Selon le principe de confidentialité, les responsables du traitement doivent minimiser les risques pour les droits, intérêts et libertés des personnes concernées. À cette fin, ils doivent travailler selon une approche fondée sur le risque (voir la section “Intégrité et confidentialité” dans les “Principes”, partie II des présentes lignes directrices). L’approche fondée sur le risque de la législation sur la protection des données exige des responsables du traitement qu’ils se conforment à leurs obligations et mettent en œuvre des mesures appropriées dans le cadre de leur situation particulière – la nature, la portée, le contexte et les finalités du traitement qu’ils ont l’intention de faire, et les risques que cela présente pour les droits et libertés des personnes. Leurs considérations de conformité impliquent donc d’évaluer les risques pour les droits et libertés des personnes et de juger de ce qui est approprié dans ces circonstances. Dans tous les cas, les responsables du traitement doivent s’assurer qu’ils respectent les exigences en matière de protection des données et qu’ils sont en mesure de montrer comment ils s’y conforment, par exemple au moyen d’une documentation (voir “Responsabilité” dans la partie “Principes” de la partie II des présentes lignes directrices).

Pour gérer les risques pour les personnes qui découlent du traitement des données à caractère personnel dans les systèmes IdO, il est important que les responsables du traitement acquièrent une bonne compréhension et une bonne articulation des droits fondamentaux, des risques et de la manière d’équilibrer ces droits et d’autres intérêts. En définitive, il est nécessaire que les responsables du traitement évaluent les risques que l’utilisation de l’IdO fait peser sur les droits des personnes, qu’ils déterminent la manière dont ils doivent y faire face et qu’ils établissent l’impact que cela a sur leur utilisation de l’IdO.^[1] À cette fin, deux facteurs clés doivent être pris en considération : ^[2]

• Les risques découlant du traitement lui-même, tels que l’apparition de biais associés au profilage ou aux systèmes automatisés de prise de décision.
• Les risques découlant du traitement par rapport au contexte social et les effets secondaires indirectement liés à l’objet du traitement qui peuvent survenir.

Boîte 9 : Par exemple, si une application IdOne garantit pas la sécurité des informations au moyen de mesures de sécurité telles que le cryptage des données dans les différents états par lesquels les informations passent, nous mettrons la sécurité en danger. De plus, les techniques de cryptage doivent utiliser des algorithmes reconnus au niveau international, considérés comme sûrs et avec une clé suffisamment longue.

Afin de minimiser ces risques, les responsables du traitement doivent s’assurer que des mesures techniques et organisationnelles appropriées sont mises en œuvre pour éliminer, ou au moins atténuer le risque de sécurité, en réduisant la probabilité que les menaces identifiées se concrétisent, ou en réduisant leur impact. Il est nécessaire de prendre en compte les normes de sécurité qui existent déjà sur le marché, ainsi que les normes de conformité en matière de protection des données qui s’appliqueront à la solution IdO, telles que le RGPD pour la protection des données ou PCI-DSS pour les transactions utilisant des cartes de paiement. En outre, les développeurs IdOdoivent toujours se rappeler que l’article 32, paragraphe 4, du RGPD précise qu’un élément important de la sécurité consiste à s’assurer que les employés accédant aux données n’agissent que sur instruction et selon les instructions du responsable du traitement (voir la section “Intégrité et confidentialité” des “Principes” de la partie II des présentes lignes directrices).

Boîte 10 : Par exemple, si l’application comprend un module de gestion des données bancaires ou de paiement par carte de crédit/débit, il est nécessaire de prendre en compte la norme PCI DSS. De plus, si elle doit gérer et traiter des données personnelles, elle doit être adaptée au cadre réglementaire opérant sur le territoire, comme le RGPD dans l’Union européenne. Quelques mythes d’évaluation des risques déjà disponibles : CNIL : https://www.cnil.fr/sites/default/files/typo/document/CNIL-ManagingPrivacyRisks-Methodology.pdf ISO : ISO/IEC 29134

La description générale des mesures de sécurité techniques et organisationnelles doit faire partie des registres du traitement, dans la mesure du possible (article 30, paragraphe 1, point g), pour les responsables du traitement, et article 30, paragraphe 2, point d), pour les sous-traitants) et toutes les mesures mises en œuvre font partie de l’AIPD, en tant que mesures correctives pour limiter le risque. Enfin, une fois les mesures sélectionnées mises en œuvre, les risques résiduels restants doivent être évalués et maintenus sous contrôle. L’analyse des risques et l’AIPD sont les outils qui s’appliquent.

Comme indiqué dans les exigences et les tests d’acceptation pour l’achat et/ou le développement des logiciels, du matériel et de l’infrastructure employés, l’évaluation des risques et les décisions prises “doivent être documentées afin de respecter l’exigence de protection des données dès la conception” (de l’article 25 du RGPD) (voir la section “Protection des données dès la conception et par défaut” dans la section “Concepts principaux”, partie II des présentes lignes directrices).

Enfin, les responsables du traitement doivent toujours être conscients que, conformément à l’article 32, paragraphe 1, point d), du RGPD, la protection des données est un processus. Par conséquent, ils doivent tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles. Les procédures qui permettent aux responsables du traitement d’identifier les changements qui déclencheraient le réexamen de l’analyse de l’impact sur la protection des données doivent être créées à ce moment-là. Dans la mesure du possible, les responsables du traitement doivent essayer d’imposer un modèle dynamique de suivi des mesures en jeu (voir la section “Intégrité et confidentialité” dans la partie II “Principes” des présentes lignes directrices).

 

 

1. ICO (2020) IoT auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.13-14. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consulté le 15 mai 2020). ↑
2. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.30. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑