L’utilisation des données personnelles par l’intelligence artificielle : défis pour le consentement
L’intelligence artificielle constitue une technologie précieuse au développement de notre société, qui permet d’optimiser la fourniture de nombreux services[1]. Plusieurs États[2] et organisations internationales[3] sont en train de fixer des cadres juridiques, pour en soutenir le développement, d’une part, et protéger les citoyens des possibles violations de leurs droits, d’autre part.
Un enjeu primordial de cette technologie concerne les données : l’intelligence artificielle fonctionne à partir d’algorithmes qui traitent des données[4]. Les données constituent donc la “nourriture” de l’intelligence artificielle, grâce auxquelles elle se développe et apprend, pour parvenir à des conclusions nouvelles et plus précises. L’intelligence artificielle peut employer les données non personnelles mais également des données personnelles, par exemple pour le profilage (aujourd’hui employé dans les secteurs bancaires, des assurances, au travail, dans le secteur sanitaire ou encore à des fins commerciales modelées sur les clients), pour le développement et la maintenance de certains produits – utilisés, par exemple, dans les maisons ou dans les hôpitaux.
Des lors que l’intelligence artificielle utilise des données personnelles, la protection de la vie privée des individus, de la dignité humaine et de la liberté d’autodétermination entrent, évidemment, en jeu. Ces valeurs fondamentales sont d’autant plus pertinentes aujourd’hui que les données sont collectées littéralement partout[5] et que l’intelligence artificielle n’est pas une réalité isolée mais fait partie d’un environnement de technologies plus ample : elle fonctionne selon le data analytics, grâce aux algorithmes et le machine learning et nécessite une large quantité de données, dans la majorité des cas le big data.
L’ensemble de ce fonctionnement est caractérisé par le phénomène très discuté dit de « boite noire », qui ne permet pas de comprendre de façon complète chaque étape du parcours de raisonnement de l’intelligence artificielle.
La bonne réussite de l’intelligence artificielle dépend spécifiquement du nombre et de la qualité des données auxquelles elle a accès. Dès lors, le développement de cet instrument précieux à notre société ainsi que la liberté d’initiative économique entrent en tension avec le droit au respect de la vie privée.
L’Union européenne a posé le premier cadre juridique spécifique au déploiement de l’intelligence artificielle, le dit « Ai Act » 2021/0106 (COD)[6] ; cependant, ce nouveau règlement ne modifie pas le régime d’utilisation des données en Europe, qui reste régi, donc, par des normes spécifiques.
Cela vaut également pour l’intelligence artificielle, qui en domaine de données personnelles rentre dans le champ d’application matériel du Règlement général sur la protection des données personnelles 2016/679 du Parlement européen et du Conseil du 27 avril 2016[7], défini à l’article 2 : l’utilisation de l’intelligence artificielle correspond à la catégorie de « traitement » à la lumière de l’article 4, 2). Cette application est d’autant plus pertinente que le Règlement traite expressément du profilage et de la prise de décision automatique, à l’article 22.
L’utilisation de l’intelligence artificielle dans le traitement des données personnelles poserait-elle une limite à la maitrise de l’individu sur ses données ?
Pour répondre à cette question, une réflexion sur ce thème au niveau de l’Italie et de la France peut donner un aperçu intéressant grâce à leur pertinence historique dans la conception du droit à la protection des données personnelles et grâce à différentes décisions des Autorités garantes – la CNIL française et le Garante Privacy italien –, ainsi que des juridictions nationales qui éclairent les premières positions possibles face à ces défis. Les deux États, membres de l’Union Européenne, fournissent des exemples d’application du droit européen, ici du Règlement 2016/679 dit « RGPD ».
Le droit à la protection des données personnelles est, dans les deux États et au niveau européen, l’expression de la sauvegarde de la vie privée et dignité de tout être humain[8], qui se traduit, d’abord, par un droit d’autodétermination de l’individu sur ses données (I). Cela se manifeste par une place centrale de son consentement, qui néanmoins, pourrait être remise en cause par l’intelligence artificielle, vu son fonctionnement technique opaque et extrêmement vorace de données (II). Plusieurs solutions sont proposées par les experts, la principale technique à la lumière du droit positif étant l’anonymisation des données personnelles (III).
I. L’individu au centre de la protection des données personnelles, un pouvoir sur sa sphère
La protection des données personnelles découle, historiquement, du droit à la vie privée.
D’une liberté négative du « right to be alone »[9] – la définition de sa sphère intime opposée au regard des autres – ce droit inclut désormais la prérogative active, à savoir le contrôle sur sa sphère – représentée par ses informations personnelles et, avec le temps, ses données informatiques et numériques –[10].
La protection des informations personnelles en France fut formulée pour la première fois déjà en 1909, avec le juriste Perreau[11], comme l’un des « droits de la personnalité » opposés aux droits patrimoniaux[12]. La France fut pionnière en matière de protection des données personnelles avec sa loi relative à l’informatique, aux fichiers at aux libertés n. 17 du 6 janvier 1978, qui plaçait l’individu au cœur de la règlementation[13], bien que visant à cadrer un environnement informatique plus ample.
En Italie, à la même époque, la protection des informations personnelles était comprise par la Cour constitutionnelle italienne dans la protection des droits et libertés fondamentaux de la personne et sa dignité, selon les articles 14 (inviolabilité du domicile), 15 (inviolabilité des communications) et 2 (dignité de l’individu) de la Constitution italienne[14].
Au niveau supranational, le Conseil de l’Europe a adopté la Convention de Strasbourg n. 108 du 28 janvier 1981[15], inspirée des expériences nationales antérieures en France et en Allemagne. Le vrai tournant fut, au sein de l’Union européenne, fut la directive européenne de 1995 n. 46. Elle passait d’un système d’ « opt out », qui valorise la faculté négative du sujet d’empêcher l’utilisation de ses données (propre à la France et à la Convention 108 du Conseil d’Europe) à un système « opt in », qui requiert pour l’utilisation des données personnelles, d’abord, un consentement « indubitablement donné »[16] par le sujet, reléguant les autres cas d’utilisation légitime des données personnelles à des situations subsidiaires « nécessaires »[17].
Cette directive fut le moteur de la première législation italienne en la matière, la loi n. 675 du 31 décembre 1996[18], qui établit à son article 1er un lien direct entre le traitement des données personnelles et la protection de la dignité humaine, la « riservatezza » ainsi que l’identité personnelle[19] et donne une place primordiale au consentement de l’individu, alors que les autres cas d’utilisation des données personnelles relèvent d’exceptions[20].
La réflexion aboutit[21] à la reconnaissance de la protection des données personnelles comme un droit fondamental européen dans la Charte de Nice du 7 décembre 2000 à son article 8[22].
Depuis le Traité de Lisbonne de 2007 – en vigueur dès 2009 – est accordée à ce droit fondamental la même valeur juridique que les droits reconnus par les Traités institutifs[23]. Il est ainsi repris à l’article 16 du Traité sur le Fonctionnement de l’Union Européenne (TFUE).
Le droit est mis en œuvre dans le Règlement général sur la protection des données personnelles 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), véritable benchmark pour les États membres.
II. Le consentement de l’individu à l’épreuve de l’opacité et l’autonomie de l’intelligence artificielle
À la différence de la libre circulation des données non-personnelles, dans le cadre des données personnelles, les droits fondamentaux de la personne priment et leur utilisation est encadrée par le Règlement général sur la protection des données personnelles 2016/679, en permettant seulement sous certains conditions leur utilisation.
L’un des éléments forts dans le Règlement est le consentement du sujet titulaire des données, base légitime du traitement, défini à l’article 4, 11) comme une manifestation de volonté, libre, spécifique, éclairée et univoque. Si la directive 95/46 faisait déjà référence à une “manifestation informée”, le Règlement semble consolider la conscience du sujet à son consentement et les modalités de son expression[24].
En effet, au niveau des principes, à l’article 5, la licéité est traitée dans le même alinéa que la transparence et le considérant 39 du Règlement 2016/679, traitant de la licéité, rappelle le principe de transparence et les informations qui doivent être données. Comme confirmé par le Groupe Article 29[25] dans ses lignes directrices, le consentement pour être valide doit être fondé « sur l’appréciation et la compréhension des faits et des conséquences d’une action » et le Règlement européen en fait une nécessité à ses articles 12, 13, 14 et 15.
D’autres principes généraux posés par le Règlement 2016/679 sont primordiaux dans la prise de conscience par l’individu et ainsi la formulation et le respect de son consentement[26]: il s’agit du principe de limitation des finalités (article 5, b) ), de minimisation des données ou de proportionnalité (article 5, c) ) et, également, du principe de précision (article 5, d) ) et conservation temporellement limitée (article 5, e) ).
En effet, le consentement doit porter sur toutes les données collectées et utilisées, et seules ces données peuvent être collectées et utilisées (minimisation) ; le consentement doit porter sur toutes les finalités visées et seules celles-ci doivent être poursuivies (limitation des finalités – sauf à des finalités compatibles ou exceptionnelles à l’article 89 du Règlement)[27], et si seules ces finalités consenties peuvent être poursuivies, seules les données nécessaires à ces objectifs peuvent être utilisées (minimisation) et seulement pour le temps nécessaire à la poursuite de telles finalités (limitation de la conservation). Il doit y avoir, donc, une correspondance presque parfaite entre la volonté de l’individu et l’usage de ses données (v. le considérant 32 du Règlement).
Cependant, c’est exactement à ce niveau de prise de conscience et de respect de la volonté de l’individu que certains modèles d’intelligence artificielle se heurtent.
D’abord, l’effet dit de « boite noire » inhérent à l’intelligence artificielle ne permettrait pas, dans certains systèmes, de satisfaire une connaissance et compréhension du traitement des données de façon suffisante. Le machine learning et les réseaux de neurone profonds fonctionnent par des raisonnements non-linéaires, souvent d’approche statistique, dont la complexité est proportionnelle au nombre des variables en entrée et au nombre des paramètres du code algorithmique, pouvant se compter en milliards ; ainsi, l’explication de son fonctionnement au titulaire des données personnelles pourrait s’avérer extrêmement complexe, parfois impossible.
Le Règlement 2016/679 est formulé en standards et principes, aptes à s’adapter à toutes les casuistiques, ce qui rend intéressant l’étude des opinions des Groupes d’experts[28], des lignes directrices des Autorités garantes[29] et de la jurisprudence[30] récente afin de mieux analyser la compatibilité entre le droit à la protection des données et l’intelligence artificielle.
L’information sur la méthode du traitement est fondamentale à la formation d’un consentement libre et éclairé et les Autorités garantes italiennes et françaises, ainsi que les juges nationaux, en sont témoins dans plusieurs décisions telles une décision de la CNIL à l’encontre de Google de 2019, confirmée par le Conseil d’État[31], et une décision du Garante privacy à l’encontre de OpenAi en 2023[32]. La CNIL y a prononcé une sanction pécuniaire contre Google, qui recueillait un consentement par défaut dont l’information était « excessivement disséminée », n’était pas « aisément accessible » et donc ne permettait pas à l’utilisateur de donner un consentement libre et éclairé au ciblage publicitaire. Le Garante Privacy italien avait suspendu l’utilisation de ChatGPT en raison de l’activité d’OpenAi de collecte d’informations – également personnelles – des usagers, qui profitait du service de ChatGPT, lors de leur interaction avec le chatbot. Cette collecte poursuivait le but d’entrainer l’algorithme de son service de chatbot, mais aucune information et explication technique fut donnée aux sujets titulaires des données.
À l’heure actuelle, s’agissant du fonctionnement algorithmique, les juges nationaux se sont prononcés de maniéré détaillée surtout dans le secteur public. D’une part, le Conseil constitutionnel français, en 2018[33] et en 2019[34], a admis l’utilisation d’algorithmes dans la procédure administrative, si celle-ci est accompagnée de plusieurs garanties pour sauvegarder les droits et libertés des individus : parmi celles-ci, la pleine intelligibilité du processus technique, qui serait donc, selon le juge, possible[35]. La position du Conseil constitutionnel se comprend dès lors que les algorithmes et les types d’intelligence artificielle ne sont pas égaux entre eux et montrent différents niveaux d’opacité.
D’autre part, le Conseil d’Etat italien, dès 2019[36], affirme l’intérêt de l’administration (en termes d’efficacité et transparence) à l’utilisation des décisions automatisées mais se montre perplexe face aux possibles biais et opacités des algorithmes. Il requiert une complète lisibilité du code source. Dans les deux cas, français et italien, les juges font référence au responsable du traitement (ici l’administration), pour qu’il garantisse ex ante la compréhensibilité de l’algorithme.
Par ailleurs, l’intelligence artificielle met à l’épreuve le principe de minimisation[37] : son développement, selon le machine learning, requiert une masse énorme de données, à partir desquelles l’intelligence artificielle apprend pour des décisions plus précises et adaptées. Ainsi, la restriction aux seules informations nécessaires serait réductrice et limiterait son avancement économique et technologique.
D’une telle problématique, la décision du Garante Privacy contre OpenAi fournit un premier exemple : le « web scraping »[38] aux fins du développement de ChatGPT ne serait pas légitime car indiscriminé. De façon différente, l’Autorité européenne European Data Protection Board a considéré que OpenAi pourrait fonder l’opération de traitement sur l’article 6 par. 1 f) (intérêt légitime au traitement des données) du Règlement 2016/679, à condition de l’assortir des garanties imposées par le même Règlement[39].
Ensuite, une fois que les données personnelles entrent dans le réseau de l’intelligence artificielle, il semble impossible pour le responsable du traitement de prévoir spécifiquement à quelles fins le système les utilisera, en raison de l’autonomisation de certains modèles d’intelligence artificielle. Selon un fonctionnement de machine learning et data analysis, l’intelligence artificielle pourrait ne pas se limiter à une utilisation primaire des données et se lancer dans un usage indirect et des corrélations, afin de retracer des schémas et liens qui seraient ensuite utiles à d’autres prises de décision. Cette question pourrait créer des impasses importantes.
À cet égard, plusieurs décisions nationales –principalement en thème de profilage et prospection commerciale[40] – confirment l’application très stricte du principe de limitation des finalités. Les autorités considèrent que le sujet titulaire doit être en mesure de comprendre de manière non équivoque tous les effets du consentement donné au traitement de ses données, de sorte que, si le traitement a plusieurs finalités, celles-ci doivent être visées spécifiquement et non pas par un consentement unique. Il doit être clair, en principe, que le sujet ait voulu précisément chacun des effets du traitement, sauf à entrer dans les exceptions très strictes prévues par le Règlement aux fins d’un traitement ultérieur[41].
La difficulté d’expliquer le fonctionnement autonome de l’intelligence artificielle est encore plus importante – par rapport à l’utilisation d’algorithmes simples – dans le cadre du profilage ou des décisions automatisées de l’article 22 du Règlement 2016/679 : le Règlement requiert, à ses articles 14 et 15, que le responsable du traitement informe également des « conséquences prévues » pour le sujet titulaire des données. Le responsable pourrait ne pas être en mesure de « prévoir » les conséquences futures du traitement par une intelligence artificielle particulièrement autonome.
Enfin, la non-utilisation d’une donnée (par exemple pour défaut de consentement) et son élimination depuis le fichier de données soumis à l’intelligence artificielle n’empêcherait pas que certains systèmes d’intelligence artificielle puissent arriver aux mêmes informations par leur fonctionnement par corrélations [42].
III. Conclusions et perspectives envisageables : anonymisation des données et changements juridiques ou techniques
Le droit de la protection des données personnelles, historiquement, ne fut pas conçu dans une approche “top down”, mais – au contraire – s’est construit autour de la place centrale de l’individu, qui, encore aujourd’hui, est garantie spécialement par l’attention accordée au consentement de celui-ci au traitement de ses données.
Cependant, face aux difficultés posées par l’intelligence artificielle, il semble nécessaire, comme indiquent les recommandations de la CNIL[43], de se concentrer sur les devoirs du responsable de traitement[44], l’information et l’évaluation du risque[45] ainsi que le principe de privacy by-design[46] (principe préventif qui assure le respect de la vie privée dès la conception du système) et le fairly manners (bonnes pratiques)[47].
Par ailleurs, afin de pouvoir utiliser les données personnelles pour alimenter l’intelligence artificielle, les responsables du traitement pourraient se lancer dans une technique d’“anonymisation” de telles données : les données anonymisées sortiraient du champ d’application du Règlement et pourraient être utilisées librement.
Cependant, la technique d’anonymisation doit être hautement sophistiquée et précise, afin de ne pas pouvoir re-lier la donnée à son sujet titulaire. Le Groupe Article 29 a déjà présenté les risques et faiblesses de l’anonymisation des données personnelles imposant une vérification de l’efficacité de la technique en trois étapes[48]. Les Autorités garantes sont exigeantes vis-à-vis de l’anonymisation et le plus souvent considèrent que les responsables du traitement ont effectué une pseudonymisation[49], qui ne permet pas aux données de sortir de l’égide du Règlement 2016/679. Il y a même plusieurs experts qui doutent de l’effectivité de l’anonymisation face au Big Dataet à la capacité de corrélation de l’intelligence artificielle[50].
Néanmoins, le Considérant 26 du Règlement dénonce la nature relative de la technique d’anonymisation, qui doit être évaluée à la lumière des moyens disponibles au responsable du traitement ou toute autre personne pour la réidentification. La même Cour de justice européenne dans sa décision CRU c/ Deloitte du 26 avril 2023[51] confirme récemment cette relativité de l’anonymisation. En effet, la Cour admet que des données (en l’espèce, celles des participants au sondage), même transférées à des tiers (ici, une société de conseil) avec leur code alphanumérique permettant de les relier aux sujets titulaires, restent des données anonymes si le tiers destinataire ne dispose pas des moyens aptes à traiter les codes et parvenir effectivement à une re-identification. L’EDPB est du même avis que la Cour de justice, lors de ses différentes interventions[52]. Dans la tâche complexe de guider l’utilisation des applications de géolocalisation pendant la crise de Covid19, l’EDPB a repris la clarification formulée par le Groupe « article 29 » et admet que l’anonymisation n’est jamais absolue et tient compte des moyens disponibles pour la réidentification.
D’autres perspectives proposées par les experts dans le secteur suggèrent le développement informatique d’une intelligence artificielle techniquement « explicable »[53], l’élaboration d’un régime d’information multi-degré sur la base du niveau de risque du système d’intelligence artificielle utilisé[54] et, en dernier lieu, un changement radical de construction normative au profit d'un rapprochement vers le droit de propriété. Il mettrait en lumière les bénéfices économiques du traitement des données et viserait à rétablir le contrôle au sujet titulaire – ainsi propriétaire – de l’utilisation de ses données, la centralité de l’information et la participation aux bénéfices tirés de la « cession » des données [55].
BIBLIOGRAPHIE :
Textes officiels :
Union Européenne :
* Charte des droits fondamentaux européens, Nice, 7 décembre 2000
* Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
* Règlement général sur la protection des données personnelles (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
* Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018
* Proposition de Règlement européen du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union dit « Ai Act » 2021/0106 (COD)
Conseil Européen :
* Convention de Strasbourg n. 108 du 28 janvier 1981 du Conseil européen Italie :
* loi n. 675 du 31 décembre 1996, Repubblica italian https://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=1997-01-08&atto.codiceRedazionale=097G0004&tipoDettaglio=originario&qId=.
* D.Lgs. 196/03, Repubblica italiana, dit « Codice della Privacy »
* D.Lgs. 101/18 du 10 aout 2018, Repubblica italiana https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-09-04&atto.codiceRedazionale=18G00129&elenco30giorni=true
France :
* Loi relative à l’informatique, aux fichiers at aux libertés n. 17 du 6 janvier 1978, République française https://www.ssi.ens.fr/textes/l78-17-text.html
* Loi n. 493 du 20 juin 2018, République française
Décisions des Cours nationales et européennes
Union Européenne :
* CJUE 26 avril 2023 n. T-557/20 « CRU c/ Deloitte »
Italie :
* Corte Costituzionale n. 139/1990
* Corte Costituzionale n. 366/1991
* Corte di Cassazione, 11 mai 2018 n. 17278[1]
* Consiglio di Stato, 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, 1206/2021
France :
* Conseil Constitutionnel, Décision n° 2018-765 DC du 12 juin 2018
* Conseil Constitutionnel, Décision n° 2019-796 DC du 27 décembre 2019
* Décision du Conseil d’Etat 19 juin 2020 n. 430810
Décisions et lignes directrices / recommandations des Autorités garantes pour la protection des données personnelles:
Union Européenne :
* Guidelines European Data Protection Board (EDPB) 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak
* Rapport European Data Protection Board (EDPB) Report of the work undertaken by the ChatGPT Taskforce 23 mai 2024
Italie :
* Garante per la protezione dei dati personali, Provvedimento del 30 marzo 2023 n. 9870832
* Garante per la protezione dei dati personali, 1er juin 2023 n. 226 « progetto THIN »
France :
* Délibération de la CNIL SAN-2019-001 du 21 janvier 2019
* Délibération de la CNIL 2023-028 du 23 mars 2023 « VarGen »
* Délibération de la CNIL SAN-2024-004 du 4 avril 2024
* Lignes guide de la CNIL Développement des systèmes d’IA : les recommandations pour respecter le RGPD 08 avril 2024
Groupes d’experts européens pour la protection des données personnelles et pour l’intelligence artificielle :
* Groupe de travail «article 29» sur la protection des données Working Party, Document n. 2/2013 “Working Document providing guidance on obtaining consent for cookies”, 2° October 2013 (WP n. 208)
* Groupe de travail «article 29» sur la protection des données 0829/14/FR WP216 “Avis 05/2014 sur les Techniques d’anonymisation”, adopté le 10 avril 2014
* High Level Expert Group on Artificial Intelligence “A definition of ai: main capabilities and scientific disciplines”, Brussels, 18 December 2018 https://ec.europa.eu/futurium/en/system/files/ged/ai_hleg_definition_of_ai_18_december_1.pdf
* EPRS European Parliamentary Research Service Scientific Foresight Unit « The impact of the General Data Protection Regulation (GDPR) on artificial intelligence » PE 641.530 - June 2020
Doctrine :
* Brüggemeier Gert « Protection of personality rights in the law of delict/torts in Europe: mapping out paradigms », Cambridge University Press 2010
* Bolognini L., Pelino E., Bistolfi Bolognini C.: « Il regolamento privacy europeo : commentario alla nuova disciplina sulla protezione dei dati personali » Milano, Giuffrè, 2016
* Cavoukian A., 7 foundational principles of privacy by design, Office of the Information & Privacy Commissioner of Ontario, 2010
* Clément-Fontaine Mélanie “L’union du droit à la protection des données à caractère personnel et du droit à la vie privée” 2017
* D’Orazio R, Protezione dei dati by default e by design, dans La nuova disciplina europea della privacy de S. Sica, V. D'Antonio e G.M. Riccio, Cedam-Wolters Kluwer, 2016
* Forgó N., Hänold S., Schütze B., The Principle of Purpose Limitation and Big Data Springer, Singapore, 2017
* Giannone Codiglione, Risk-based approach e trattamento dei dati personali dans La nuova disciplina europea della privacy de S. Sica, V. D'Antonio e G.M. Riccio, Cedam-Wolters Kluwer, 2016
* Guérin-François Alexandra, Lessi Jean, Berezkina Ekaterina, Code de la protection des données personnelles 2024 Annoté & Commenté Les Codes Dalloz, Lefebvre Dalloz
* Hamon R., Junklewitz H., Malgieri G., De Hert, P. and Sanchez Martin, J.I. « Bridging the gap between AI and explainability in the GDPR: Towards trustworthiness-by-design in automated decision-making » IEEE COMPUTATIONAL INTELLIGENCE MAGAZINE 17 (1), 2022, p. 72-85, JRC124175.
* Kaminski M. E. et Malgieri G., “Multi-layered explanations from algorithmic impact assessments in the GDPR” dans Proc. ACM Conf. Fairness, Accountability Transparency, 2020
* Kosinski, Stillwell D., Graepel T., Private traits and attributes are predictable from digital records of human behavior in PNAS, 110, 15, 2013
* Mayer-Schönberger Viktor & Padova Yann “Regime Change? Enabling Big Data Through Europe's New Data Protection Regulation” the Columbia Science & Technology Law Review Vol XVII Spring 2016 p. 332
* Malgieri G,. Titolarità (intellettuale) e privacy. Un contributo a sostegno della "quasi-proprietarizzazione" dei dati personali, dans Nodi virtuali, legami informali: Internet alla ricerca di regole Passaglia P., Poletti D. 2017, Pisa
* Ohm Paul “Broken Promises of Privacy : Responding to the Surprising Failure of Anonymization” UCLA Law Review, Vol. 57, 2010
* Pizzetti F., « Privacy e il diritto europeo alla protezione dei dati personali » vol. I, Dalla direttiva 96/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016
* Perreau, « Des droits de la personnalité » RTD civ. 1909
* Warren et Brandeis « The Right to Privacy » Harvard Law Review Vol. IV December 15, 1890
[1] À titre d’exemple on peut citer l’industrie, la médecine, la pharmacologie, le secteur bancaire, la justice, l’administration publique, la sauvegarde environnementale
[2] Par exemple les USA, le Brésil, le Canada, l’Allemagne, Israël, la Chine et plus encore, un site recueille les actes des différents États : https://www.whitecase.com/insight-our-thinking/ai-watch-g]lobal-regulatory-tracker#introduction [consulté le…]
[3] Comme l’OCDE (Principes sur l’intelligence artificielle, 22 mai 2019 l’UNESCO (Recommandation pour l’éthique de l’IA, 2021) ou l’OMS (Guide de l’éthique et de la gouvernance de l’IA pour la santé, 2021) et l’Union Européenne, qui le 13 mars 2024 a adopté le Règlement dit Ai Act
[4] Voir la définition de l’intelligence artificielle donnée par le High Level Expert Group on Artificial Intelligence en 2019
[5] Pas seulement par la navigation internet ou les réseaux sociaux mais également dans l’espace physique public (vidéosurveillance, audio-enregistrement) et dans les espaces privés, grâce au ubiquitos computing et l’Internet of Things (la domotique, smart houses, smart whatches, véhicules intelligents etc). Malgré l’inanité de souligner l’importance et l‘omniprésence des données dans notre société, on peut citer comme références l’OCDE, Exploring the economics of personal data: a Survey of Methodologies for Measuring Monetary Value 2013; Mayer-Schönberger et Kenneth Cukier A Revolution that Will Transform how We Live, Work, and Think, 2013 ; D.E. HOLMES, Big Data: A Very Short Introduction, Oxford, Oxford University Press, 2017
[6] Proposition de Règlement européen du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union dit « Ai Act » 2021/0106 (COD) adopté officiellement par le Conseil européen le 21 mai 2024
[7] Règlement général sur la protection des données personnelles (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[8] Tout en reconnaissant les critiques émises à l’assimilation du droit à la vie privée à la protection des données personnelles (voir, parmi d’autres, Roger Clarke, C.J. Bennett et Gloria González Fuster) on adhère ici à la thèse opposée, en raison du développement historique de ces droits dans le panorama européen ; voir la jurisprudence de la Cour Européenne des Droits de l’Homme (par exemple Weber et Saravia c/ Allemagne, 29 juin 2006 n. 54934/00 ou S. et Marper contre Royaume-Uni, 4 décembre 2008 n. 30562/04 et 30566/04) ainsi que les références visées par Mélanie Clément-Fontaine dans son ouvrage “L’union du droit à la protection des données à caractère personnel et du droit à la vie privée” de 2017
[9] Le droit à la vie privée fut formulé doctrinalement pour la première fois aux États-Unis au XIXème siècle par les deux avocats Warren et Brandeis comme le droit de l’individu d’être laissé seul et tranquille : « The Right to Privacy » Harvard Law Review Vol. IV December 15, 1890 No. 5
[10] Conséquence des expériences historiques – surtout les restrictions effrayantes du droit à la vie privée pendant la deuxième guerre mondiale et la parenthèse communiste – et des innovations technologiques – l’apparition des ordinateurs et l’informatique de masse –, qui comportaient des changements sociétaux et des craintes : les informations personnelles de l’individu et les risques auxquels sa sphère était exposée se sont multipliés.
[11] Brüggemeier Gert « Protection of personality rights in the law of delict/torts in Europe: mapping out paradigms », Cambridge University Press 2010.
[12] Perreau, « Des droits de la personnalité » RTD civ. 1909, p. 501
[13] En reconnaissant au sujet un droit à l’information et la faculté d’empêcher que ses données soient disponibles et utilisées par des autres, en plus des droits d’accès et de modification de ses informations personnelles aux articles 26, 34, 35 et 36 de la loi relative à l’informatique, aux fichiers at aux libertés n. 17 du 6 janvier 1978
[14] Voir, par exemple, Corte Costituzionale n. 139/1990 considérant en droit n. 11 et Corte Costituzionale n. 366/1991, considérant en droit n. 3
[15] La Convention de Strasbourg n. 108 reconnaissait au sujet le même droit d’information et d’intervention sur ses propres données à son article 8.
[16] Article 7 a) de la Directive 95/46/CE
[17] Au b) c) d) e) f) du même article 7 de la Directive 95/46/CE
[18] Cette loi selon la Cour Constitutionnelle italienne, dans sa décision 271/2005, serait clairement d’inspiration communautaire
[19] L’article 1 de la loi n. 675 du 31 décembre 1996 dispose : « la présente loi garantit que le traitement des données à caractère personnel se déroule dans le respect des droits, des libertés fondamentales ainsi que de la dignité des personnes physiques, en particulier en ce qui concerne la vie privée et l'identité personnelle” (traduction libre)
[20] Articles 11 et 12 de la loi n. . 675 du 31 décembre 1996: Art.11 (Consentement) 1. Le traitement de données à caractère personnel par des particuliers ou des organismes publics économiques n'est autorisé qu'avec le consentement exprès de la personne concernée [...] Art. 12 (Cas d'exclusion de consentement). 1. Le consentement n'est pas requis lorsque [...]. (traduction libre)
[21] En passant également par les réflexions au niveau du Règlement 2001/45, de la directive 2002/58 et la dir. 2006/24
[22] Article 8 de la Charte de Nice du 7 décembre 2000.
[23] A’ l’article 6 du Traité sur l’Union Européenne (TUE)
[24] Le Règlement 20166/679, pour la première fois, requiert un consentement exprimé de façon positive, par un acte séparé, dont les moyens sont détaillés au considérant 32.
[25] Groupe trans-gouvernemental d’experts en la matière créé par l’article 29 de la directive 1995/46 et composé des autorités nationales pour la protection des données personnelles ainsi que de l’autorité européenne et à qui, depuis 2018, s’est substitué le Comité européen de la protection des données (EDPB).
[26] Ces principes encadrent également les autres cas de traitement.
[27] Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Selon la ratio legis, on peut souligner le considérant 43, qui, s’agissant du consentement, établit que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce »
[28] Il s’agit du Groupe dit « article 29 », institué par l’article 29 de la Directive 95/46/CE ; du Comité européen de la protection des données (dit EDPB, European Data Protection Board) institué par le Règlement 2016/679 à l’article 68 et qui remplace le Groupe « article 29 » ; des Groupes d’experts au sein de la Commission européenne, comme le High Level Expert Group on Artificial Intelligence.
[29] Le Contrôleur Européen de la Protection des données personnelles (dit EDPS, European Data Protection Supervisor) et les Autorités Garantes nationales – chargées d’appliquer le RGPD à l’article 51 du Reglement – : il s’agit de la Commission Nationale de l'Informatique et des Libertés en France (instituée par la loi Informatique et Libertés du 6 janvier 1978) et du Garante per la protezione dei dati personali en l’Italie (institué par la loi n. 675 du 31 décembre 1996)
[30] À la fois celle de la Cour de Justice Européenne, des juges suprêmes du Conseil d’État et de la Cour de cassation italienne et française et les autres juges nationaux amenés à appliquer le droit à la protection des données personnelles (directement applicable en raison de sa nature de Règlement européen)
[31] Délibération de la CNIL SAN-2019-001 du 21 janvier 2019 et décision du Conseil d’Etat 19 juin 2020 n. 430810
[32] Garante per la protezione dei dati personali, Provvedimento del 30 marzo 2023 n. 9870832
[33] Conseil Constitutionnel, Décision n° 2018-765 DC du 12 juin 2018
[34] Conseil Constitutionnel, Décision n° 2019-796 DC du 27 décembre 2019
[35] Le Conseil précise au point 71 de sa décision n° 2018-765 DC du 12 juin 2018 expressément que « le responsable de traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée, la manière dont le traitement a été mis en œuvre » (traduction libre)
[36] Consiglio di Stato italien, 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, 1206/2021: À la suite de décisions qui confirmaient la possibilité pour l’administration d’utiliser les instruments automatisés afin de prendre une décision (v. Cons. Stato, Sez. VI, sent. 2270/2019) le Conseil d’État prend trois décisions (Cons. Stato Sez. VI, sent. 8472, sent. 8473, sent. 8474/2019) confirmées ensuite (Cons. Stato, sez.VI, sent. 881/2020 et sent. 1206/2021) qui vont dans le même sens.
[37] Forgó N., Hänold S., Schütze B., The Principle of Purpose Limitation and Big Data Springer, Singapore, 2017, 20
[38] Le web scraping est une activité de collecte des données automatisée et indiscriminée depuis le Web afin d’entrainer un logiciel. Il peut s’agir de données non personnelles, données personnelles publiées par les individus ou données d’interaction avec un site internet ou un Chat bot.
[39] Rapport European Data Protection Board (EDPB) Report of the work undertaken by the ChatGPT Taskforce du 23 mai 2024
[40] Voir, à titre d’exemple, la décision de la Cour de Cassation italienne du 11 mai 2018 n. 17278[40] ou la délibération de la CNIL du 4 avril 2024.
[41] Soit à un usage conforme aux finalités primaires, soit dans les secteurs archivistiques dans l'intérêt public, de recherche scientifique ou historique et au secteur statistique (article 89)
[42] Cette question est particulièrement importante dans la limitation des données sensibles à l’article 9 du Règlement. Ces données sont protégées par un principe d’interdiction de traitement (avec des exceptions) ; envisager de limiter également l’utilisation des variables liées à ces données sensibles afin de ne pas remonter aux informations sensibles ne serait pas efficace : les corrélations peuvent être extrêmement difficiles à retracer. Et ce d’autant plus que, grâce au Internet of Things et à l’online tracking une quantité énorme de données personnelles sont générées automatiquement, sans conscience de l’intéressé. Pour une illustration, voir Kosinski, Stillwell D., Graepel T., Private traits and attributes are predictable from digital records of human behavior in PNAS, 110, 15, 2013, 5802 ss. (http://www.pnas.org/content/110/15/5802.full; consulté le)
[43] La CNIL souligne l’importance de la question de compatibilité entre l’intelligence artificielle et le Règlement européen de façon inédite par rapport à d’autres Garants nationaux. Les recommandations sont disponibles au lien suivant : https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd (consulté le…)
[44] D’abord l’article 24 du Règlement, qui pose le principe innovateur d’“accountability”, le principe de responsabilité du titulaire du traitement, qui souligne son volet préventif d’adoption d’une organisation et des mesures aptes à respecter le droit à la vie privée.
[45] Giannone Codiglione, Risk-based approach e trattamento dei dati personali dans La nuova disciplina europea della privacy de S. Sica, V. D'Antonio e G.M. Riccio, Cedam-Wolters Kluwer, 2016
[46] Pour des développements ultérieurs, voir: D’Orazio R, Protezione dei dati by default e by design, in La nuova disciplina europea della privacy de Sica S., D'Antonio V.e Riccio G.M., Cedam-Wolters Kluwer, 2016 ; Cavoukian A., 7 foundational principles of privacy by design, Office of the Information & Privacy Commissioner of Ontario, 2010
[47] Expression employée par le Groupe de travail ex article 29 dans Working Party, Document n. 2/2013 “Working Document providing guidance on obtaining consent for cookies”, 2 octobre 2013 (WP n. 208)
[48] Le Groupe de travail « article 29 » dans son “Avis 05/2014 sur les Techniques d’anonymisation” 0829/14/FR WP216 explique que, nonobstant l’anonymisation soit un traitement ultérieur sur la donnée de la part du titulaire du traitement, il s’agit d’un traitement compatible avec la finalité d’origine et qui donc ne nécessite pas de consentement spécifique. Cependant, le groupe illustre les limitations de l’anonymisation, qui, dans certains cas, pourrait ne pas parvenir à une non-re-traçabilité de l’identité du sujet titulaire de la donnée, distinguant, donc, l’anonymisation de la pseudonymisation. Ainsi, le Groupe introduit une méthode de vérification de l’efficacité de l’anonymisation en trois étapes : la technique choisie ne devrait pas rendre possible (i) l’individualisation et isolation du titulaire de la donnée, (ii) la corrélation avec d’autres données du même sujet et (iii) la déduction d’autres informations concernant l’individu.
[49] Voir la décision de la CNIL, dans l’affaire dit “VarGen” du 23 mars 2023 (Délibération 2023-028 du 23 mars 2023) et du Garante Privacy italien, dans le cas “Thin” du 1er juin 2023 (Décision n. 226 du 1er juin 2023).
[50] Voir, sur l’anonymisation, Ohm Paul “Broken Promises of Privacy : Responding to the Surprising Failure of Anonymization” UCLA Law Review, Vol. 57, p. 1701, 2010
[51] CJUE 26 avril 2023 n. T-557/20 (point n. 105 de la décision).
[52] Par exemple les lignes directrices du EDPB 04/2020 du 21 avril 2020 (point n. 15) ou EDPB 05/2020 du 4 mai 2020
[53] Pour une illustration de l’intelligence artificielle explicable, dite “XAI” et sa taxonomie, voir WALTL B., VOGL R., Explainable Artificial Intelligence – the New Frontier in Legal Informatics, in Jusletter IT, febbraio 22, 2018 et GUNNING D., Explainable Artificial Intelligence (XAI), 2017
[54] Comme proposé par Kaminski et Malgieri, qui distinguent différents niveaux d’information au sujet des données sur la base d’un risk-based approach : pour les scénarios à faible risque, une couche générale d’explication sur le fonctionnement algorithmique (selon les articles 13, 14 et 15 du RGPD) ; pour les scénarios à risque moyen, une explication intermédiaire et par groupe de l’algorithme ; pour les scénarios à haut risque, une explication individuelle de la décision prise dans un cas spécifique (selon le considérant 71 du Règlement) Kaminski M. E. et Malgieri G., “Multi-layered explanations from algorithmic impact assessments in the GDPR” dans Proc. ACM Conf. Fairness, Accountability Transparency, 2020, pp. 68–79
[55] Malgieri G,. Titolarità (intellettuale) e privacy. Un contributo a sostegno della "quasi-proprietarizzazione" dei dati personali, dans Nodi virtuali, legami informali: Internet alla ricerca di regole Passaglia P., Poletti D., Pisa, 2017 ; Viktor Mayer-Schönberger & Yann Padova dans “Regime Change? Enabling Big Data Through Europe's New Data Protection Regulation” the Columbia Science & Technology Law Review Vol XVII Spring 2016