L’intelligence artificielle constitue une technologie précieuse au développement de notre société, qui permet d’optimiser la fourniture de nombreux services[1]. Plusieurs États[2] et organisations internationales[3] sont en train de fixer des cadres juridiques, pour en soutenir le développement, d’une part, et protéger les citoyens des possibles violations de leurs droits, d’autre part.

 

Un enjeu primordial de cette technologie concerne les données : l’intelligence artificielle fonctionne à partir d’algorithmes qui traitent des données[4]. Les données constituent donc la “nourriture” de l’intelligence artificielle, grâce auxquelles elle se développe et apprend, pour parvenir à des conclusions nouvelles et plus précises. L’intelligence artificielle peut employer les données non personnelles mais également des données personnelles, par exemple pour le profilage (aujourd’hui employé dans les secteurs bancaires, des assurances, au travail, dans le secteur sanitaire ou encore à des fins commerciales modelées sur les clients), pour le développement et la maintenance de certains produits – utilisés, par exemple, dans les maisons ou dans les hôpitaux.

 

Des lors que l’intelligence artificielle utilise des données personnelles, la protection de la vie privée des individus, de la dignité humaine et de la liberté d’autodétermination entrent, évidemment, en jeu. Ces valeurs fondamentales sont d’autant plus pertinentes aujourd’hui que les données sont collectées littéralement partout[5] et que l’intelligence artificielle n’est pas une réalité isolée mais fait partie d’un environnement de technologies plus ample : elle fonctionne selon le data analytics, grâce aux algorithmes et le machine learning et nécessite une large quantité de données, dans la majorité des cas le big data.

 

L’ensemble de ce fonctionnement est caractérisé par le phénomène très discuté dit de « boite noire », qui ne permet pas de comprendre de façon complète chaque étape du parcours de raisonnement de l’intelligence artificielle.

 

La bonne réussite de l’intelligence artificielle dépend spécifiquement du nombre et de la qualité des données auxquelles elle a accès. Dès lors, le développement de cet instrument précieux à notre société ainsi que la liberté d’initiative économique entrent en tension avec le droit au respect de la vie privée.

 

L’Union européenne a posé le premier cadre juridique spécifique au déploiement de l’intelligence artificielle, le dit « Ai Act » 2021/0106 (COD)[6] ; cependant, ce nouveau règlement ne modifie pas le régime d’utilisation des données en Europe, qui reste régi, donc, par des normes spécifiques.

 

Cela vaut également pour l’intelligence artificielle, qui en domaine de données personnelles rentre dans le champ d’application matériel du Règlement général sur la protection des données personnelles 2016/679 du Parlement européen et du Conseil du 27 avril 2016[7], défini à l’article 2 : l’utilisation de l’intelligence artificielle correspond à la catégorie de « traitement » à la lumière de l’article 4, 2). Cette application est d’autant plus pertinente que le Règlement traite expressément du profilage et de la prise de décision automatique, à l’article 22.

 

L’utilisation de l’intelligence artificielle dans le traitement des données personnelles poserait-elle une limite à la maitrise de l’individu sur ses données ?

 

Pour répondre à cette question, une réflexion sur ce thème au niveau de l’Italie et de la France peut donner un aperçu intéressant grâce à leur pertinence historique dans la conception du droit à la protection des données personnelles et grâce à différentes décisions des Autorités garantes – la CNIL française et le Garante Privacy italien –, ainsi que des juridictions nationales qui éclairent les premières positions possibles face à ces défis. Les deux États, membres de l’Union Européenne, fournissent des exemples d’application du droit européen, ici du Règlement 2016/679 dit « RGPD ». 

 

Le droit à la protection des données personnelles est, dans les deux États et au niveau européen, l’expression de la sauvegarde de la vie privée et dignité de tout être humain[8], qui se traduit, d’abord, par un droit d’autodétermination de l’individu sur ses données (I). Cela se manifeste par une place centrale de son consentement, qui néanmoins, pourrait être remise en cause par l’intelligence artificielle, vu son fonctionnement technique opaque et extrêmement vorace de données (II). Plusieurs solutions sont proposées par les experts, la principale technique à la lumière du droit positif étant l’anonymisation des données personnelles (III).

 

I. L’individu au centre de la protection des données personnelles, un pouvoir sur sa sphère

 

La protection des données personnelles découle, historiquement, du droit à la vie privée.

 

D’une liberté négative du « right to be alone »[9] – la définition de sa sphère intime opposée au regard des autres – ce droit inclut désormais la prérogative active, à savoir le contrôle sur sa sphère – représentée par ses informations personnelles et, avec le temps, ses données informatiques et numériques –[10].

 

La protection des informations personnelles en France fut formulée pour la première fois déjà en 1909, avec le juriste Perreau[11], comme l’un des « droits de la personnalité » opposés aux droits patrimoniaux[12]. La France fut pionnière en matière de protection des données personnelles avec sa loi relative à l’informatique, aux fichiers at aux libertés n. 17 du 6 janvier 1978, qui plaçait l’individu au cœur de la règlementation[13], bien que visant à cadrer un environnement informatique plus ample.

 

En Italie, à la même époque, la protection des informations personnelles était comprise par la Cour constitutionnelle italienne dans la protection des droits et libertés fondamentaux de la personne et sa dignité, selon les articles 14 (inviolabilité du domicile), 15 (inviolabilité des communications) et 2 (dignité de l’individu) de la Constitution italienne[14].

 

Au niveau supranational, le Conseil de l’Europe a adopté la Convention de Strasbourg n. 108 du 28 janvier 1981[15], inspirée des expériences nationales antérieures en France et en Allemagne. Le vrai tournant fut, au sein de l’Union européenne, fut la directive européenne de 1995 n. 46. Elle passait d’un système d’ « opt out », qui valorise la faculté négative du sujet d’empêcher l’utilisation de ses données (propre à la France et à la Convention 108 du Conseil d’Europe) à un système « opt in », qui requiert pour l’utilisation des données personnelles, d’abord, un consentement « indubitablement donné »[16] par le sujet, reléguant les autres cas d’utilisation légitime des données personnelles à des situations subsidiaires « nécessaires »[17].

 

Cette directive fut le moteur de la première législation italienne en la matière, la loi n. 675 du 31 décembre 1996[18], qui établit à son article 1er un lien direct entre le traitement des données personnelles et la protection de la dignité humaine, la « riservatezza » ainsi que l’identité personnelle[19] et donne une place primordiale au consentement de l’individu, alors que les autres cas d’utilisation des données personnelles relèvent d’exceptions[20].

 

La réflexion aboutit[21] à la reconnaissance de la protection des données personnelles comme un droit fondamental européen dans la Charte de Nice du 7 décembre 2000 à son article 8[22].

 

Depuis le Traité de Lisbonne de 2007 – en vigueur dès 2009 – est accordée à ce droit fondamental la même valeur juridique que les droits reconnus par les Traités institutifs[23]. Il est ainsi repris à l’article 16 du Traité sur le Fonctionnement de l’Union Européenne (TFUE).

 

Le droit est mis en œuvre dans le Règlement général sur la protection des données personnelles 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), véritable benchmark pour les États membres.

 

II. Le consentement de l’individu à l’épreuve de l’opacité et l’autonomie de l’intelligence artificielle

 

À la différence de la libre circulation des données non-personnelles, dans le cadre des données personnelles, les droits fondamentaux de la personne priment et leur utilisation est encadrée par le Règlement général sur la protection des données personnelles 2016/679, en permettant seulement sous certains conditions leur utilisation.

 

L’un des éléments forts dans le Règlement est le consentement du sujet titulaire des données, base légitime du traitement, défini à l’article 4, 11) comme une manifestation de volonté, libre, spécifique, éclairée et univoque. Si la directive 95/46 faisait déjà référence à une “manifestation informée”, le Règlement semble consolider la conscience du sujet à son consentement et les modalités de son expression[24].

 

En effet, au niveau des principes, à l’article 5, la licéité est traitée dans le même alinéa que la transparence et le considérant 39 du Règlement 2016/679, traitant de la licéité, rappelle le principe de transparence et les informations qui doivent être données. Comme confirmé par le Groupe Article 29[25] dans ses lignes directrices, le consentement pour être valide doit être fondé « sur l’appréciation et la compréhension des faits et des conséquences d’une action » et le Règlement européen en fait une nécessité à ses articles 12, 13, 14 et 15.

 

D’autres principes généraux posés par le Règlement 2016/679 sont primordiaux dans la prise de conscience par l’individu et ainsi la formulation et le respect de son consentement[26]: il s’agit du principe de limitation des finalités (article 5, b) ), de minimisation des données ou de proportionnalité (article 5, c) ) et, également, du principe de précision (article 5, d) ) et conservation temporellement limitée (article 5, e) ).

 

En effet, le consentement doit porter sur toutes les données collectées et utilisées, et seules ces données peuvent être collectées et utilisées (minimisation) ; le consentement doit porter sur toutes les finalités visées et seules celles-ci doivent être poursuivies (limitation des finalités – sauf à des finalités compatibles ou exceptionnelles à l’article 89 du Règlement)^[27], et si seules ces finalités consenties peuvent être poursuivies, seules les données nécessaires à ces objectifs peuvent être utilisées (minimisation) et seulement pour le temps nécessaire à la poursuite de telles finalités (limitation de la conservation). Il doit y avoir, donc, une correspondance presque parfaite entre la volonté de l’individu et l’usage de ses données (v. le considérant 32 du Règlement).

 

Cependant, c’est exactement à ce niveau de prise de conscience et de respect de la volonté de l’individu que certains modèles d’intelligence artificielle se heurtent.

 

D’abord, l’effet dit de « boite noire » inhérent à l’intelligence artificielle ne permettrait pas, dans certains systèmes, de satisfaire une connaissance et compréhension du traitement des données de façon suffisante. Le machine learning et les réseaux de neurone profonds fonctionnent par des raisonnements non-linéaires, souvent d’approche statistique, dont la complexité est proportionnelle au nombre des variables en entrée et au nombre des paramètres du code algorithmique, pouvant se compter en milliards ; ainsi, l’explication de son fonctionnement au titulaire des données personnelles pourrait s’avérer extrêmement complexe, parfois impossible.

 

Le Règlement 2016/679 est formulé en standards et principes, aptes à s’adapter à toutes les casuistiques, ce qui rend intéressant l’étude des opinions des Groupes d’experts[28], des lignes directrices des Autorités garantes[29] et de la jurisprudence[30] récente afin de mieux analyser la compatibilité entre le droit à la protection des données et l’intelligence artificielle.

 

L’information sur la méthode du traitement est fondamentale à la formation d’un consentement libre et éclairé et les Autorités garantes italiennes et françaises, ainsi que les juges nationaux, en sont témoins dans plusieurs décisions telles une décision de la CNIL à l’encontre de Google de 2019, confirmée par le Conseil d’État[31], et une décision du Garante privacy à l’encontre de OpenAi en 2023[32]. La CNIL y a prononcé une sanction pécuniaire contre Google, qui recueillait un consentement par défaut dont l’information était « excessivement disséminée », n’était pas « aisément accessible » et donc ne permettait pas à l’utilisateur de donner un consentement libre et éclairé au ciblage publicitaire. Le Garante Privacy italien avait suspendu l’utilisation de ChatGPT en raison de l’activité d’OpenAi de collecte d’informations – également personnelles – des usagers, qui profitait du service de ChatGPT, lors de leur interaction avec le chatbot. Cette collecte poursuivait le but d’entrainer l’algorithme de son service de chatbot, mais aucune information et explication technique fut donnée aux sujets titulaires des données.

 

À l’heure actuelle, s’agissant du fonctionnement algorithmique, les juges nationaux se sont prononcés de maniéré détaillée surtout dans le secteur public. D’une part, le Conseil constitutionnel français, en 2018[33] et en 2019[34],  a admis l’utilisation d’algorithmes dans la procédure administrative, si celle-ci est accompagnée de plusieurs garanties pour sauvegarder les droits et libertés des individus : parmi celles-ci, la pleine intelligibilité du processus technique, qui serait donc, selon le juge, possible[35]. La position du Conseil constitutionnel se comprend dès lors que les algorithmes et les types d’intelligence artificielle ne sont pas égaux entre eux et montrent différents niveaux d’opacité.

D’autre part, le Conseil d’Etat italien, dès 2019[36], affirme l’intérêt de l’administration (en termes d’efficacité et transparence) à l’utilisation des décisions automatisées mais se montre perplexe face aux possibles biais et opacités des algorithmes. Il requiert une complète lisibilité du code source. Dans les deux cas, français et italien, les juges font référence au responsable du traitement (ici l’administration), pour qu’il garantisse ex ante la compréhensibilité de l’algorithme.

 

Par ailleurs, l’intelligence artificielle met à l’épreuve le principe de minimisation[37] : son développement, selon le machine learning, requiert une masse énorme de données, à partir desquelles l’intelligence artificielle apprend pour des décisions plus précises et adaptées. Ainsi, la restriction aux seules informations nécessaires serait réductrice et limiterait son avancement économique et technologique.

D’une telle problématique, la décision du Garante Privacy contre OpenAi fournit un premier exemple : le « web scraping »[38] aux fins du développement de ChatGPT ne serait pas légitime car indiscriminé. De façon différente, l’Autorité européenne European Data Protection Board a considéré que OpenAi pourrait fonder l’opération de traitement sur l’article 6 par. 1 f) (intérêt légitime au traitement des données) du Règlement 2016/679, à condition de l’assortir des garanties imposées par le même Règlement[39].

 

Ensuite, une fois que les données personnelles entrent dans le réseau de l’intelligence artificielle, il semble impossible pour le responsable du traitement de prévoir spécifiquement à quelles fins le système les utilisera, en raison de l’autonomisation de certains modèles d’intelligence artificielle. Selon un fonctionnement de machine learning et data analysis, l’intelligence artificielle pourrait ne pas se limiter à une utilisation primaire des données et se lancer dans un usage indirect et des corrélations, afin de retracer des schémas et liens qui seraient ensuite utiles à d’autres prises de décision. Cette question pourrait créer des impasses importantes.

 

À cet égard, plusieurs décisions nationales –principalement en thème de profilage et prospection commerciale[40] – confirment l’application très stricte du principe de limitation des finalités. Les autorités considèrent que le sujet titulaire doit être en mesure de comprendre de manière non équivoque tous les effets du consentement donné au traitement de ses données, de sorte que, si le traitement a plusieurs finalités, celles-ci doivent être visées spécifiquement et non pas par un consentement unique. Il doit être clair, en principe, que le sujet ait voulu précisément chacun des effets du traitement, sauf à entrer dans les exceptions très strictes prévues par le Règlement aux fins d’un traitement ultérieur[41].

 

La difficulté d’expliquer le fonctionnement autonome de l’intelligence artificielle est encore plus importante – par rapport à l’utilisation d’algorithmes simples – dans le cadre du profilage ou des décisions automatisées de l’article 22 du Règlement 2016/679 : le Règlement requiert, à ses articles 14 et 15, que le responsable du traitement informe également des « conséquences prévues » pour le sujet titulaire des données. Le responsable pourrait ne pas être en mesure de « prévoir » les conséquences futures du traitement par une intelligence artificielle particulièrement autonome.

 

Enfin, la non-utilisation d’une donnée (par exemple pour défaut de consentement) et son élimination depuis le fichier de données soumis à l’intelligence artificielle n’empêcherait pas que certains systèmes d’intelligence artificielle puissent arriver aux mêmes informations par leur fonctionnement par corrélations [42].

 

 

III. Conclusions et perspectives envisageables : anonymisation des données et changements juridiques ou techniques

 

Le droit de la protection des données personnelles, historiquement, ne fut pas conçu dans une approche “top down”, mais – au contraire – s’est construit autour de la place centrale de l’individu, qui, encore aujourd’hui, est garantie spécialement par l’attention accordée au consentement de celui-ci au traitement de ses données.

 

Cependant, face aux difficultés posées par l’intelligence artificielle, il semble nécessaire, comme indiquent les recommandations de la CNIL[43], de se concentrer sur les devoirs du responsable de traitement[44], l’information et l’évaluation du risque[45] ainsi que le principe de privacy by-design[46] (principe préventif qui assure le respect de la vie privée dès la conception du système) et le fairly manners (bonnes pratiques)[47].

 

Par ailleurs, afin de pouvoir utiliser les données personnelles pour alimenter l’intelligence artificielle, les responsables du traitement pourraient se lancer dans une technique d’“anonymisation” de telles données : les données anonymisées sortiraient du champ d’application du Règlement et pourraient être utilisées librement.

 

Cependant, la technique d’anonymisation doit être hautement sophistiquée et précise, afin de ne pas pouvoir re-lier la donnée à son sujet titulaire. Le Groupe Article 29 a déjà présenté les risques et faiblesses de l’anonymisation des données personnelles imposant une vérification de l’efficacité de la technique en trois étapes[48]. Les Autorités garantes sont exigeantes vis-à-vis de l’anonymisation et le plus souvent considèrent que les responsables du traitement ont effectué une pseudonymisation[49], qui ne permet pas aux données de sortir de l’égide du Règlement 2016/679. Il y a même plusieurs experts qui doutent de l’effectivité de l’anonymisation face au Big Dataet à la capacité de corrélation de l’intelligence artificielle[50].

 

Néanmoins, le Considérant 26 du Règlement dénonce la nature relative de la technique d’anonymisation, qui doit être évaluée à la lumière des moyens disponibles au responsable du traitement ou toute autre personne pour la réidentification. La même Cour de justice européenne dans sa décision CRU c/ Deloitte du 26 avril 2023[51] confirme récemment cette relativité de l’anonymisation. En effet, la Cour admet que des données (en l’espèce, celles des participants au sondage), même transférées à des tiers (ici, une société de conseil) avec leur code alphanumérique permettant de les relier aux sujets titulaires, restent des données anonymes si le tiers destinataire ne dispose pas des moyens aptes à traiter les codes et parvenir effectivement à une re-identification. L’EDPB est du même avis que la Cour de justice, lors de ses différentes interventions^[52]. Dans la tâche complexe de guider l’utilisation des applications de géolocalisation pendant la crise de Covid19, l’EDPB a repris la clarification formulée par le Groupe « article 29 » et admet que l’anonymisation n’est jamais absolue et tient compte des moyens disponibles pour la réidentification.

 

D’autres perspectives proposées par les experts dans le secteur suggèrent le développement informatique d’une intelligence artificielle techniquement « explicable »[53], l’élaboration d’un régime d’information multi-degré sur la base du niveau de risque du système d’intelligence artificielle utilisé[54] et, en dernier lieu, un changement radical de construction normative au profit d'un rapprochement vers le droit de propriété. Il mettrait en lumière les bénéfices économiques du traitement des données et viserait à rétablir le contrôle au sujet titulaire – ainsi propriétaire – de l’utilisation de ses données, la centralité de l’information et la participation aux bénéfices tirés de la « cession » des données [55].

 

 

BIBLIOGRAPHIE :

 

Textes officiels :

Union Européenne :

* Charte des droits fondamentaux européens, Nice, 7 décembre 2000

* Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046

* Règlement général sur la protection des données personnelles (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

* Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018

* Proposition de Règlement européen du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union dit « Ai Act » 2021/0106 (COD)

Conseil Européen :

* Convention de Strasbourg n. 108 du 28 janvier 1981 du Conseil européen Italie :

* loi n. 675 du 31 décembre 1996, Repubblica italian https://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=1997-01-08&atto.codiceRedazionale=097G0004&tipoDettaglio=originario&qId=.

* D.Lgs. 196/03, Repubblica italiana, dit « Codice della Privacy »

* D.Lgs. 101/18 du 10 aout 2018, Repubblica italiana https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-09-04&atto.codiceRedazionale=18G00129&elenco30giorni=true

France :

* Loi relative à l’informatique, aux fichiers at aux libertés n. 17 du 6 janvier 1978, République française https://www.ssi.ens.fr/textes/l78-17-text.html

* Loi n. 493 du 20 juin 2018, République française

 

Décisions des Cours nationales et européennes

Union Européenne :

* CJUE 26 avril 2023 n. T-557/20  « CRU c/ Deloitte »

Italie :

* Corte Costituzionale n. 139/1990

* Corte Costituzionale n. 366/1991

* Corte di Cassazione, 11 mai 2018 n. 17278[1]

* Consiglio di Stato, 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, 1206/2021

France :

* Conseil Constitutionnel, Décision n° 2018-765 DC du 12 juin 2018

* Conseil Constitutionnel, Décision n° 2019-796 DC du 27 décembre 2019

* Décision du Conseil d’Etat 19 juin 2020 n. 430810

 

Décisions et lignes directrices / recommandations des Autorités garantes pour la protection des données personnelles:

Union Européenne :

* Guidelines European Data Protection Board (EDPB) 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak

* Rapport European Data Protection Board (EDPB) Report of the work undertaken by the ChatGPT Taskforce 23 mai 2024

Italie :

* Garante per la protezione dei dati personali, Provvedimento del 30 marzo 2023 n. 9870832

* Garante per la protezione dei dati personali, 1er juin 2023 n. 226 « progetto THIN »

France :

* Délibération de la CNIL SAN-2019-001 du 21 janvier 2019

* Délibération de la CNIL 2023-028 du 23 mars 2023 « VarGen »

* Délibération de la CNIL SAN-2024-004 du 4 avril 2024 

* Lignes guide de la CNIL Développement des systèmes d’IA : les recommandations pour respecter le RGPD 08 avril 2024

 

Groupes d’experts européens pour la protection des données personnelles et pour l’intelligence artificielle :

* Groupe de travail «article 29» sur la protection des données Working Party, Document n. 2/2013 “Working Document providing guidance on obtaining consent for cookies”, 2° October 2013 (WP n. 208)

* Groupe de travail «article 29» sur la protection des données 0829/14/FR WP216 “Avis 05/2014 sur les Techniques d’anonymisation”, adopté le 10 avril 2014

* High Level Expert Group on Artificial Intelligence “A definition of ai: main capabilities and scientific disciplines”, Brussels, 18 December 2018 https://ec.europa.eu/futurium/en/system/files/ged/ai_hleg_definition_of_ai_18_december_1.pdf

* EPRS European Parliamentary Research Service Scientific Foresight Unit « The impact of the General Data Protection Regulation (GDPR) on artificial intelligence » PE 641.530 - June 2020

 

Doctrine :

* Brüggemeier Gert « Protection of personality rights in the law of delict/torts in Europe: mapping out paradigms », Cambridge University Press 2010

* Bolognini L., Pelino E., Bistolfi Bolognini C.: « Il regolamento privacy europeo : commentario alla nuova disciplina sulla protezione dei dati personali » Milano, Giuffrè, 2016

* Cavoukian A., 7 foundational principles of privacy by design, Office of the Information & Privacy Commissioner of Ontario, 2010

* Clément-Fontaine Mélanie “L’union du droit à la protection des données à caractère personnel et du droit à la vie privée” 2017

* D’Orazio R, Protezione  dei  dati by default e by design, dans La nuova disciplina europea della privacy de S. Sica, V. D'Antonio e G.M. Riccio, Cedam-Wolters Kluwer, 2016

* Forgó N., Hänold S., Schütze B., The Principle of Purpose Limitation and Big Data Springer, Singapore, 2017

* Giannone Codiglione, Risk-based approach e trattamento dei dati personali dans La nuova disciplina europea della privacy de S. Sica, V. D'Antonio e G.M. Riccio, Cedam-Wolters Kluwer, 2016

* Guérin-François Alexandra, Lessi Jean, Berezkina Ekaterina, Code de la protection des données personnelles 2024 Annoté & Commenté Les Codes Dalloz, Lefebvre Dalloz

* Hamon R., Junklewitz H., Malgieri G., De Hert, P. and Sanchez Martin, J.I. « Bridging the gap between AI and explainability in the GDPR: Towards trustworthiness-by-design in automated decision-making » IEEE COMPUTATIONAL INTELLIGENCE MAGAZINE 17 (1), 2022, p. 72-85, JRC124175.

* Kaminski M. E. et Malgieri G., “Multi-layered explanations from algorithmic impact assessments in the GDPR” dans Proc. ACM Conf. Fairness, Accountability Transparency, 2020

* Kosinski, Stillwell D., Graepel T., Private traits and attributes are predictable from digital records of human behavior in PNAS, 110, 15, 2013

* Mayer-Schönberger Viktor & Padova Yann “Regime Change? Enabling Big Data Through Europe's New Data Protection Regulation” the Columbia Science & Technology Law Review Vol XVII Spring 2016 p. 332

* Malgieri G,. Titolarità (intellettuale) e privacy. Un contributo a sostegno della "quasi-proprietarizzazione" dei dati personali, dans Nodi virtuali, legami informali: Internet alla ricerca di regole Passaglia P., Poletti D. 2017, Pisa

* Ohm Paul “Broken Promises of Privacy : Responding to the Surprising Failure of Anonymization” UCLA Law Review, Vol. 57, 2010

* Pizzetti F., « Privacy e il diritto europeo alla protezione dei dati personali »  vol. I, Dalla direttiva 96/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016

* Perreau, « Des droits de la personnalité » RTD civ. 1909

* Warren et Brandeis « The Right to Privacy » Harvard Law Review Vol. IV  December 15, 1890