Chapitre 2 : Des outils de conformités adaptés au respect de la vie privée

Le principe de l'autorégulation impose une approche basée sur l'analyse de risque et une capacité à démontrer que les responsables du traitement sont en conformité avec les dispositions du Règlement. Or, cette analyse de risque est basée sur une approche de protection des données dès la conception et par défaut, ce qui promeut ces deux principes au coeur de la réglementation²²². Pour être efficace le management du risque et la protection des données doivent être appréhendés dans un processus global de prise de décision qui allie à la fois les contraintes physiques et techniques²²³. En l'absence de lignes directrices²²⁴, il est nécessaire de définir des mesures organisationnelles (section 1) et techniques (section 2) envisageables.

Section 1 : Les mesures organisationnelles

Il peut s'avérer judicieux d'avoir recours à une analyse d'impact algorithmique (§1), sur les discriminations (§2), et sur la ré-identification (§3).

§1. L'analyse d'impact algorithmique

Cette analyse vise à mesurer les conséquences sociales et le niveau d'exigence adéquat de protection des données à caractère personnel. La récente directive sur la prise de décision automatisée canadienne²²⁵ est plus complète que la réglementation française. Son approche est davantage technico-pragmatique, avec des obligations telles que la nécessité d'une explication de l'administration canadienne aux personnes concernées, l'obligation de publier le code source, ou encore l'évaluation des risques nécessairement en amont, ...

En ce qui concerne l'apprentissage automatique non supervisé, si l'analyse de la manière dont le logiciel propose les résultats s'avère impossible, l'analyse du comportement du logiciel est en revanche faisable et permet ainsi de réduire l'opacité²²⁶.

222 ICO, «Guide to data protection», mai 2018

223 OCDE, «Enhancing Access to and Sharing of Data : Reconciling Risks and Benefits for Data Re-use across Societies», 6 novembre 2019, p.4

224 E. Caprioli, «intelligence artificielle et RGPD peuvent-ils cohabiter ?», L'usine Digitale, 30 janvier 2020

225 Canada, Directive sur la prise de décision automatisée, entrée en vigueur le 1^er avril 2019

226 Parlement Européen, « A governance framework for algorithmic accountability and transparency », avril 2019, p. 35

- 42 -

Les moyens d'autorégulation adaptés à l'intelligence artificielle

§2. L'analyse d'impact sur les discriminations

Le rapport Villani propose²²⁷ de mettre en oeuvre une étude d'impact sur les discriminations, appelée « Discrimination Impact Assesment ».

En cas d'apprentissage automatique supervisé où l'audit se révèle impossible, la Commission européenne recommande de prendre des mesures adéquates, telles que la supervision humaine pour la prise de décision finale²²⁸.

§3. L'analyse d'impact sur la ré-identification des données anonymes

Il est impératif d'évaluer les risques de ré-identification et d'être capable d'évaluer la fiabilité des processus d'anonymisation²²⁹. Concernant les mécanismes d'anonymisation, pour B. Nguyen, il s'agit davantage de voir ces mécanismes comme un compromis plutôt qu'une technique infaillible²³⁰.