Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

Section 2 : Les instruments à la disposition du responsable du traitement

Conformément à l'article 5.2 du RGPD, la charge de la preuve du respect de l'obligation de moyens incombe au responsable du traitement. Dans sa démarche de conformité, le responsable du traitement doit documenter les modalités de traitement qu'il effectue. Le considérant (78) précise en effet qu'« afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut ». Le responsable du traitement demeure obligé d'utiliser certains outils de conformité (§1) mais est libre d'en utiliser davantage (§2).

§1. Les outils classiques

Pour démontrer la mise en oeuvre de ces obligations, la CNIL recommande de prioriser les actions à mener en amont du traitement, de créer des procédures internes qui garantissent la prise en compte de la protection des données, et de documenter les développements dès le début

287 CNIL, les enjeux éthiques des algorithmes et de l'intelligence artificielle, op. cit.,, p.29

288 Ibid

289 CNIL, sondage, op. cit. p.51

290 H. Nissenbaum, «Accountability in a Computerized Society, Science and Engineering Ethics 2», 25-42, 1996 ; J. A. Kroll, J. Huey, S. Barocas, E. W. Felten, J. R. Reidenberg, D. G. Robinson et H. Yu, Accountable Algorithms, University of Pennsylvania Law Review, vol. 165, 2017

291 J. Millar, B. Barron ,K. Hori, R. Finlay, K. Kotsuki et I. Kerr, «Accountability in ai, Promoting Greater Social Trust», 6 décembre 2018

- 53 -

Le régime de lege lata

de la réflexion²⁹². Le rôle du délégué à la protection des données est crucial dans cette démarche²⁹³.

1.1. Registre et analyse d'impact à la protection des données

Conformément au RGPD, le responsable du traitement doit toujours tenir un registre de traitement²⁹⁴.

De plus, une analyse d'impact relative à la protection des données peut être requise lorsque le traitement effectué est susceptible de créer « un risque élevé pour les droits et libertés des personnes physiques²⁹⁵ ». Dans certains cas de risques très élevés, un avis préalable de la CNIL est requis²⁹⁶. (cf. annexe iv - Guide de la CNIL pour effectuer une AIPD).

L'autorité de contrôle anglaise analyse cet outil comme « partie intégrante de la protection des données dès la conception et par défaut » ²⁹⁷. Il permet en effet de déterminer les mesures techniques et organisationnelles qui garantissent la conformité. C'est pour cette raison que la CNIL recommande de mettre en place une analyse d'impact à la protection des données (ci-après « AIPD »), même lorsqu'elle n'est pas obligatoire. L'université Ku Leuven a développé la méthode LINDDUN qui fixe un cadre d'analyse de risques en matière d'ingénierie de la vie privée²⁹⁸. La CNIL a également proposé un cadre relatif à la mise en oeuvre de l'AIPD.