Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

3.1. Proposer un socle normatif fiable

cy⁴²⁸.

Le cadre normatif s'opère à deux niveaux : d'une part, par un cadre réglementaire conforme aux droits fondamentaux et d'autre part par l'autorégulation des acteurs⁴²⁶. La réglementation du numérique s'articule au niveau européen autour du RGPD et de la Directive ePrivacy⁴²⁷, prochainement remplacée par le Règlement ePriva

Le RGPD a été construit sur une volonté de pallier la domination numérique américaine. Il s'agit avant tout d'un instrument de diplomatie européen de soft law⁴²⁹. Le Secrétaire général de l'Institut de la Souveraineté Numérique, B. Benhamou considère que le RGPD a eu un effet significatif mais qu'il ne s'agit que d'une première étape⁴³⁰. Depuis sa conception, l'effet de réseau s'est accéléré et de nouvelles technologies telles que l'Internet des objets pointent les angles morts de la régulation. Il recommande de mettre à jour le RGPD et le futur Règlement ePrivacy, pour favoriser davantage une « préoccupation by design » de l'architecture technologique. L'EDPS appelle à prendre en compte le privacy by design dans la rédaction de ce règlement et de créer un observatoire de « l'état des connaissances » des PETs⁴³¹. Néanmoins, une régulation spécifique des algorithmes s'avère inadaptée à l'heure actuelle⁴³² car elle deviendrait rapidement obsolète et serait susceptible de freiner l'innovation.

3.2. Doter la CNIL de moyens adaptés à ses missions

Le financement doit également cibler les autorités de régulation. La CNIL dispose de moyens humains et financiers inférieurs à d'autres autorités de l'Union, ce qui décrédibilise l'influence de la France en matière de protection des données personnelles⁴³³. La CNIL se retrouve ainsi submergée par le nombre de plaintes, et « craque, comme dans un habit trop étroit »⁴³⁴. Les autorités ont besoin de capacités techniques pour pouvoir effectuer des contrôles sur une quantité colossale de données. Par exemple, La Direction Générale de la Concurrence a traité 5,2 téraoctets de données, cela équivaut à plus de 20 millions de documents PDF, et a

426 Commission Européenne, « L'intelligence artificielle pour l'Europe », 25 mai 2018, p.18

427 Directive 2002/58/CE, règlement «vie privée et communications électroniques»

428 Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE, dont la dernière version est accessible ici

429 A. Banck, D. Rahmouni, « Le RGPD, nouvel outil de soft law de l'Europe dans le numérique », Revue Lamy droit de l'immatériel n°151, 2018, p. 54

430 Annales des Mines,«Concurrence et numérique : entretien avec Bernard Benhamou», enjeux numériques, N°8, décembre 2019, p. 118

431 EDPS, « Avis préliminaire sur le respect de la vie privée dès la conception » avis 5/2018, 31 mai 2018, p. 26

432 CNIL, sondage, op. cit., p.44

433 F. Montaugé, G. Longuet, Rapport Commission d'enquête sur la souveraineté au numérique, « le devoir de souveraineté numérique : ni résignation, ni naïveté » version provisoire, n° 7 tome I (2019-2020) , 1 octobre 2019, p. 64

434 Propos de l'ancienne directrice de la CNIl, rapportés dans l'art. de B. Leclercq, « Vie numérique : Place à l'éthique », Libération, 17 novembre 2019

- 74 -

Le régime de lege feranda

effectué 1,7 milliard de recherche dans le cadre du dossier Google Shopping⁴³⁵. Le rapport provisoire du Sénat sur la souveraineté du numérique propose pour cela d'investir dans un personnel qualifié capable d'effectuer des contrôles et des audits d'algorithmes, qui pourrait être mutualisé entre les Autorités Administratives Indépendantes françaises⁴³⁶.