148473-gaetan-devillard

RGPD : La politique de contrôle de la CNIL

Wed, 26 Jun 2024 10:59:30 GMT

RGPD : La politique de contrôle de la CNIL

La CNIL est l’autorité de contrôle compétente en France pour tout sujet relatif à la protection des données personnelles. Elle peut être amenée à exercer des contrôles sur des entreprises ou des collectivités. Lorsque les manquements sont trop graves, la CNIL peut prononcer tout un panel de sanctions préétabli dans la « Charte des contrôles de la CNIL ».

Comment sont choisi les organisations contrôlées par la CNIL ?

La CNIL prévoit tous les ans en interne un « Programme annuel de contrôle » qui priorise certaines thématiques juridiques ou établissements sensibles qui seront principalement surveillés pendant l’année. Dans certains cas un contrôle de la CNIL peut être issu d’une plainte d’un usager mentionnant un manquement aux règles de traitement des données personnelles. Certains contrôles sont enfin décidés en fonction de l’actualité dans l’intérêt des organismes contrôlés lorsqu’ils sont la cible d’attaques ciblées.

Cette année par exemple, la CNIL accorde une importance particulière aux questions liées à la prospection commerciale, aux outils de surveillance dans le cadre du télétravail et aux services Cloud. En effet, pour prendre l’exemple du télétravail. L’expansion rapide de cette pratique du fait de l’adaptation des conditions de travail en période COVID n’a pas laissé le temps aux organisations d’harmoniser leur protocole avec la législation. En l’occurrence, la surveillance des employés à distance via le matériel utilisé pour le télétravail est soumise aux exigences du RGPD .

Quelles formes peuvent prendre les contrôles de la CNIL ?

La CNIL est habilitée à contrôler les organismes traitant des données personnelles de 4 manières différentes. Dans un premier temps, elle peut demander à l’entreprise contrôlée de répondre à un questionnaire pour évaluer dans les grandes lignes sa conformité au RGPD . La CNIL peut également organiser des contrôles en ligne, c’est-à-dire vérifier à distance la façon dont les données personnelles sont traitées sur le site internet de l’entreprise contrôlée. En cas de suspicion de manquement grave au RGPD la CNIL peut aussi organiser une convocation des représentants de l’organisme contrôlé dans les locaux de la commission pour répondre à des questions sur la façon dont les données personnelles sont traitées. Enfin, lorsqu’une investigation approfondie est jugée nécessaire par la CNIL elle envoie sur place une délégation pour contrôler en détail la conformité de l’organisme aux règles en vigueur sur la protection des données personnelles.

Il est à noter que l’organisme contrôlé est sommé de coopérer avec la CNIL , en prenant, par exemple, toutes les mesures nécessaires afin de faciliter le déroulement des opérations de contrôle. En effet, le délit d’entrave à l’action de la CNIL est lourdement sanctionné par une peine d’emprisonnement d’un an et une amende de 15 000 € .

Les modalités d’attribution des sanctions

Le montant des amendes administratives imposables par l’autorité de contrôle (la CNIL) peut s’élever jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaire annuel de l’organisation contrôlée en fonction de ce qui est le plus conséquent. Cependant, la CNIL n’impose pas systématiquement la sanction maximale. En effet, le RGPD demande aux organismes de contrôle d’adopter des sanctions proportionnées aux manquements.

Malgré une certaine autonomie de la CNIL quant à l’attribution des sanctions administratives, le RGPD lui impose la prise en compte des éléments suivants :

la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
le fait que la violation a été commise délibérément ou par négligence ;
toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre ;
toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
les catégories de données à caractère personnel concernées par la violation ;
la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telles que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

En pratique la CNIL met souvent en demeure l’organisme contrôlé avant de prononcer une sanction financière .

Cependant, malgré l’apparente bienveillance qui transparait de ces modalités de contrôle. Il est à noté qu’une mise en demeure représente une véritable épée de Damoclès pour l’entreprise concernées. En effet, lorsque les mesures correctives sont substantielles, notamment lorsqu’elle concerne des questions liées au matériel informatique (système de sauvegarde des données, utilisation d’un Cloud établit dans un pays étranger à l’UE etc.) elles doivent être prise très au sérieux car le temps nécessaire à la transformation des pratiques de l’entreprise peut parfois dépasser le délai laissé par la mise en demeure.

Proposition de règlement européen sur l’intelligence artificielle : l’encadrement est en marche

Wed, 26 Jun 2024 10:56:38 GMT

Proposition de règlement européen sur l’intelligence artificielle : l’encadrement est en marche

Animée d’une volonté de créer un écosystème de confiance et de garantir le respect des droits des utilisateurs sur l’ensemble du territoire de l’Union européenne, la Commission européenne a publié le 21 avril 2021 un projet de règlement établissant des règles harmonisées concernant l’intelligence artificielle (IA) . L’objectif affirmé est alors d’encadrer cette technologie afin d’en prévenir les risques, une première dans le paysage juridique.

Encadrer l’IA : les origines

La volonté d’encadrer et borner l’intelligence artificielle est le fruit d’une construction méthodique. La France a successivement adopté la loi informatique et liberté en 1978 [1] , réformée par la loi n° 2018-493 du 20 juin 2018 protégeant les données personnelles, la loi pour une république numérique en 2016 [2] consacrant l’ouverture des données publiques aux usagers que l’on connaît sous l’expression « d’open data », ainsi que la réforme du 23 mars 2019 [3] qui interdit par exemple en son article 33 le profilage des magistrats à partir de leur nom.

Par ailleurs, afin de garantir la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, a également été adopté le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de RGPD. Lui-même venait déjà encadrer par son article 22 les processus de prises de décisions automatisées lorsqu’elles produisent des effets juridiques. C’est donc dans une continuité logique que la Commission européenne est venue produire différents textes à l’instar des lignes directrices en matière d’éthique pour une IA digne de confiance dont le rapport était publié le 8 avril 2019 ou encore le livre blanc sur l’excellence et la confiance envers l’intelligence artificielle . Le Parlement européen intervenait quant à lui sur la question en publiant une résolution n° 2020/2021(INL) du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes. Fruit d’une longue réflexion, la Commission européenne publie désormais son projet de règlementation de l’intelligence artificielle.

Une définition (trop) large de l’intelligence artificielle

La proposition de règlement de la Commission européenne est venue définir ce qu’elle a choisi d’appeler « systèmes d’intelligence artificielle » (SIA). Trois définitions de ces systèmes ont été adoptées et intégrées au sein l’annexe I du règlement (article 3 alinéa 1), permettant ainsi de recouvrir les multiples facettes de cette technologie :

Les SIA fonctionnant sur un système d’apprentissage automatique, que l’on retrouve également sous les termes anglo-saxons de machine learning ou deep learning. À l’image d’AlphaGo, l’algorithme ayant appris à maîtriser le célèbre jeu de GO, il s’agit d’algorithmes qui sont entrainés grâce à une confrontation entre différents jeux de données dans le but d’apprendre la décision à adopter ;
Les SIA destinés à la réalisation d’approches statistique, estimations bayesiennes ou de méthodes de recherche et d’optimisation. Il s’agit de SIA entrainés à partir de modèles dans le but de réaliser des prédictions statistiques sur les événements ultérieurs ;
Les SIA dits systèmes experts fondés sur la programmation de déduction logique et de raisonnement. En d’autres termes, il s’agit d’algorithmes ayant été entrainés afin d’être en mesure de partir de faits ou de règles connus pour exposer un raisonnement logique afin de répondre à une question.

Un très large champ d’application

Toujours dans un objectif d’efficacité du règlement et donc de protection des consommateurs présents sur le territoire européen la Commission a envisagé un large champ d’application matériel et territoriale pour son règlement.

Champ d’application territoriale (Article 2)

Le règlement de la Commission s’applique dans trois cas de figure :

Lorsque le fournisseur place sur le marché ou met en service des SIA sur le territoire de l’Union européenne indépendamment de son lieu d’établissement ;
Lorsque l’utilisateur du SIA est situé sur le territoire de l’Union ;
Lorsque le fournisseur ou l’utilisateur sont situés dans un pays tiers mais dont les résultats obtenus grâce à un SIA sont utilisés dans l’Union. Ce champ d’application élargi est comparable à celui du RGPD et permet ainsi une protection optimale des différents utilisateurs européens. Champ d’application matériel (Article 3) Le règlement s’applique à l’ensemble des SIA qui génèrent des résultats influençant les environnements avec lesquelles ils interagissent. Ne sont toutefois pas pris en compte les SIA destinés exclusivement à des fonctions militaires.

Champ d’application matériel (Article 3)

Le règlement s’applique à l’ensemble des SIA qui génèrent des résultats influençant les environnements avec lesquelles ils interagissent.

Ne sont toutefois pas pris en compte les SIA destinés exclusivement à des fonctions militaires.

Une approche fondée sur les risques

La Commission européenne a adopté une solution particulière pour l’encadrement des SIA. Ainsi elle ne procède pas à une régulation de la technologie en tant que telle ni à une régulation sectorielle. Elle procède plutôt à une régulation en fonction des cas concrets d’usage qu’elle catégorise en 4 types selon une classification obéissant à une échelle de risques : les risques inacceptables, les hauts risques, les risques moyens et les risques faibles.

Risques inacceptables (Article 5)

Sont prohibés de façon péremptoire les SIA destinés à :

La manipulation subliminale causant ou risquant de causer un dommage physique ou psychologique à l’utilisateur ou un tiers ;
L’exploitation de vulnérabilités d’un groupe spécifique en raison de l’âge, le handicap physique ou physiologique afin d’affecter les comportements causants ou risquant alors de causer un dommage physique ou psychologique à l’utilisateur ou un tiers ;
La notation sociale des individus par les autorités publiques ; L’identification biométrique à distance en temps réel dans les espaces publics à des fins répressives. Trois exceptions sont néanmoins prévues.

Hauts risque (Article 6 à 51)

Plusieurs situations et cas d’utilisation sont ainsi considérés comme à hauts risques :

Lorsque le SIA est un composant d’un produit régulé ou soumis à une exigence de conformité par l’une des dispositions européennes listées à l’annexe II ;
Les SIA utilisés dans l’un des domaines listés à l’annexe III, à savoir :
L’identification biométrique ;
La gestion d’infrastructures à risques ;
L’éducation ; La gestion des ressources humaines ;
L’accès à l’usage de services privés essentiels ou de services publics ;
La matière répressive ;
L’immigration, asile et le contrôle aux frontières ;
L’administration de la justice et des processus démocratiques.

Les SIA qualifiés comme à hauts risques sont soumis à une obligation de mise en conformité ex ante pour pouvoir être mis sur le marché. En ce sens ils doivent se conformer aux exigences du chapitre II du présent règlement.

Documenter la gestion des risques (article 9)

Le projet de règlement impose d’établir, de documenter et d’implémenter un système permettant de gérer les risques du SIA. L’objectif de ce système est de permettre un contrôle du système sur l’intégralité de sa durée de vie en mettant au point un processus itératif. Soit un processus qui testera de façon récurrente la fiabilité du SIA.

Prévention des biais des failles (article 10)

Afin de s’assurer qu’aucun biais ou faille dans les bases de données exploitées n’altèrent le résultat du SIA, la mise au point de protocoles de traitement sera nécessaire. L’objectif est de tester la qualité et pertinence des données utilisées et des résultats obtenus.

Documenter le respect des exigences du règlement (article 11)

En cas de contrôle par les autorités compétentes, le fournisseur du SIA devra fournir une documentation permettant d’évaluer sa conformité aux exigences du règlement. Cette documentation contenir au minimum les mentions de l’annexe IV. Pour autant il peut être recommandé de ne pas se limiter à ces seules informations, et ce notamment si le SIA traite de données personnelles ou de données sensibles au sens du RGPD.

Garantir la traçabilité du fonctionnement du SIA (article 12)

Il est nécessaire que soit implémenté au sein du SIA, des fonctionnalités d’enregistrement des événements survenant durant son fonctionnement. Cette fonctionnalité doit ainsi recueillir les informations suivantes : l’enregistrement de la période de chaque utilisation du système (date et heure de début et de fin pour chaque utilisation); la base de données de référence utilisée par le système pour vérifier les données d’entrée; les données d’entrée pour lesquelles la recherche a abouti à une correspondance ; l’identification des personnes physiques participant à la vérification des résultats, visées à l’article 14, paragraphe 5.

Garantir la transparence et la compréhension à l’égard des utilisateurs (article 13)

Le SIA doit pouvoir être compris par les utilisateurs et être transparent sur son fonctionnement et sur les bases de données utilisées. En ce sens le fournisseur doit fournir gratuitement une notice d’utilisation dans un format numérique avec le produit.

Contrôle humain prédominant sur le SIA (article 14)

Lors de la conception du SIA des fonctionnalités de contrôle doivent être ajoutées. En ce sens il est nécessaire de permettre à un opérateur humain de pouvoir corriger, modifier, supprimer ou passer outre les résultats ou recommandations fournis par le SIA.

Robustesse et exactitude du SIA (article 15)

Durant l’ensemble du cycle de vie du SIA celui-ci doit présenter des garanties démontrant sa robustesse, son exactitude et son niveau suffisant en matière de cybersécurité pour garantir cela, le système doit contenir des boucles de rétroaction à même de corriger d’éventuels biais. Cela correspond en pratique à un système pouvant revenir en arrière dans son analyse afin de vérifier la fiabilité du processus ayant été mis en marche et identifier les éventuelles erreurs. De surcroît, il est nécessaire de confectionner le SIA de sorte qu’il puisse résister à des tentatives d’intrusion ou de corruption des données qu’il utilise pour son analyse. Enfin les niveaux d’exactitude du SIA doivent être indiqués clairement au sein de la notice d’utilisation.

Risque moyen et Risque faible

Les SIA présentant des risques moyens ou faibles sont ceux qui ne rentrent pas dans les cas de figure mentionnés pour les SIA à hauts risques ou à risques inacceptables. Ils ne sont ainsi tenus qu’au respect d’une obligation de transparence mentionnée à l’article 52. Néanmoins, la Commission européenne invite par son article 69 à l’adoption d’un code de conduite destiné à favoriser l’application volontaire des exigences des SIA à haut risque pour

Obligations des fournisseurs

Le règlement définit le fournisseur comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (article 3(2)).

Responsables de la mise sur le marché du SIA à haut risque, les fournisseurs sont soumis à un certain nombre d’obligations.

Obligations générales du fournisseur

Le fournisseur est tenu de s’assurer du respect des obligations relatives aux SIA à haut risque mentionnées au chapitre 2 du règlement (article 16). Il est ainsi tenu notamment d’établir la documentation technique du SIA, veiller à ce que le SIA soit correctement soumis à la procédure d’évaluation de conformité préalable à la mise sur le marché et en cas de contrôle par une autorité compétente apporter les preuves de cette conformité. Il sera également en charge avant la mise sur le marché de procéder à l’enregistrement du système au sein de la base de données de l’UE pour les SIA à haut risque (article 51).

Obligation de gestion de la qualité et de la conformité

Afin de remplir leur obligation de garantie de la qualité des SIA (article 17) les fournisseurs doivent construire une documentation devant comprendre les différents documents mentionnés au sein de l’article 17.

Procédure de mise en conformité

Aucun SIA à haut risque ne peut être mis sur le marché par son fournisseur s’il n’a pas fait l’objet d’une évaluation de sa conformité. Cette obligation permet de garantir aux utilisateurs européens l’accès à des SIA conforme aux exigences européennes strictes.

Sont néanmoins présumés conformes les SIA lorsque ceux-ci sont conformes à des normes européennes harmonisées (article 40). Cependant la Commission peut juger le niveau de sécurité de certaines de ces normes harmonisées insuffisantes nécessitant le recours au processus de certification (article 41).

Le fournisseur doit alors suivre l’une des deux procédures mentionnées à l’article 43.

« (a) la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI ; (b) la procédure d’évaluation de la conformité fondée sur l’évaluation du système de gestion de la qualité et l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII. »

En cas de conformité le SIA à haut risque se verra accordé un certificat de conformité à apposer sur le produit. Ces certificats ne sont néanmoins valables que pour une durée spécifique ne pouvant excéder 5 ans (Article 44). Ce certificat devra ainsi être renouvelé au terme de cette durée ou en cas de modification substantielle du SIA (article 43 (4)).

Sanctions

En cas de recours à des SIA à risque inacceptable ou en cas de non-conformité des SIA à haut risque avec l’article 10 ; une amende administrative sera prononcée pouvant aller jusqu’au plus élever des deux seuils 30 000 000 euros ou 6% du chiffre d’affaires annuel mondial.

En cas de manquement à une autre obligation du règlement est prévue une amende administrative pouvant aller jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial.

En cas de fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes ou autorités nationales est prévue une amende administrative allant jusqu’à 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial.

Un lien étroit avec le RGPD

Le présent règlement adopte ainsi un système de mise en conformité ex-ante soit avant toute mise sur le marché du SIA. Nous retrouvons ainsi un mécanisme comparable au RGPD avec l’obligation de maintenir tout au long de la conception et la mise au point du SIA une vigilance sur les différentes exigences imposées par ce règlement et une documentation nécessaire à la démonstration de cette conformité.

Les SIA exploitant des données il faudra être vigilant sur la qualification des données exploitées par la machine. En effet la qualification large de traitement de données entendu par le RGPD inclut le recours à des SIA. Dès lors il sera nécessaire de mentionner ce système sur le registre des traitements, mais également de s’assurer du respect des exigences du RGPD. C’est en effet ce que souligne la CNIL dans son avis sur ce projet de règlement .

Conclusion

Du fait de son caractère contraignant, ce projet de règlement jouera un rôle clé dans l’encadrement des SIA. Il ne représente pour autant pas un point final sur la question.

D’une part ce texte sera amené à évoluer jusqu’à son adoption définitive. Une fois celle-ci faite, la Commission européenne disposera annuellement de la possibilité de modifier les annexes de ce projet, modifiant par conséquent sont champs d’application afin de prendre en compte les progrès techniques.

D’autres part, la réflexion sur les SIA vont se poursuivre. En effet le 19 mai 2021 le Parlement européen a adopté une résolution autour de l’intelligence artificielle dans les domaines de la culture, l’éducation et l’audiovisuel ajoutant ainsi une nouvelle pierre à l’édifice. Enfin l’intelligence artificielle dans le cadre des voitures autonomes sera également amenée à être encadrée de façon très spécifique. À n’en pas douter, ce dernier point fera l’objet de débats tout aussi techniques qu’intenses.

Références

[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[2] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
[3] LOI n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour
la justice

148473-gaetan-devillard

RGPD : La politique de contrôle de la CNIL

RGPD : La politique de contrôle de la CNIL

Comment sont choisi les organisations contrôlées par la CNIL ?

Quelles formes peuvent prendre les contrôles de la CNIL ?

Les modalités d’attribution des sanctions

Proposition de règlement européen sur l’intelligence artificielle : l’encadrement est en marche

Proposition de règlement européen sur l’intelligence artificielle : l’encadrement est en marche

Encadrer l’IA : les origines

Une définition (trop) large de l’intelligence artificielle

Un très large champ d’application

Une approche fondée sur les risques

Obligations des fournisseurs

Sanctions

Un lien étroit avec le RGPD ﻿

Conclusion

Un lien étroit avec le RGPD