Chapitre 1 : Les principes directeurs du RGPD, des
principes limités
L'usage de l'intelligence artificielle lors du traitement de
données à caractère personnel révèle les
zones d'ombres du RGPD tant dans ses définitions (Section 1) que ses
principes directeurs (Section 2). Les principes de privacy by design
et de privacy by default peuvent alors servir de balance pour une
réglementation efficace (Section 3).
Section 1 : La remise en question des
définitions par l'intelligence artificielle
L'intelligence artificielle questionne tant la
définition de donnée à caractère personnel
(§1) que la possibilité de ré-identifier des personnes
concernées (§2).
§1. La distinction entre données à
caractère personnel, données pseudonymes, données anonymes
Le RGPD s'applique dès lors qu'un traitement cible des
données à caractère personnel (art. 2.1 RGPD). Une
donnée à caractère personnel est une donnée qui
permet d'identifier directement ou indirectement une personne (art. 4.1 RGPD).
Par conséquent, les données anonymes ne sont pas des
données à caractère personnel. Elles sont définies
au considérant (26) du Règlement comme les «
informations ne concernant pas une personne physique identifiée ou
identifiable ». En revanche, les données pseudonymes sont des
données à caractère
- 24 -
L'application des principes de protection des données
à caractère personnel à l'intelligence
artificielle
personnel143. Elles ne permettent pas de
ré-identifier des personnes concernées directement, mais
indirectement via des mécanismes tels que des clés de
ré-identification par une technique de hachage144, ou de
stockage sur des espaces distincts.
Données anonymes
|
Données à caractère personnel
|
|
Autres données
|
Identification impossible
|
Personnes identifiables
indirectement
|
Personnes identifiables directement
|
Non soumises au RGPD
|
Soumises aux dispositions du RGPD
|
|
Une donnée anonyme peut l'être soit par nature,
soit en faisant l'objet d'un processus d'anonymisation. L'anonymisation
empêche la ré-identification de la personne concernée de
manière définitive145. Dans un avis146 de
2014, le Groupe de travail « article 29 » sur la protection des
données (G29) considère qu'une donnée est
anonymisée si et seulement si aucun des trois critères suivants
n'est rempli. Si un de ces critères est rempli, les données ne
sont pas anonymes.
· L'individualisation : Est-il toujours
possible d'isoler un individu ?
Il s'agit de la «
possibilitéì d'isoler une partie ou la
totalitéì des enregistrements identifiant un individu
dans l'ensemble de données »147.
· La corrélation : est-il
toujours possible de relier entre eux les enregistrements relatifs à un
individu ?
Cela consiste en « la
capacitéì de relier entre elles, au moins, deux
enregistrements se rapportant àÌ la même
personne concernée ou à un groupe de personnes concernées
(soit dans la même base de données, soit dans deux bases de
données différentes) ».
· L'inférence : peut-on
déduire des informations concernant un individu ?
Il s'agit de « la
possibilitéì de déduire, avec un degré
de probabilité élevé, la valeur d'un attribut à
partir des valeurs d'un ensemble d'autres attributs. »
Par ailleurs, le G29 insiste sur le fait que les techniques du
numérique évoluent et qu'il faut donc s'adapter à
l'état de l'art, c'est-à-dire à l'évolution
technique de chaque innovation148 : « Les
éléments contextuels ont leur importance : il faut prendre en
considération «l'ensemble»
143 Art. 4.5 RGPD
144 La fonction de hachage permet de transformer une
donnée en une suite définie de chiffres et de lettres.
145 Conseil d'État, décision n° 393174, RJDA
5/17 n° 386, 8 février 2017
146 G 29, Avis 05/2014 sur les Techniques d'anonymisation,
0829/14/FR WP216, 2014 p.3
147 Ibid., p.13
148 Ibid., p.7
- 25 -
L'application des principes de protection des données
à caractère personnel à l'intelligence
artificielle
des moyens «susceptibles» d'être
«raisonnablement» utilisés à des fins d'identification
par le responsable du traitement ou par des tiers, en prêtant une
attention particulière aux moyens que l'état actuel de la
technologie a rendu récemment «susceptibles» d'être
«raisonnablement» mis en oeuvre (compte tenu de l'évolution de
la puissance de calcul et des outils disponibles). »
Le Conseil d'État149, dans sa
décision JCDecaux du 8 février 2017 statuant en
appel150 sur la notion d'anonymisation, s'inspire des
critères du G29, même si cet avis est dépourvu d'une valeur
normative. Il considère les données comme anonymisées
lorsque « l'identification de la personne concernée,
directement ou indirectement, devient impossible que ce soit par le responsable
du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible
d'individualiser une personne ou de relier entre elles des données
résultant de deux enregistrements qui la concernent. » En
l'espèce, le Conseil d'État considère que les
données traitées sont des données pseudonymes et non
anonymes. Le procédé utilisé est un processus de hachage,
irréversible, mais les données hachées peuvent encore
contenir des indices de singularisation pouvant être retrouvés par
les techniques d'inférence et de corrélation. Comme le
résument151 R. Perray et J. Uzan-Naulin, le Conseil
d'État s'inspire ici implicitement du droit souple du G29. Les
critères des procédés d'anonymisation prennent ainsi une
valeur normative de droit dur.
On pourra donc considérer des données comme
anonymes dès lors qu'aucun des trois critères du G29
(individualisation, corrélation, inférence) ne sont remplis et
que l'état de la technique ne permet pas de ré-identifier ces
données.
§2. Le risque de ré-identification à
l'heure du big data
Dès lors, quel est l'état de l'art à
l'heure du big data ? Le développement de nouveaux usages tels que
l'open data et l'internet des objets posent de nouvelles contraintes
aux processus de pseudonymisation et d'anonymisation. L'open data
offre la possibilité de regrouper des bases et ainsi de
ré-identifier directement ou indirectement des personnes. Ainsi, de
nombreuses études confirment scientifiquement152
l'impossibilité de rendre des données totalement anonymes. C'est
pour ces raisons qu'une grande majorité de la doctrine à l'instar
de A. Jomni153 et R. Perray et J. Uzan-naulin154
s'interroge sur la notion même de données à
caractère
149 Ibid., p.7
150 CNIL, Délib. n°2015-255,16 juillet 2015
151 R. Perray, J. Uzan-Naulin, « Existe-t-il encore des
données non personnelles ? Observations sous Conseil d'État, 8
février 2017, n° 393714, Société JCDecaux »,
Dalloz IP/IT, 2017, p. 286
152 A. Narayanan, V. Shmatikov, «Robust De-anonymization
of Large Sparse Datasets», IEEE Symposium on Security and
Privacy, 2008, p.111-125
153 A. Jomni, « RGPD : un atout ou un frein pour la
sécurité ? », Dalloz IP/IT, p.352, Juin 2019
154 R. Perray, J. Uzan-Naulin, Existe-t-il encore des
données non personnelles ? op. cit.
- 26 -
L'application des principes de protection des données
à caractère personnel à l'intelligence
artificielle
personnel. Cette idée est reprise dans le rapport
Villani155, qui démontre en s'appuyant sur les travaux d'H.
Nissenbaum que les données sont par essence contextuelles et peuvent
fournir des informations sur un ou plusieurs individus. Par conséquent,
dans le cadre de l'apprentissage automatique non supervisé, le
traitement à grande échelle peut permettre d'effectuer des
corrélations entre des individus. L'institut Montaigne
partage156 cette même approche, en considérant que les
métadonnées telles que le nombre de clics peuvent se transformer
en données à caractère personnel à partir du moment
où il révèle des informations sur nos humeurs ou notre
état de santé. Dans cette perspective, la distinction classique
entre données personnelles et données anonymes n'est plus
pertinente.
De plus, l'usage du big data et de l'intelligence
artificielle permet de transformer des données brutes en données
identifiantes par regroupement a posteriori. Or, le Règlement
s'applique dès que la donnée collectée est une
donnée à caractère personnel, donc a priori.
Cependant, avec le big data, la donnée devient une
donnée à caractère personnel lors du traitement alors
qu'elle ne l'était pas lors de la collecte. C'est pourquoi ce
prérequis de donnée à caractère personnel n'est
plus pertinent157.
Malgré les limites techniques du processus
d'anonymisation et sous réserve d'une documentation
détaillée, les critères du G29 permettent néanmoins
de justifier d'un processus d'anonymisation juridiquement conforme. Le RGPD
impose en effet une obligation de moyens et non de résultat à cet
égard158. Le procédé d'anonymisation demeure
donc légal en l'état de la réglementation et permet ainsi
de ne plus être soumis au RGPD.
| 
