identification, ils ne sont pas obligés de satisfaire une demande qu’il n’est pas possible de satisfaire.[6]

Liste de contrôle : droit d’accès[7]

Préparation des demandes d’accès aux données

☐ Les responsables du traitement savent comment reconnaître une demande d’accès à un sujet et ils comprennent quand le droit d’accès s’applique.

☐ Les responsables du traitement comprennent que le droit d’accès doit être appliqué à chaque étape du cycle de vie de la solution d’IA, si celle-ci utilise des données à caractère personnel.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

☐ Les responsables du traitement comprennent la nature des informations supplémentaires qu’ils doivent fournir en réponse à une demande d’accès à un sujet.

Respecter les demandes d’accès aux données

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande d’accès d’un sujet sans retard excessif et dans un délai d’un mois après réception.

☐ Lesresponsables du traitement sont conscients des circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement comprennent qu’il est particulièrement important d’utiliser un langage clair et simple s’ils divulguent des informations à un enfant.

☐ Les responsables du traitement comprennent ce qu’ils doivent prendre en compte si une demande comprend des informations sur d’autres personnes.

☐ Les responsables du traitement comprennent comment appliquer le droit d’accès lors de stages de formation.
Informations complémentaires

Groupe de travail Article 29 (2014) Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE. Commission européenne, Bruxelles. Disponible à l’adresse suivante : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf

ICO (2013) Big data, intelligence artificielle, apprentissage automatique et protection des données. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse suivante : https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf

ICO (pas de date) Droit d’accès. Information Commissioner’s Office, Wilmslow. Disponible sur : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/

Autorité norvégienne de protection des données. (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

c) Droit à la portabilité des données

L’article 20 du RGPD a créé un nouveau droit : le droit à la portabilité des données.[8] Ce droit permet aux personnes concernées de contrôler l’utilisation de leurs données en les redirigeant là où elles sont le plus utiles (voir la section “Droit à la portabilité des données” dans les “Droits des personnes concernées” de la partie II des présentes lignes directrices). Cependant, le droit à la portabilité des données pourrait être difficile à mettre en œuvre dans le domaine de l’IA, pour plusieurs raisons. Il faut garder à l’esprit le coût et la faisabilité de la fourniture d’ensembles de données extrêmement vastes et complexes accumulés sur de nombreuses années. Il pourrait donc être difficile pour une entreprise de satisfaire à ses exigences en matière de droit à la portabilité des données.

Il existe différents types de données personnelles qu’un système d’apprentissage automatique peut traiter. Selon le groupe de travail Article 29 sur la protection des données, certaines catégories de données sont liées au droit à la portabilité des données, à savoir : les données à caractère personnel concernant la personne concernée et les données qu’elle a fournies à un responsable du traitement. En général, le terme “fournies par la personne concernée” doit être interprété de manière large. Ainsi, il inclut les données recueillies en observant le comportement des personnes concernées (par exemple, les données brutes traitées par les compteurs intelligents, les journaux d’activité ou l’historique des sites web). Toutefois, les “données déduites” et les “données dérivées” doivent être exclues si elles comprennent des données à caractère personnel créées par un prestataire de services (par exemple, les résultats algorithmiques). Contrairement aux données observées ou recueillies, les données déduites sont créées par le service lui-même, sur la base des données observées, et non fournies par la personne concernée.[9] Par conséquent, le droit à la portabilité des données ne s’applique pas aux données déduites par un processus d’apprentissage automatique.

Liste de contrôle : portabilité des données[10]

Se préparer aux demandes de portabilité des données

☐ Les responsables du traitement savent reconnaître une demande de portabilité des données et comprennent quand ce droit s’applique.

☐ Les responsables de traitement prennent en compte l’exigence de portabilité des données dès les premières étapes de la conception et du design du traitement de l’IA.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes s’ils procèdent à un tel refus.

Respecter les demandes de portabilité des données

☐ Les responsables du traitement peuvent transmettre les données à caractère personnel dans des formats structurés, couramment utilisés et lisibles par machine.

☐ Les responsables du traitement informent au préalable les utilisateurs lorsqu’il n’est pas techniquement possible d’exercer le droit à la portabilité au moyen d’un protocole.

☐ Les responsables du traitement utilisent des méthodes sécurisées pour transmettre les données personnelles.

☐ Les responsables du traitement disposent de processus permettant de garantir qu’ils répondent à une demande de portabilité des données sans retard excessif et dans un délai d’un mois à compter de sa réception.

☐ Les responsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.
Informations complémentaires

Groupe de travail Article 29 (2016) Lignes directrices sur le droit à la portabilité des données. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf

EBF (2017) Commentaires de la Fédération bancaire européenne sur les lignes directrices du groupe de travail 29 sur le droit à la portabilité des données. Fédération bancaire européenne, Bruxelles, p.4, disponible à l’adresse : www.ebf.eu/wp-content/uploads/2017/04/EBF_025448E-EBF-Comments-to-the-WP-29-Guidelines_Right-of-data-portabi.._.pdf.

ICO (pas de date) Droit à la portabilité des données. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

Wallace, N. et Castro, D. (2018) L’impact du nouveau règlement de l’UE sur la protection des données sur l’IA. Center for Data Innovation, Washington, DC / Bruxelles / Londres. Disponible à l’adresse : www2.datainnovation.org/2018-impact-gdpr-ai.pdf.

d) Droit de rectification

Le droit de corriger des données inexactes est particulièrement important dans le cas de l’IA, car les algorithmes d’apprentissage automatique déduisent souvent des données. Ces données peuvent affecter la personne concernée, surtout si elles sont produites à des étapes avancées du cycle de vie de l’IA. Les données inexactes déduites pendant la phase de formation ne sont pas aussi préoccupantes que dans les phases finales. Étant donné que l’objectif des données de formation est d’entraîner des modèles basés sur des modèles généraux dans de grands ensembles de données, les inexactitudes individuelles sont moins susceptibles d’avoir un effet direct sur une personne concernée.[11] Par exemple, si les données personnelles utilisées pour fournir des informations aux clients ne sont pas correctes, comme un numéro de téléphone erroné dans un ensemble de données, la personne concernée pourrait subir un préjudice plus grave que si un numéro de téléphone déduit est utilisé pour entraîner un modèle. Toutefois, cela ne signifie certainement pas que le droit de rectification ne s’applique pas à ce stade.

Certains types concrets d’algorithmes, tels que les machines à vecteur de support (SVM), utilisent certains exemples clés des données d’entraînement afin d’aider à distinguer les nouveaux exemples pendant le déploiement. Si la personne concernée demande la rectification ou l’effacement de l’une de ces données, il ne sera pas possible de réaliser ce qui précède sans devoir réentraîner le modèle avec les données rectifiées ou sans effacer complètement le modèle.[12] Cela ne rend toutefois pas le droit de rectification inapplicable.

Il est particulièrement important de garder à l’esprit que si le responsable du traitement constate que, contrairement à l’avis de la personne concernée, les données ne sont pas inexactes au regard des finalités du traitement, il n’est pas tenu de les rectifier.[13] Toutefois, la charge de la preuve repose sur les épaules des responsables du traitement. Ils doivent fournir une bonne raison pour refuser la rectification, et il est difficile de conclure que le dommage que cela pourrait causer au système d’IA pourrait servir de raison convaincante. Le CEPD a critiqué les systèmes qui ne prévoient pas la possibilité de faire rectifier un ensemble de données personnelles individuelles sans créer un préjudice considérable à l’ensemble du système.[14] En tout état de cause, si le responsable du traitement choisit de refuser la demande de la personne concernée, il doit répondre à cette dernière en lui fournissant une raison justifiée de ne pas rectifier les données et, si elle le souhaite, la personne concernée peut alors saisir l’autorité de contrôle. [15]

Liste de contrôle : droit de rectification[16]

Préparation des demandes de rectification

☐ Les responsables du traitement savent comment reconnaître une demande de rectification et comprennent quand ce droit s’applique.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande, et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’elles leur sont demandées.

Respecter les demandes de rectification

☐ Les responsables du traitement sont prêts à aborder le droit de rectification des données des personnes concernées, notamment celles générées par les déductions et les profils réalisés par la solution d’IA.

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande de rectification sans retard excessif et dans un délai d’un mois après réception.

☐ Les responsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement disposent de systèmes appropriés pour rectifier ou compléter les informations, ou fournir une déclaration complémentaire.

☐ Les responsables du traitement ont mis en place des procédures pour informer tout destinataire en cas de rectification des données qu’ils ont partagées avec eux.
Informations complémentaires

Binns, R. (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/

ICO (aucune date) Droit de rectification. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/

e) Droit à l’effacement

Les personnes concernées ont le droit permanent de demander au responsable du traitement l’effacement de leurs données personnelles. Toutefois, cela peut s’avérer extrêmement compliqué dans certains cas.[17] En effet, il faut garder à l’esprit qu’il peut parfois être impossible d’atteindre les objectifs juridiques du droit à l’effacement – également connu sous le nom de droit à l’oubli – dans les environnements IA, car l’opacité du traitement peut cacher certaines données à caractère personnel au sous-traitant (voir “”dans la présente partie III sur l’IA).

Cependant, le principal problème du droit à l’effacement est qu’il pourrait ruiner tout un système d’IA formé sur la base des données qu’un sujet demande à effacer. Pour faire simple, les algorithmes ont besoin de conserver les données qu’ils ont utilisées pour leur formation. Si ces données sont effacées, les algorithmes risquent d’être moins précis, voire de tomber en panne. Les responsables du traitement doivent donc garder à l’esprit qu’il pourrait être impossible de modifier une base de données sérieusement affectée par l’effacement des données.

Les responsables du traitement pourraient considérer cela comme inacceptable, mais le fait est que le RGPD ne prévoit aucune exception au droit à l’effacement sur la base des dommages causés à une base de données contenant des données personnelles. Certains auteurs, comme Humerick, ont suggéré que “plutôt que d’exiger un effacement complet des données à caractère personnel, les responsables du traitement et les sous-traitants devraient pouvoir conserver les informations jusqu’au moment de l’effacement. De cette façon, l’apprentissage automatique de l’IA resterait au point où il a progressé, plutôt que de créer une amnésie forcée.” Selon lui, cela pourrait bien servir à protéger les intérêts des personnes concernées sans faire régresser les données de l’IA. Cependant, il n’est pas facile d’être sûr que cette solution est conforme aux exigences du RGPD.

Toute recommandation devrait toujours se concentrer sur les premières étapes du cycle de vie du produit. Techniquement, il est difficile de trouver des solutions sûres aux dilemmes posés par le droit à l’effacement une fois qu’une base de données a été créée. Par conséquent, les responsables du traitement devraient toujours essayer d’arriver à une conclusion simple : la meilleure façon d’éviter des dommages catastrophiques est de se préparer à une éventuelle perte de données dès le début.

Enfin, le responsable du traitement doit toujours garder à l’esprit les restrictions au droit à l’effacement introduites par l’article 17, paragraphe 3, du RGPD. En outre, les autorités nationales pourraient poser des restrictions supplémentaires qui doivent être prises en compte.

Liste de contrôle : droit à l’effacement[18]

Préparation des demandes d’effacement

☐ Les responsables du traitement savent comment reconnaître une demande d’effacement et ils comprennent quand ce droit s’applique.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

Traitement des demandes d’effacement

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande d’effacement sans retard excessif et dans un délai d’un mois à compter de sa réception.

☐ Lesresponsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement comprennent qu’un accent particulier est mis sur le droit à l’effacement si la demande concerne des données collectées auprès d’enfants.

☐ Les responsables du traitement ont des procédures pour informer tout destinataire s’ils effacent les données qu’ils ont partagées avec eux.

☐ Les responsables du traitement disposent de méthodes appropriées pour effacer les informations.
Informations complémentaires

Une interview de Tiffany Li sur le droit à l’effacement et l’IA peut être consultée ici : www.youtube.com/watch?v=Sozg6yJJkHk.

Binns, R. (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Blog de l’ICO, 15 octobre. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/

Fosch-Villaronga, E., Kieseberg, P. et Li, T. (2018) ” Humans forget, machines remember : artificial intelligence and the right to be forgotten “, Computer Law & Security Review 34(2) : 304-313.

Humerick, M. (2018) Taking AI personally : how the E.U. must learn to balance the interests of personal data privacy & artificial intelligence, 34 Santa Clara High Tech. L.J.393. Disponible à l’adresse : https://digitalcommons.law.scu.edu/chtlj/vol34/iss4/3

ICO (pas de date) Droit à l’effacement. Information Commissioner’s Office, Wilmslow. Disponible sur : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/

Wallace, N. et Castro, D. (2018) L’impact du nouveau règlement de l’UE sur la protection des données sur l’IA. Center for Data Innovation, Washington, DC / Bruxelles / Londres. Disponible à l’adresse : www2.datainnovation.org/2018-impact-gdpr-ai.pdf.

e) Droit d’opposition

Les personnes concernées ont le droit de s’opposer au traitement de leurs données personnelles lorsque le responsable du traitement les traite sur la base d’un intérêt légitime, ou pour une tâche d’intérêt public. Cela ne s’applique pas aux cas où le motif juridique du traitement était le consentement éclairé, car dans ces cas, les personnes concernées peuvent simplement retirer leur consentement et le responsable du traitement ne peut plus traiter leurs données. Une fois que les personnes concernées ont fait leur demande, les responsables du traitement doivent cesser de traiter les données, à moins qu’ils ne puissent prouver qu’ils ont des raisons impérieuses et justifiables de continuer à le faire, et que ces raisons l’emportent sur les intérêts, les droits et les libertés des personnes concernées. [19]

Lorsque les responsables du traitement reçoivent une opposition au traitement des données à caractère personnel, et à condition qu’aucun motif de refus ne s’applique, ils doivent cesser immédiatement de traiter les données. Cela peut signifier qu’ils doivent effacer les données personnelles stockées car la définition large du traitement en vertu du RGPD inclut le stockage des données.

Liste de contrôle : droit d’opposition

Préparation aux oppositions au traitement

☐ Les responsables du traitement savent reconnaître une opposition et ils comprennent quand le droit s’applique.

☐ Les responsables du traitement ont une politique concernant la manière d’enregistrer les oppositions qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une opposition et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

☐ Les responsables du traitement disposent d’une information claire dans leur avis de confidentialité sur le droit d’opposition des personnes, qui est présenté séparément des autres informations sur leurs droits.

☐ Les responsables du traitement comprennent quand ils doivent informer les personnes de leur droit d’opposition, en plus de l’inclure dans leur avis de confidentialité.

Respecter les demandes d’opposition au traitement

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une opposition sans retard excessif et dans un délai d’un mois après réception.

☐ Lesresponsables du traitement sont conscients des circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une opposition.

☐ Les responsables du traitement ont mis en place des méthodes appropriées pour effacer, supprimer ou cesser de traiter les données à caractère personnel.
Informations complémentaires

CEPD (2020) Un avis préliminaire sur la protection des données et la recherche scientifique. Contrôleur européen de la protection des données, Bruxelles. Disponible à l’adresse : https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf

ICO (aucune date) Le droit de s’opposer à l’utilisation de vos données. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/your-data-matters/the-right-to-object-to-the-use-of-your-data/

Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

 

  1. ICO (2014) Big data et protection des données. Bureau du commissaire à l’information, Wilmslow, p.99-10. Disponible à l’adresse : https://rm.coe.int/big-data-and-data-protection-ico-information-commissioner-s-office/1680591220 (consulté le 28 mai 2020).
  2. Voir : Custers, B. (2018) ‘Profiling as inferred data. Amplifier effects and positive feedback loops’, pp.112-115 in Bayamlıoğlu, E. et al. (eds) Being profiled : cogitas ergo sum. 10 ans de profilage du citoyen européen. Amsterdam University Press, Amsterdam. DOI 10.5117/9789463722124/CH19. Disponible sur : https://ssrn.com/abstract=3466857 ou http://dx.doi.org/10.2139/ssrn.3466857 (consulté le 28 mai 2020).
  3. A29WP (2016) Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679. Commission européenne, Bruxelles, p.17. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053 (consulté le 28 mai 2020).
  4. Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo, p.19. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consulté le 28 mai 2020).
  5. ICO (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 28 mai 2020).
  6. Ibid.
  7. ICO (pas de date) Droit d’accès. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ (consulté le 28 mai 2020).
  8. Groupe de travail Article 29 (2015) Lignes directrices sur le droit à la portabilité des données. Commission européenne, Bruxelles. Disponible à l’adresse : http://ec.europa.eu/newsroom/document.cfm?doc_id=45685 (consulté le 28 mai 2020).
  9. Groupe de travail Article 29 (2015) Lignes directrices sur le droit à la portabilité des données. Commission européenne, Bruxelles, p.8. Disponible à l’adresse : http://ec.europa.eu/newsroom/document.cfm?doc_id=45685 (consulté le 28 mai 2020).
  10. ICO (pas de date) Droit à la portabilité des données. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/ (consulté le 28 mai 2020).
  11. Binns, R. (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 15 mai 2020).
  12. Ibid.
  13. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.27. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 28 mai 2020).
  14. CEPD (2014) Lignes directrices sur les droits des personnes à l’égard du traitement des données à caractère personnel. Contrôleur européen de la protection des données, Bruxelles, p.18. Disponible sur : https://edps.europa.eu/sites/edp/files/publication/14-02-25_gl_ds_rights_en.pdf (consulté le 10 mai 2020).
  15. Office of the Data Protection Ombudsman (pas de date) Right to Rectification. Office of the Data Protection Ombudsman, Helsinki. Disponible à l’adresse : https://tietosuoja.fi/en/right-to-rectification (consulté le 28 mai 2020).
  16. ICO (aucune date) Droit de rectification. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/ (consulté le 28 mai 2020).
  17. Fosch-Villaronga, E., Kieseberg, P. et Li, T. (2018) ” Humans forget, machines remember : artificial intelligence and the right to be forgotten “, Computer Law & Security Review 34(2) : 304-313.
  18. ICO (pas de date) Droit à l’effacement. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/ (consulté le 28 mai 2020).
  19. Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo, p.29. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consulté le 28 mai 2020).

 

Aller au contenu principal