Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

1.2. Le contrat

Le RGPD insiste sur l'obligation incombant aux responsables du traitement de vérifier que ces derniers et leurs sous-traitants sont en mesure de respecter les obligations en matière de protection des données, en particulier pour les fabricants de produits, prestataires de services et producteurs d'application²⁹⁹. Dès lors, les responsables du traitement sont tenus de formaliser par contrat le partage des responsabilités en cas de co-responsabilité³⁰⁰. Ils doivent par ailleurs définir les modalités et les finalités de traitement en matière de sous-traitance³⁰¹. La mise en

292 CNIL, « Développer en conformité avec le RGPD », 27 janvier 2020

293 EDPS, « avis préliminaire sur le respect de la vie privée dès la conception », avis 5/2018, 31 mai 2018, p.18

294 Art. 30 RGPD, détail des modalités du registre accessible ici

295 Art. 35 RGPD

296 CNIL, soumettre une analyse d'impact relative à la protection des données (AIPD) à la CNIL, 22 octobre 2019

297 ICO, «Data protection by design and default» mai 2019

298 EDPS, « avis préliminaire sur le respect de la vie privée dès la conception », avis 5/2018, 31 mai 2018, p.16

299 Consid. (78) RGPD

300 Art. 26 RGPD

301 Art. 28 RGPD

- 54 -

Le régime de lege lata

oeuvre de la protection des données doit aussi être précisée en cas d'élaboration de règles d'entreprises contraignantes et en cas de transferts transfrontaliers hors UE³⁰².

En matière d'encadrement contractuel de l'intelligence artificielle, N. Quoy et A. Boullet recommandent de prévoir des clauses spécifiques³⁰³. Il s'agit notamment d'insérer des clauses relatives à la confidentialité et à la sécurité, à l'obligation de transparence, et au niveau de service. L'insertion d'une clause de « soft law », c'est-à-dire une clause faisant référence à un code de conduite ou une charte éthique, crée une valeur contraignante de la norme éthique à l'égard des parties. Cette clause de soft law peut donc rendre contraignant les principes éthiques de l'IA listés précédemment³⁰⁴.

De plus, s'il n'existe pas réellement d'obligation d'assurer la traçabilité des données tout au long du déroulement du projet, cette pratique est néanmoins fortement recommandée. En définissant dans un contrat les responsabilités respectives des parties prenantes, le responsable du traitement sera davantage en mesure de démontrer sa conformité³⁰⁵.

§2. Les démarches facultatives 2.1. Le code de conduite

Des initiatives privées peuvent également être mises en place, telles que les codes de conduite dans des branches sectorielles. Conformément aux articles 40 et suivants du RGPD, ces codes sont soumis à l'avis de l'EDPB après un accompagnement de la CNIL³⁰⁶. Une fois que l'EDPB approuve ces codes non obligatoires, ils s'imposent à tout le secteur d'activité et sont davantage contraignants que le Règlement.

Néanmoins, à l'heure de la parution de ce mémoire, aucun code de conduite n'a été validé³⁰⁷.