Le principe de responsabilité du RGPD est basé sur le risque : plus le risque du traitement des données pour les droits et libertés fondamentaux des personnes concernées est élevé, plus les mesures nécessaires pour atténuer ces risques sont importantes.[1] (Voir la section “Principe de responsabilité” dans les “Principes” de la partie II des présentes lignes directrices). Le principe de responsabilité est fondé sur toutes les obligations de conformité des responsables du traitement des données, notamment : les obligations de transparence (articles 12-14) ; la garantie de l’exercice des droits en matière de protection des données (articles 15-22) ; la tenue de registres des opérations de traitement des données (article 30) ; la notification des éventuelles violations de données à une autorité de contrôle nationale (article 33) et aux personnes concernées (article 34) ; et, en cas de risque plus élevé, le recrutement d’un DPD et la réalisation d’une AIPD (article 35).
Le traitement des données à caractère personnel dans les systèmes IdOpouvant souvent être considéré comme à haut risque,[2] les développeurs de l’IA devront souvent disposer d’un DPD et réaliser une AIPD. De même, les responsables du traitement devraient créer une politique de protection des données qui permet la traçabilité des informations. Enfin, s’il existe des codes de conduite approuvés, ceux-ci pourraient également être mis en œuvre (voir la sous-section “Économie d’échelle pour la conformité et sa démonstration” dans la section “Responsabilité” des “Principes” de la partie II des présentes lignes directrices).
Encadré 8 : La difficulté de la responsabilisation dans le développement IdO La responsabilisation est une exigence essentielle compte tenu des risques inhérents à l’IdO, tels que “la nature opaque des flux de données distribués, les mécanismes de consentement inadéquats et l’absence d’interfaces permettant à l’utilisateur final de contrôler le comportement des appareils connectés à internet”[3] . Une autre question particulièrement complexe est le fait que l’IdO permet de nombreux outils et technologies qui présentent leurs propres risques en matière de protection des données. En particulier, l’IA, l’apprentissage automatique, le big data, le cloud computing, “les données personnelles collectées par les dispositifs IdOétant généralement distribuées dans le cloud pour être traitées et analysées”[4] . Des normes sont en cours d’élaboration par le CEN et le CENELEC. Voir la liste ici : |
- Voir les articles 24, 25 et 32 du RGPD, qui exigent que les responsables du traitement prennent en compte les “risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques” lorsqu’ils adoptent des mesures spécifiques de protection des données. ↑
- Voir, en particulier, l’article 35, paragraphe 3, point a), selon lequel le traitement des données est considéré comme présentant un risque élevé dans les cas, entre autres, “d’une évaluation systématique et extensive d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques à l’égard de la personne physique ou l’affectant de manière significative de façon similaire”. ↑
- Urquhartet L. et al, Demonstrably doing accountability in the Internet of Things, Journal international du droit et des technologies de l’information, 2019, 27, 1-27. ↑
- Ibid. ↑