RGPD vs IA : Les défis de la protection des données personnelles dans la mise en place des SIA

Certification RGPD des sous-traitants et systèmes d’IA

‍

Afin d'établir un cadre rigoureux et homogène, la CNIL a initié une consultation publique sur un projet de référentiel d'évaluation pour la certification RGPD des sous-traitants^[1]. Cette démarche vise à définir un niveau de conformité ambitieux tout en le rendant accessible, notamment aux PME.

‍

La mise en place d’un système d’IA requiert l’intervention de multiples acteurs, les fabricants ont fréquemment recours à dessous-traitants, il leur incombe ainsi de s’assurer que ces prestataires, sous-traitants au sens du RGPD, présentent des garanties suffisantes.

‍

Conformément à l'article 28 du RGPD, les responsables de traitement sont tenus de s'assurer que leurs sous-traitants présentent des garanties suffisantes en matière de protection des données. La certification permettrait ainsi d'établir une reconnaissance officielle des bonnes pratiques et d'offrir aux responsables de traitement un critère de choix fiable et transparent.

‍

Le référentiel défini par la CNIL se compose de 90 critères répartis en plusieurs sections :

‍

⤷ Contractualisation, encadrant les relations entre le responsable de traitement et le sous-traitant.

‍

⤷ Préparation du traitement et mesures de sécurité, portant sur l'instauration d'un environnement de traitement conforme.

‍

⤷ Mise en œuvre du traitement, couvrant l'exécution effective des opérations de traitement.

‍

⤷ Fin du traitement, définissant les modalités de cessation d'activité et de suppression des données.

‍

Un volet spécifique est consacré aux actions de suivi devant être menées sur la durée de validité de la certification, fixée à trois ans renouvelables.

‍

La mise en place d'une certification des sous-traitants répond à plusieurs objectifs fondamentaux. Tout d'abord, elle permet de renforcer la mise en conformité au RGPD en encadrant les obligations des sous-traitants, en particulier en ce qui concerne la sécurité, de confidentialité et la coopération avec les responsables de traitement. De plus, cette certification favorise l’harmonisation des exigences, évitant ainsi des évaluations conformité hétérogènes.

‍

En outre, elle facilite le choix des sous-traitants pour les responsables de traitement en offrant un label de référence reconnu, permettant d'éviter des audits individuels chronophages et coûteux.

‍

La certification participe également à la valorisation des bonnes pratiques des sous-traitants en leur conférant un avantage concurrentiel significatif. Elle renforce leur crédibilité sur le marché et améliore la confiance des partenaires ainsi que des utilisateurs finaux, en garantissant un traitement fiable et sécurisé des données personnelles.

‍

Enfin, elle permet d'harmoniser et de professionnaliser les pratiques en établissant un cadre de référence clair pour les sous-traitants, facilitant ainsi leur mise en conformité. La certification encourage également une amélioration continue des processus via un renouvellement périodique, garantissant l'adaptation des entreprises aux évolutions technologiques et réglementaires.

‍

Il est important de noter que les sous-traitants, dans le cadre de leur collaboration avec les responsables de traitement, peuvent être amenés à manipuler des données provenant de transferts internationaux, notamment entre différents pays. Ces transferts soulèvent des enjeux spécifiques en matière de conformité et de sécurité, nécessitant une attention particulière pour garantir la protection des données personnelles à chaque étape.

‍

[1] Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d’évaluation.

Transferts de données à caractère personnel entre l'Union européenne et les États-Unis : assurer la conformité des transferts de données alimentant les systèmes d’IA

‍

Les systèmes d’IA nécessitent de vastes ensembles de données pour apprendre et effectuer des prédictions précises, les transferts de données deviennent alors attractifs pour alimenter les systèmes d’IA. Ces données proviennent de diverses sources comme des bases de données internes, des capteurs ou des services tiers, elles doivent être transférées de manière sécurisée.

‍

L’enjeu de ces transferts est crucial, il faut garantir la confidentialité, l'intégrité et la disponibilité des données pendant ces transferts, afin d'éviter tout risque de fuite ou de manipulation malveillante.

‍

Le RGPD fixe le cadre juridique des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales, conformément à son Chapitre V. Ce transfert se caractérise par la transmission ou la mise à disposition de telles données par un responsable de traitement ou un sous-traitant établi dans l’Union européenne à un destinataire situé en dehors de l’Espace économique européen (EEE).

‍

Les transferts de données à caractère personnel doivent impérativement garantir un niveau de protection adéquat des droits et libertés des personnes concernées. À ce titre, plusieurs mécanismes de régulation existent :

‍

⤷ La décision d’adéquation de la Commission européenne (article 45RGPD) : lorsqu’un pays tiers assure un niveau de protection équivalent à celui de l’UE, la Commission européenne peut adopter une décision permettant le transfert des données sans mesures supplémentaires.

‍

⤷ Les clauses contractuelles types (CCT) (article 46 RGPD) : en l’absence de décision d’adéquation, les parties peuvent encadrer le transfert par des CCT adoptées par la Commission européenne ou une autorité de contrôle nationale.

‍

⤷ D’autres garanties appropriées : telles que des codes de conduite ou des mécanismes de certification (article 46 RGPD), ou encore des règles d’entreprise contraignantes (article 47 RGPD),

‍

⤷ Les dérogations exceptionnelles (article 49 RGPD), applicables sous conditions strictes lorsque les autres mécanismes ne peuvent être mis en place.

‍

Le 30 janvier dernier, la CNIL a publié la version finale du guide pratique sur les analyses d’impact des transferts de données (AITD) afin d’accompagner au mieux les exportateurs de données à caractère personnel. Ces derniers, qu’ils soient responsables de traitement ou sous-traitants, ne sont tenus de réaliser une AITD que lorsque leur transfert repose sur l’article 46du RGPD. L’objectif de l’AITD est d’évaluer si l’importateur sélectionné offre les garanties requises de protection lors du transfert des données personnelles.

‍

Ce guide propose une méthodologie détaillant les étapes préalables et les éléments essentiels à considérer pour mener une AITD, en s’appuyant sur les recommandations du CEPD. Toutefois, il ne constitue pas une évaluation des législations des pays tiers et son usage demeure facultatif.

‍

La section 2 du guide précise les étapes préalables à la réalisation d’une AITD. Tout d’abord, l’exportateur doit vérifier l’existence d’un transfert de données personnelles et déterminer si celui-ci nécessite uneAITD. Ensuite, il doit identifier la qualification des entités impliquées dans le transfert (responsable de traitement, responsable conjoint de traitement ou sous-traitant), cette classification définissant la répartition des responsabilités et les obligations spécifiques de chaque partie. Il lui revient également de définir le périmètre du transfert, y compris les éventuels transferts ultérieurs, et de s’assurer de la conformité du transfert aux principes duRGPD.

‍

Si la réalisation d’une AITD s’avère nécessaire, la section3 du guide décrit alors les six étapes essentielles à suivre :

‍

⤷ Identifier le transfert de données ;

‍

⤷ Déterminer l’outil de transfert utilisé ;

‍

⤷ Évaluer la législation et les pratiques en vigueur dans le pays de destination ;

‍

⤷ Recenser et adopter des mesures supplémentaires ;

‍

⤷ Mettre en œuvre ces mesures ;

‍

⤷ Réévaluer régulièrement le niveau de protection afin d’anticiper d’éventuelles évolutions.

Ce guide constitue ainsi un outil méthodologique destiné à accompagner les exportateurs à chaque étape du processus, tout en leur laissant la possibilité d’adopter des approches alternatives adaptées à leur contexte spécifique.

‍

Nombre de transferts de données s’effectue entre l’UnionEuropéenne et les États-Unis, pourtant la mise en place d’un régime juridique garantissant la conformité au règlement européen semble loin d’être acquise. Le transfert des données personnelles vers les États-Unis a fait l’objet d’un contentieux important devant la Cour de justice de l’Union européenne, notamment avec les arrêts Schrems I et Schrems II. L’avenir du Data Privacy Framework demeure incertain, notamment en raison de la récente vacance de trois sièges au sein du Privacy and Civil Liberties Oversight Board (PCLOB), organisme garant de la légalité du Data Privacy Framework, pourrait affaiblir le cadre de contrôle mis en place.

‍

De plus, le 20 janvier dernier, Donald Trump a abrogé le décret de sécurité sur l'intelligence artificielle signé par Joe Biden. Ce décret avait pour objectif d’établir des lignes directrices strictes concernant l'IA, en mettant l'accent sur la protection de la vie privée. Il imposait que les technologies d'IA respectent les principes fondamentaux de confidentialité, en garantissant la sécurité des données sensibles collectées et leur utilisation conforme à la législation en vigueur.

‍

En outre, il exigeait que les développeurs d'algorithmes procèdent à des évaluations approfondies pour identifier les biais, vulnérabilités et failles dans leurs systèmes, tout en obligeant la publication des résultats de ces tests auprès des autorités gouvernementales.

‍

Les transferts de données personnelles ne sont pas seulement une question de conformité juridique, ils revêtent également un enjeu économique majeur. Les grandes plateformes numériques, à l’image de Facebook, génèrent des revenus publicitaires substantiels grâce à l’exploitation des données personnelles de leurs utilisateurs (environ 32 euros par utilisateur européen et par an selon certaines estimations).

‍

Dans ce contexte, il est essentiel de garantir la conformité aux exigences du RGPD, particulièrement dans le cadre des échanges entre l'Union européenne et les États-Unis. Ces transferts, alimentant notamment les systèmes d'intelligence artificielle, impliquent non seulement des considérations techniques portant sur des enjeux juridiques complexes, mais aussi sur la sécurité des données, nécessitant une attention particulière pour préserver la confidentialité et les droits des individus concernés.

Anonymisation des données :une mise à jour des recommandations nécessaire avec le développement des systèmes d’IA

‍

La pseudonymisation et l'anonymisation représentent deux approches distinctes et essentielles dans la protection des données personnelles.

‍

La pseudonymisation consiste à remplacer les informations directement identifiables par des identifiants fictifs ou des alias, rendant ainsi plus complexe l'identification des individus, bien que cette identification demeure théoriquement possible. Il convient de noter que les données pseudonymisées continuent d’être des données personnelles et demeurent donc soumises aux dispositions du RGPD.

‍

Le 17 janvier 2025, le CEPD a adopté des lignes directrices portant sur la pseudonymisation et a suggéré un renforcement de la collaboration avec les autorités de la concurrence, afin d’harmoniser l’articulation entre le droit de la concurrence et la protection des données personnelles.

‍

Selon les lignes directrices, la pseudonymisation est considérée comme un dispositif pertinent pour atténuer les risques liés au traitement des données. Elle peut également favoriser le recours à l'intérêt légitime en tant que base légale du traitement, conformément à l'article 6.1.f du RGPD, sous réserve du respect des autres exigences réglementaires.

‍

Les lignes directrices offrent également une analyse des mesures techniques et des garanties nécessaires pour assurer la confidentialité et empêcher l'identification non autorisée des individus lors de l'utilisation de la pseudonymisation. Ces lignes directrices sont ouvertes à une consultation publique jusqu'au 28 février 2025, permettant aux parties prenantes de soumettre leurs contributions pour enrichir le document final.

‍

À l'inverse, l'anonymisation vise à transformer les données de manière irréversible, de sorte qu'il devient impossible d'établir un lien entre les données et les personnes concernées, même en recoupant ces informations avec d'autres sources. Une fois anonymisées, les données ne sont plus considérées comme des données personnelles et échappent ainsi à l'application du RGPD.

‍

Toutefois, avec les progrès technologiques, en particulier dans les domaines de l'intelligence artificielle et de l'analyse de données massives, les techniques de réidentification se sont considérablement raffinées. Des données qui étaient autrefois jugées anonymes peuvent aujourd'hui être croisées avec d'autres ensembles de données pour aboutir à l'identification d'individus.

‍

Cette évolution soulève des questions cruciales sur la fiabilité et l'efficacité des méthodes d'anonymisation face aux capacités croissantes des outils de traitement de données. Parallèlement, la prolifération des objets connectés, des applications mobiles et des services en ligne a engendré la collecte de nouvelles formes de données, telles que les informations de géolocalisation, les habitudes de consommation ou encore les données biométriques. Ces nouvelles catégories de données présentent des défis considérables en matière de protection, exigeant une vigilance accrue.

‍

Dans ce contexte, une harmonisation des pratiques d'anonymisation s'avère nécessaire. En effet, la diversité des méthodes utilisées par les organisations engendre des niveaux de protection disparates, susceptibles de compromettre l'efficacité globale des mesures de sécurité. La CNIL a d'ores et déjà reconnu la nécessité de mettre à jour ses lignes directrices, à la lumière des avancées technologiques qui rendent certaines techniques obsolètes ou moins efficaces.

‍

Lors de sa séance plénière du 30janvier 2025, elle a évoqué cette problématique, soulignant l'importance d’adapter les pratiques d'anonymisation aux défis posés par l’intelligence artificielle et des méthodes de traitement des données. Bien que la publication d'une date précise pour la révision de ces recommandations n’ait pas encore eu lieu, il est attendu que ces nouvelles orientations soient établies d’ici quelques temps, afin d’accompagner les organisations dans la mise en œuvre de pratiques d'anonymisation efficaces et conformes aux exigences actuelles de protection des données.

‍

Récemment, le CEPD a rendu un avis important concernant les modèles d’IA, il met ainsi en évidence que les modèles d’IA ne peuvent pas être automatiquement considérés comme anonymes. Il recommande une évaluation minutieuse au cas par cas, prenant en compte les spécificités du modèle, son contexte de diffusion et les techniques d’extraction possibles qui pourraient rendre les données personnelles identifiables. Cette approche souligne l’importance d’une analyse rigoureuse des risques associés à l’anonymisation, dans un environnement où les techniques de réidentification deviennent de plus en plus sophistiquées.

‍

Au terme de cet avis, le CEDP a souligné la nécessité de garantir la protection des données dès la conception de ces technologies. Par ailleurs, l’avis du CEPD rappelle également que l’utilisation de l’intérêt légitime comme fondement juridique nécessite un test en trois étapes.

‍

Cela implique d’abord l’identification de l’intérêt légitime poursuivi, suivi d’une évaluation de la nécessité du traitement, avant de procéder à une mise en balance avec les droits et libertés des personnes concernées. Cette approche renforce la nécessité pour les entreprises de prouver que leur traitement est véritablement justifié et proportionné. Enfin, l’avis aborde les conséquences d’un traitement illicite des données.

‍

En cas de non-conformité aux règles, des mesures correctives peuvent être appliquées, allant de la limitation du traitement à la suppression des données, voire du modèle lui-même. L’impact des infractions sera évalué selon le scénario d’utilisation du modèle, qu’il soit exploité par le responsable du traitement ou par un tiers. Cette précision met en évidence la responsabilité des entreprises dans la gestion de la conformité tout au long du cycle de vie des modèles d’IA.

‍

L’avis du CEPD met en lumière l’importance d’une approche rigoureuse, contextuelle et bien encadrée du traitement des données dans le domaine de l’IA. Il met en garde contre une utilisation excessive de l’intérêt légitime et renforce la nécessité d’une anonymisation véritablement effective. En cas d’infraction, l’avis souligne des sanctions claires et adaptées aux enjeux spécifiques de chaque cas. En définitive, cet avis rappelle la responsabilité collective des entreprises et des régulateurs pour garantir une conformité stricte au RGPD, dans un contexte où les technologies de l’IA évoluent rapidement.

‍

Ces développements illustrent l'engagement continu des autorités européennes à adapter et renforcer la protection des données personnelles face aux évolutions technologiques et juridiques.