Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

§3. Les tempéraments à cette obligation

3.1. Pour le principe de privacy by design

L'étendue de cette obligation dépend des compétences, des capacités et du type de données traitées par le responsable du traitement. Le premier paragraphe dispose en effet qu'il est nécessaire de prendre en compte « l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques²⁷⁷ ».

En ce qui concerne l'« état de la connaissance », il est difficile de mesurer le respect effectif du privacy by design dans le choix des solutions techniques. Si le recours aux PETs est indispensable à leur application, il ne faut toutefois pas attendre davantage de la technologie que ce dont elle est capable²⁷⁸. La notion d'« état de l'art » fait l'objet d'une réflexion quant à sa transposition dans le domaine du droit²⁷⁹. L'EDPB propose d'interpréter ce critère comme la prise en compte du progrès actuel de la technologie²⁸⁰.

Les facteurs à prendre en compte pour mesurer le degré de protection de la vie privée incluent la nature, le champ, le contexte et la finalité du traitement. Ces critères font référence aux caractéristiques inhérentes, de la taille et de la portée, des circonstances et du but du traitement²⁸¹.

Enfin, le risque d'atteinte aux droits et libertés des personnes physiques s'apprécie selon sa « probabilité » et sa « gravité »²⁸². Il conviendra de prendre en compte les risques spécifiques au traitement par un logiciel d'intelligence artificielle non prévus par le RGPD et listés dans une partie précédente²⁸³.

²⁷⁶N. Lenoir, « Informatique et libertés publiques - Protection des données personnelles et responsabilités plurielles », Lexis Nexis, La Semaine Juridique Edition Générale n° 41, La Semaine Juridique Edition Générale n° 41, 8 Octobre 2018, doctr. 1059, 8 Octobre 2018

277 Art. 25 RGPD

278 A. Jomni, « RGPD : un atout ou un frein pour la sécurité ? », Dalloz IP/IT, p.352, Juin 2019

279 EDPS, « Internet Privacy Engineering Network discusses state of the art technology for privacy and data protection », 12 juin 2019

280 EDPB, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, op. cit., p. 8

281 Ibid., p. 9

282 Ibid., p. 9

283 Titre 2, chapitre 1, section 2, p.37

- 51 -

Le régime de lege lata

3.2. Pour le principe de privacy by default

Les mesures techniques et organisationnelles relatives au privacy by default doivent prendre en compte « la quantité de données à caractère personnel collectées, (...) l'étendue de leur traitement, (la) durée de conservation et (l') accessibilité²⁸⁴ ».

La « quantité de données » collectées fait référence²⁸⁵ au principe de minimisation en imposant que seules les données nécessaires soient collectées. Il s'agit d'un critère tant qualitatif que quantitatif qui impose de respecter les principes de sécurité et de durée de conservation.

L'« étendue » du traitement impose de prendre en compte les attentes raisonnables des personnes concernées relatives au traitement de leurs données et de ne pas extrapoler la notion de réutilisation ultérieure en cas de finalités compatibles.

La référence à « la durée de conservation » suggère de prévoir des procédures de mise en conformité justifiables et démontrables garantissant ce principe. Les données doivent être supprimées ou anonymisées lorsqu'elles ne sont plus nécessaires afin de clore le cycle de vie de la donnée. Il s'agit alors de créer des procédures systématiques de suppression ou d'effectuer une analyse de risque de ré identification en cas d'anonymisation.

Enfin l'objectif d'« accessibilité » crée une obligation du responsable du traitement de limiter l'accès aux données au strict nécessaire. Des contrôles d'accès doivent être mis en place.

L'article 25.2 du RGPD insiste sur la nécessité de ne pas rendre les données accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne concernée. Le cas échéant, il conviendra de limiter par défaut l'accessibilité et de consulter la personne concernée avant la publication pour obtenir son consentement avant de rendre la donnée publique. Si une information est rendue publique sur internet, il faudra veiller à limiter le référencement internet, c'est-à-dire à faire en sorte que la page ne soit pas accessible sur les moteurs de recherche.