La licéité est un principe essentiel en matière de protection des données. Il implique que les responsables du traitement doivent s’assurer qu’ils disposent d’une base légale pour traiter les données à caractère personnel. Si tel n’est pas le cas, letraitement ne doit pas être effectué.^[1] En général, et y compris pour les données de catégories spéciales, les bases légales du traitement sont décrites à l’article 6 et à l’article 9 du RGPD. Dans le cas de l’IA, les bases légales habituellement invoquées pour justifier le traitement sont : le consentement ; l’intérêt légitime ; la nécessité contractuelle ; et l’obligation légale ou l’intérêt vital. Le traitement pour l’intérêt public peut également être un motif légal, mais nous ne nous y attarderons pas ici puisque nous abordons largement ce sujet dans la section “Protection des données et recherche scientifique” de la section “Concepts principaux” de la partie II des présentes lignes directrices. Par conséquent, nous nous concentrerons sur les quatre motifs juridiques énumérés.

a) Consentement

Le traitement des données est souvent fondé sur le consentement fourni par les personnes concernées. Cependant, le consentement ne s’accorde pas bien avec la nature essentielle de la plupart des développements de l’IA, pour une raison simple : le consentement est, par nature, lié à un objectif concret et bien défini.^[2] Dans le cas de l’IA, l’utilisation de big data et les actions d’agrégation, de partage ou de réaffectation qui sont souvent effectuées créent un scénario qui ne correspond pas aux principes sous-jacents du concept de consentement et au principe de limitation de la finalité (voir “Principe de limitation de la finalité” dans la partie II, section “Principes” des présentes lignes directrices).

Le consentement peut être une base juridique utile pour le traitement des données en vue du développement de l’IA, en particulier si les responsables du traitement ont une relation directe avec le sujet qui fournit les données à utiliser pour la formation, la validation et le déploiement du modèle.^[3] Par exemple, si l’outil d’IA vise à fournir des diagnostics de pneumonie, et que les médecins obtiennent des données de patients dans leur établissement de santé, le consentement pourrait bien servir de base juridique au traitement. Cependant, si le traitement implique l’utilisation d’un outil d’IA complexe qui peut avoir d’autres utilisations des données (par exemple, le profilage et la prise de décision automatisée peuvent se produire par inadvertance, les données sont susceptibles d’être déduites pendant le traitement, ces données déduites peuvent être utilisées à diverses fins, etc.), il est difficile de voir comment un seul consentement pourrait justifier tous ces traitements. À cette fin, les responsables du traitement doivent appliquer les lignes directrices sur le consentement fournies par le groupe de travail Article 29^[4] .

Dans le cadre de la recherche scientifique (voir la section “Protection des données et recherche scientifique” dans les “Concepts principaux” de la partie II des présentes lignes directrices), le RGPD prévoit une dérogation spécifique aux attributs du consentement, permettant aux responsables du traitement de faire usage du consentement généralcomme base juridique du traitement. Le consentement général doit être compris en lien avec le considérant 33 du RGPD, qui stipule qu’il “n’est souvent pas possible d’identifier pleinement la finalité du traitement des données personnelles à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient être autorisées à donner leur consentement à certains domaines de la recherche scientifique lorsque cela est conforme aux normes éthiques reconnues en matière de recherche scientifique.”

Toutefois, le consentement général n’est pas une sorte de consentement générique ou équivoque par rapport au consentement ouvert. Il s’agit d’un outil exceptionnel qui ne peut être acceptable que si plusieurs conditions sont réunies. Si le consentement général est utilisé pour des catégories spéciales de données, les responsables du traitement doivent s’assurer que leur réglementation nationale l’autorise. Ils doivent également être conscients des garanties qui doivent être mises en œuvre. La proportionnalité entre l’objectif de la recherche et l’utilisation de catégories particulières de données doit être garantie. En outre, les responsables du traitement doivent s’assurer que la réglementation de leurs États membres ne protège pas les données génétiques, biométriques et de santé en introduisant des conditions ou des limitations supplémentaires, puisqu’ils sont autorisés à le faire par le RGPD.

En outre, chaque fois qu’un consentement général est utilisé pour atteindre la finalité de la recherche, certaines mesures essentielles doivent être envisagées pour compenser la définition abstraite des finalités de la recherche. Le respect des normes éthiques reconnues en matière de recherche scientifique, conformément au considérant 33 du RGPD, semble particulièrement pertinent à cette fin.

Encadré 3 : Consentement général et garanties supplémentaires L’autorité allemande de protection des données a récemment dressé une liste de garanties supplémentaires à mettre en œuvre en cas de consentement général.[5] Il s’agit de : 1. Garanties pour assurer la transparence : Utilisation de règlements d’utilisation ou de plans de recherche qui illustrent les méthodes de travail prévues et les questions qui doivent faire l’objet du projet de recherche. Évaluation et documentation de la question de savoir pourquoi, dans ce projet de recherche particulier, une spécification plus détaillée des finalités de la recherche n’est pas possible. Mettre en place des présences sur le web pour informer les participants aux études sur les études en cours et futures. 2. Garde-fous pour instaurer la confiance : Vote positif d’un comité d’éthique avant l’utilisation des données à des fins de recherche ultérieure. Évaluation de la possibilité de travailler avec un consentement dynamique ou de la possibilité pour une personne concernée de s’opposer avant que les données ne soient utilisées pour de nouvelles questions de recherche. 3. Garanties de sécurité : Pas de transfert de données vers des pays tiers dont le niveau de protection des données est inférieur. Mesures supplémentaires concernant la minimisation, le cryptage, l’anonymisation ou la pseudonymisation des données Mise en œuvre de politiques spécifiques pour limiter l’accès aux données personnelles.

En tout état de cause, les participants à la recherche doivent avoir la possibilité de retirer leur consentement, d’accepter ou de refuser certaines recherches ou parties de recherches, et d’être assurés que leurs droits sont protégés par le respect des normes éthiques de la recherche scientifique.^[6] Parfois, cela peut nuire à la solution d’IA ou obliger les responsables du traitement à effectuer des actions complexes. Par conséquent, les responsables du traitement doivent se demander si d’autres bases juridiques ne pourraient pas mieux les aider à développer l’outil tout en respectant la loi.

En résumé, les responsables du traitement doivent être prudents lorsqu’ils utilisent le consentement comme base juridique pour justifier le traitement des données, car le consentement n’invalide pas leurs responsabilités concernant la loyauté, la nécessité et la proportionnalité du traitement.^[7] En outre, dans le cas de l’IA utilisant le Big Data, il est souvent difficile de justifier que le consentement remplit toutes les exigences nécessaires : librement donné, spécifique, informé et sans ambiguïté, et un acte affirmatif clair de la part de la personne concernée. En général, plus les développeurs d’IA veulent faire de choses avec les données, plus il est difficile de garantir que le consentement est véritablement spécifique et éclairé. Tout cela doit être pris en compte lors du choix du consentement comme base juridique du traitement des données.

Encadré 4. Le consentement comme base juridique : l’affaire OkCupid En 2016, un groupe de chercheurs danois a publié un ensemble de données concernant environ 70 000 utilisateurs. Ces données avaient été obtenues sur le site de rencontres en ligne OkCupid[8] et comprenaient des catégories de données telles que les noms d’utilisateur, l’âge, le sexe, la localisation, le type de relation (ou de sexe) qui intéressait les personnes concernées, leurs traits de personnalité, etc. Les chercheurs ont estimé que le simple fait que ces données étaient accessibles au public (sur les profils de rencontre des utilisateurs) constituait une base juridique pour un traitement ultérieur. Il s’agit d’un excellent exemple des terribles conséquences de l’argument selon lequel “les données sont déjà publiques”. Les personnes concernées ont vu leurs données personnelles traitées, et des informations très sensibles exposées au public, sans leur consentement. Malheureusement, cette association entre données publiques et données ouvertes est encore trop étendue. Les chercheurs devraient être conscients que le consentement fourni pour un traitement concret ne sert pas de base juridique pour d’autres traitements, et que “accessible au public” n’est pas synonyme de “données ouvertes”, c’est-à-dire de données et de contenus qui peuvent être librement utilisés, modifiés et partagés par quiconque, à n’importe quelle fin, comme le définit l’Open Data Institute.[9]

Liste de contrôle : consentement ☐ Les responsables du traitement ont vérifié que le consentement est la base juridique la plus appropriée pour le traitement. ☐ Les responsables du traitement demandent le consentement des intéressés de manière libre, spécifique, éclairée et non équivoque. ☐ Le consentement général est utilisé uniquement lorsqu’il est difficile ou improbable de prévoir comment ces données seront traitées à l’avenir. ☐ Le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales. ☐ Lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci. ☐ Lesresponsables du traitement ont une relation directe avec le sujet qui fournit les données à utiliser pour la formation, la validation et le déploiement du modèle IA. ☐ Il n’y a pas de déséquilibre de pouvoir entre les responsables du traitement et les personnes concernées. ☐ Les responsables du traitement demandent aux personnes de s’inscrire positivement. ☐ Les responsables du traitement n’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut. ☐ Les responsables du traitement utilisent un langage clair et simple, facile à comprendre. ☐ Les responsables du traitement précisent pourquoi ils veulent les données et ce qu’ils vont en faire. ☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement. ☐ Les responsables du traitement indiquent aux personnes qu’elles peuvent retirer leur consentement et comment le faire. ☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de donner leur consentement sans subir de préjudice. ☐ Les responsables du traitement évitent de faire du consentement une condition préalable à un service.

b) Intérêt légitime

L’utilisation de l’intérêt légitime comme base juridique du traitement pour le développement de l’IA est applicable, à condition que le résultat du test de mise en balance le justifie (voir “Intérêt légitime et test de mise en balance” dans la partie II, section “Principales actions et outils” des présentes lignes directrices). Cela peut impliquer de définir l’objectif du traitement de l’IA dès le départ, et de veiller à ce que l’objectif initial du traitement soit réévalué si le système d’IA fournit un résultat inattendu, de manière à pouvoir identifier les intérêts légitimes poursuivis ou à pouvoir recueillir un consentement valable auprès des personnes.^[10] Le test de mise en balance doit être documenté de manière adéquate dans les registres de traitement. Toutefois, dans certains cas, l’intérêt légitime peut ne pas être utile aux fins du traitement de l’IA. Par exemple, si les responsables du traitement prévoient de rassembler une quantité considérable de données à caractère personnel “au cas où”, ils ne devraient pas considérer l’intérêt légitime comme un motif légal pour le traitement des données, car la mise en balance entre la nécessité du traitement et les impacts possibles du traitement sur les personnes ne le justifierait guère.^[11]

Liste de contrôle : l’intérêt légitime comme base juridique ☐ Les responsables de traitement ont vérifié que l’intérêt légitime est la base la plus appropriée. ☐ Les responsables du traitement comprennent leur responsabilité de protéger les intérêts des personnes. ☐ Les responsables du traitement tiennent un registre des décisions prises et de leur motivation, afin de s’assurer qu’ils peuvent justifier leur décision. ☐ Les responsables du traitement ont identifié les intérêts légitimes pertinents. ☐ Les responsables du traitement ont vérifié que le traitement est nécessaire et qu’il n’existe pas de moyen moins intrusif pour parvenir au même résultat. ☐ Les responsables du traitement ont effectué un test d’équilibre et sont convaincus que les intérêts de la personne ne l’emportent pas sur ces intérêts légitimes. ☐ Les responsables du traitement n’utilisent les données des personnes que de la manière à laquelle ils peuvent raisonnablement s’attendre, sauf si les responsables du traitement ont une très bonne raison. ☐ Les responsables du traitement n’utilisent pas les données des personnes d’une manière qu’elles trouveraient intrusive, ou qui pourrait leur causer un préjudice, à moins que les responsables du traitement aient une très bonne raison. ☐ Si les responsables du traitement traitent les données d’enfants, ils prennent des précautions supplémentaires pour s’assurer qu’ils protègent les intérêts des enfants. ☐ Les responsables du traitement ont envisagé des mesures de sauvegarde pour réduire l’impact, dans la mesure du possible. ☐ Les responsables du traitement ont examiné s’ils pouvaient proposer un opt-out. ☐ Les responsables du traitement ont examiné s’ils devaient également réaliser une AIPD.

c) Nécessité contractuelle

L’exécution d’un contrat auquel la personne concernée est partie, ou l’accomplissement de démarches à la demande de la personne concernée avant la conclusion d’un contrat, peut servir de base juridique au traitement, si l’utilisation de l’IA est objectivement nécessaire à l’une de ces finalités. Cela pourrait être le cas pour les développeurs qui engagent des sujets pour utiliser leurs données personnelles dans la phase de formation du système. Il pourrait également s’agir du responsable du traitement, qui fournit à des tiers intéressés un service comprenant la solution d’IA, et qui utilise les données de ces sujets dans le cadre du contrat de service.^[12] Toutefois, cettebase juridique ne devrait pas être utilisée pour des finalités différentes (telles que l’amélioration du système ou similaire) selon le principe de limitation de la finalité (voir “Principe de limitation de la finalité” dans la partie II section “Principes” des présentes lignes directrices), puisque les données utilisées pour exécuter le contrat ne sont pas nécessaires pour ces finalités alternatives.^[13] Ainsi, les responsables du traitement peuvent traiter les données qui sont intrinsèquement nécessaires à l’exécution d’un contrat sous l’égide de cette base juridique si elles sont objectivement nécessaires à l’exécution du contrat, mais pas à d’autres fins.^[14] En résumé, il semble difficile de voir comment l’exécution d’un contrat pourrait servir de base juridique pour la recherche et l’innovation en matière d’IA.

d) Obligation légale ou intérêt vital

Selon l’article 6, paragraphe 1, point d), du RGPD, les données peuvent être traitées si elles sont “nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique”. De même, le traitement est licite s’il est “nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis” (article 6, paragraphe 1, point c). Si nous parlons de catégories spéciales de données, il existe alors d’autres motifs légaux de traitement, comme l’exprime l’article 9, paragraphe 2. Il est encore une fois difficile d’imaginer un seul cas où l’une de ces bases pourrait constituer un fondement juridique pour la formation d’un système d’IA à l’heure actuelle, même si des révisions des réglementations existantes aux niveaux national et européen pourraient changer la donne à l’avenir. En tout état de cause, pour la formation de systèmes d’IA susceptibles de sauver des vies, il serait préférable de s’appuyer sur d’autres bases juridiques, telles que le consentement ou l’intérêt public.^[15]

Encadré 5. Exemples d’intérêt vital comme base juridique du traitement des données par un outil d’IA Imaginons que, lors de la pandémie de COVID-19, une organisation développe un outil d’IA capable de diagnostiquer la maladie en utilisant la radiologie. Dans ce cas, les données relatives aux patients pourraient être traitées sur la base de l’intérêt vital, comme le prévoit l’article 9, paragraphe 2, point c), du RGPD. Toutefois, d’autres bases juridiques, tels que l’intérêt public substantiel (article 9, paragraphe 2, point g) ou i), pourraient être plus appropriés.

Informations complémentaires AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.20 Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf Groupe de travail Article 29 (2014) Avis 6/2014 sur la notion d’intérêts légitimes du responsable du traitement au titre de l’article 7 de la directive 95/46. Commission européenne, Bruxelles. Disponible à l’adresse suivante : www.dataprotection.ro/servlet/ViewDocument?id=1086 CIPL (2020) Intelligence artificielle et protection des données. Comment le RGPD réglemente l’IA. Centre for Information Policy Leadership, Washington, DC / Bruxelles / Londres. Disponible à l’adresse : www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf EDPB (2019) Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées. Conseil européen de la protection des données, Bruxelles. Disponible à l’adresse suivante : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf EDPB (2020) Lignes directrices 05/2020 sur le consentement au titre du règlement 2016/679 Version 1.1 adoptée le 4 mai 2020. Disponible à l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf CEPD (2017) Necessity toolkit. Contrôleur européen de la protection des données, Bruxelles. Disponible sur : https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en Vous trouverez dans les documents suivants d’autres lectures sur l’intérêt légitime, avec des cas pratiques et plusieurs références aux arrêts de la Cour de justice de l’Union européenne. Future of Privacy Forum (pas de date) Traitement des données personnelles sur la base d’intérêts légitimes en vertu du RGPD. Réseau européen de formation judiciaire, Bruxelles. Disponible à l’adresse : www.ejtn.eu/PageFiles/17861/Deciphering_Legitimate_Interests_Under_the_GDPR%20(1).pdf ICO (aucune date) Comment appliquer les intérêts légitimes dans la pratique ? Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ ICO (aucune date) Base légale du traitement. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/ Kuyumdzhieva, A. (2018) ‘Ethical challenges in the digital era : focus on medical research’, pp. 45-62 in : Koporc, Z. (ed.) Ethics and integrity in health and life sciences research. Emerald, Bingley. Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

 

1. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial : Una introducción, p.20. Agencia Espanola Proteccion Datos, Madrid. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
2. Comité international de bioéthique (2017) Rapport du CIB sur le big data et la santé, p.20. UNESCO. Disponible à l’adresse : http://unesdoc.unesco.org/images/0024/002487/248724e.pdf (consulté le 13 mars 2020). ↑
3. ICO (aucune date) Comment appliquer les intérêts légitimes dans la pratique ? Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ (consulté le 15 mai 2020). En outre, l’évaluation de la nature de cette relation doit inclure une enquête sur le rapport de force entre la personne concernée et le responsable du traitement des données. ↑
4. Groupe de travail Article 29 (2018) Lignes directrices sur le consentement en vertu du règlement 2016/679. Commission européenne, Bruxelles, p.29. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (consulté le 5 mai 2020). ↑
5. DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. avril 2019, à l’adresse : www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consulté le 20 mai 2020). La traduction anglaise provient d’un beau résumé des mesures qui peut être consulté ici : www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/. ↑
6. Kuyumdzhieva, A. (2018) ‘Ethical challenges in the digital era : focus on medical research’, pp.45-62 in : Koporc, Z. (ed.) Ethics and integrity in health and life sciences research. Emerald, Bingley. ↑
7. Groupe de travail Article 29 (2018) Lignes directrices sur le consentement en vertu du règlement 2016/679. WP259. Commission européenne, Bruxelles, p.3. Disponible à l’adresse : https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (consulté le 15 mai 2020). ↑
8. www.okcupid.com (consulté le 5 mai 2020). ↑
9. http://opendefinition.org/ (consulté le 5 mai 2020). ↑
10. CIPL (2020) Intelligence artificielle et protection des données. Comment le RGPD réglemente l’IA. Centre for Information Policy Leadership, Washington, DC/Bruxelles/Londres, p.5. Disponible sur : www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf (consulté le 15 mai 2020). ↑
11. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.22. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
12. Ibid. , p.20. ↑
13. Groupe de travail Article 29 sur la protection des données (2014) Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE. Commission européenne, Bruxelles, p.16-17. Disponible à l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (consulté le 16 mai 2020). ↑
14. EDPB (2019) Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées. Conseil européen de la protection des données, Bruxelles, p.14. Disponible à l’adresse : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf (consulté le 15 mai 2020). ↑
15. Groupe de travail Article 29 (2014) Avis 06/2014 sur la notion d’intérêts légitimes du responsable du traitement des données au titre de l’article 7 de la directive 95/46/CE. Commission européenne, Bruxelles, p.20. Disponible à l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (consulté le 15 mai 2020). ↑