Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

2.2. La certification

Une autre manière d'attester de sa démarche de conformité avec le RGPD est de recourir à la certification. Les articles 42 et 43 du RGPD disposent des conditions d'obtention d'une certification par les organismes dédiés. Les certifications peuvent être un référentiel

302 Art. 47, considérant (108) RGPD

303 N. Quoy, A. Boullet, « L'encadrement contractuel de l'intelligence artificielle », Lexis Nexis, Communication Commerce éléctronique n°2, Février 2020

304 Titre 1, chapitre 2, p. 29

305 F.X. Cao, « Intelligence artificielle et valorisation de la donnée », Lexis Nexis, à paraitre

306 CNIL, « Comment faire approuver un code de conduite ? », 7 février 2020

307 EDPB, « Register for Codes of Conduct, amendments and extensions »

- 55 -

Le régime de lege lata

d'agrément, pour les organismes certificateurs, ou un référentiel de certification pour des services ou des personnes³⁰⁸.

Le référentiel d'agrément a permis de certifier cinq organismes³⁰⁹, qui ont eux-mêmes certifié des délégués à la protection des données conformément au référentiel de certification³¹⁰. Néanmoins, aujourd'hui, seuls des référentiels ont été délivrés pour la certification de délégué à la protection des données. La CNIL a pour projet de mettre en place un dispositif de certification des organismes de formation RGPD³¹¹.

Par ailleurs, la délivrance de Labels par la CNIL n'est plus possible depuis l'entrée en vigueur du RGPD, mais les labels délivrés avant le 25 mai 2018 restent valables pendant trois ans³¹². La certification est donc encore à un stade embryonnaire malgré l'encouragement³¹³ de l'EDPB en la matière et la publication de nouvelles lignes directrices³¹⁴. Dans l'attente, on pourrait toutefois envisager une certification partielle par le bais de la certification en matière de cybersécurité conformément aux pouvoirs de l'ENISA³¹⁵.

Ainsi, il n'existe à l'heure actuelle pas de certification en matière de respect des principes de privacy by design et de privacy by default et encore moins dans le cadre d'un traitement d'intelligence artificielle. Cette nécessité de certifier des responsables du traitement était pourtant encouragée dès 2015 par l'Assemblée Nationale, qui considérait qu'il était nécessaire d'encourager la conception et l'utilisation de technologies permettant de garantir les principes de privacy by design et de privacy by default par des dispositifs contraignants ou réellement incitatifs, tels que des certifications.³¹⁶ Le troisième paragraphe de l'article 25 du RGPD mentionne d'ailleurs le recours à la certification pour démontrer le respect des exigences de ce principe. Néanmoins, si cet acte volontaire « joue le rôle de rambarde³¹⁷ » pour les responsables du traitement, il ne diminue en rien leur obligation de moyens.

308 CNIL, « La certification », 19 décembre 2018

309 Liste des organismes agréés accessible au lien suivant : https://www.cnil.fr/fr/organisme-agrees

310 CNIL, « Certification des compétences du DPO : la CNIL délivre son premier agrément », 12 juillet 2019

311 CNIL « La CNIL lance une consultation publique sur son projet de certification « Formation à la protection des données », 5 mars 2020

312 CNIL « Transition vers le RGPD : des labels à la certification », 28 février 2018

313 CEPD, « rapport annuel », 2018, p.11

314 CEPD, « Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation», 4 juin 2019

315 Art. 56 Règlement (UE) 2019/881 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité), 17 avril 2019

316 C. Paul, C. Feral-Schuhl, rapp. n^o 3119, op. cit., recomm. n^o 50

317 M. Rees, « Le RGPD expliqué ligne par ligne Certification (article 42)», Nextinpact, 2018

- 56 -

Le régime de lege lata