Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

§4. La répartition de la responsabilité

Une approche transversale est nécessaire pour déterminer l'ensemble des responsabilités des acteurs de l'intelligence artificielle, qu'il convient de préciser au titre de l'obligation de moyens du responsable du traitement²⁸⁶. En matière d'algorithme d'intelligence artificielle, la

284 Art. 25.2 RGPD

285 EDPB, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, op. cit, p. 11 et s.

286 P. Pucheral, A. Rallet, F. Rochelandet, C. Zolynski, « a Privacy by design : une fausse bonne solution aux problèmes de protection des données personnelles soulevés par l'open data et les objets connectés ? Legicom, Victoires Editions, open data : une révolution en marche, pp.89-99, 2016

- 52 -

Le régime de lege lata

responsabilité n'est pas diluée entre tous les acteurs de la chaîne, mais est en réalité déplacée au stade du paramétrage de l'algorithme²⁸⁷. Comme le remarque le magistrat A. Garapon²⁸⁸, ce déplacement risque de regrouper le pouvoir autour d'un petit groupe d'experts du code informatique, et créer ainsi une « petite caste de scribes ».

Néanmoins, cette responsabilité peut être diluée lorsque la traçabilité des instructions est paramétrée dès la conception de l'algorithme. C'est notamment le cas du logiciel d'Application Post-Bac, où les développeurs avaient organisé une procédure de traçabilité de la responsabilité et où toutes les modifications du paramétrage de l'algorithme étaient répertoriées.

La CNIL encourage vivement l'attribution explicite des responsabilités²⁸⁹, qui peuvent s'envisager tant en amont²⁹⁰ qu'en aval²⁹¹ du traitement.