Actualité numérique – Brexit, clauses contractuelles type et cyber executive order

L'actualité récente autour des sujets numériques, au sens le plus large du terme, a été aussi riche que diverse et soulève, en matière de conformité, des questions aussi sensibles que réglementairement insolubles. Nous nous attarderons brièvement sur trois thèmes qui partagent le même questionnement, y a-t-il une solution légale à des questions à la fois économiques, politiques, voire géostratégiques ? Ainsi nous aborderons le transfert de données hors de l’UE au travers de la question du Brexit (I.), le projet de règlement européen sur l’intelligence artificielle (II.) et enfin, les implications du cyber executive order du Président Biden du 12 mai 2021 (III.).

I. Transferts de données personnelles
hors de l’Union européenne

1. Brexit et protection des données personnelles : adéquat… ou pas

Le 19 février dernier, la Commission[1] a engagé un processus destiné à aboutir à l’adoption de deux décisions relatives à l’adéquation du niveau de protection des données personnelles pour les transferts de ces dernières vers le Royaume-Uni. L’une concerne le RGPD et l’autre, la directive en matière de protection des données dans le domaine répressif[2]. Ces discussions s’inscrivent dans la perspective de l’accord signé entre le Royaume-Uni et l’Europe à l’occasion du Brexit, lequel prévoit que les flux de données personnelles restent couverts par le RGPD jusqu’au 1 ^er  juillet 2021 [3].

Dans une résolution adoptée le 21 mai 2021 à une courte majorité[4], les députés ont demandé à la Commission de modifier ses projets de décision au sujet de l’équivalence de la protection des données au Royaume-Uni de telle sorte qu’ils soient alignés sur la jurisprudence de la Cour de justice de l’UE[5], tout en en répondant aux préoccupations soulevées par le Comité européen de protection des données (CEPD) dans ses récents avis.

Ce dernier estime que les pratiques britanniques en matière d’accès en masse, les transferts ultérieurs et ses accords internationaux doivent être clarifiés davantage. La résolution (§ 37) précise que les autorités nationales chargées de la protection des données devront « suspendre le transfert de données à caractère personnel qui pourraient faire l’objet d’un accès indifférencié par les services de renseignement britanniques si la Commission devait adopter ses décisions d’adéquation à l’égard du Royaume-Uni avant que ce dernier ne résolve les problèmes mentionnés ci-dessus ».

Si la résolution concède que le cadre de base de la protection des données au Royaume-Uni est similaire à celui de l’UE, il soulève néanmoins des préoccupations quant à sa mise en œuvre. Le régime britannique contient notamment des exemptions dans les domaines de la sécurité nationale et de l’immigration, qui s’appliquent désormais aussi aux citoyens de l’UE souhaitant rester ou s’installer au Royaume-Uni. La législation britannique actuelle permet également d’accéder à des données en masse et de les conserver sans qu’une personne soit soupçonnée d’avoir commis un crime.

Hasard de calendrier, la Cour EDH, par deux arrêts du 25 mai 2021 rendus en Grande Chambre[6], précise les conditions dans lesquelles un régime de surveillance de masse des communications électroniques (contenu et métadonnées) peut être compatible avec les articles 8 et 10 de la Convention européenne des droits de l’homme[7] s’agissant précisément de la Grande Bretagne et de la Suède.

Certes, la Cour constate que « […] l’interception en masse revêt pour les États contractants une importance vitale pour détecter les menaces contre leur sécurité nationale » (arrêt Big Brother Watch, § 424), les États contractants ayant ainsi « légitimement besoin d’opérer dans le secret, ce qui implique qu’ils ne rendent publiques que peu d’informations sur le fonctionnement du système, voire aucune » (ibid. § 322). Toutefois, cette validation des interceptions de masse doit répondre à huit précautions devant être présentes dans un cadre juridique national.

Doivent être ainsi être précisés :

– les motifs autorisant l’interception de masse ;

– les circonstances au cours desquelles les communications peuvent être interceptées ;

– la procédure d’octroi d’une autorisation de captation ;

– les procédures dévolues à la sélection, l’examen et l’utilisation des éléments interceptés ;

– les précautions relatives à la communication des éléments de preuve à d’autres parties ;

– les limites en matière de durée de l’interception, de conservation des preuves interceptées, et les circonstances dans lesquelles elles doivent être effacées ou détruites ;

– les procédures et modalités de supervision, par une autorité indépendante, le respect des garanties énoncées, ainsi que les pouvoirs de celle-ci en présence d’un manquement ;

– les procédures de contrôle indépendantes et a posteriori garantissant le respect des garanties et les pouvoirs conférés à l’organe compétent pour traiter les manquements (Big Brother Watch, § 361 ; Centrum för rävittsa, § 275).

La CJCE estime, in fine, que le Royaume-Uni est défaillant dans la preuve de l’existence de ces garanties. On notera que les faits concernaient le Regulation Investigatory Powers Act (RIPA) de l’an 2000, modifié en novembre 2016[8]. Néanmoins, cette mise à jour de 2016, en ce qu’elle emporte une extension des pouvoirs de conservation des données de connexion aux sites internet, une absence d’exigence d’information des personnes faisant l’objet d’une surveillance, ainsi qu’une absence d’exigence de garder les données conservées à l’intérieur de l’Union européenne, heurte les princes issus de la jurisprudence de la CJUE Tele2[9] intervenue un mois après sa publication. Cet arrêt énonce que les Etats membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques.

L’Irish Council of Civil Liberties a, dans cet esprit de méfiance face à la compatibilité des pratiques du Royaume-Uni avec le RGPD, écrit à la Commission européenne[10] afin de souligner qu’une décision d’adéquation n’était pas envisageable, faute pour l’Information Commissioner’s Office de remplir les critères de l’article 45(2)b du RGPD, à savoir celui d’une autorité de contrôle fonctionnant efficacement.

Comme l’aurait dit Voltaire à propos de Fréron, que croyez-vous qu’il arriva ? Tout ceci n’a pas empêché la Commission européenne, par une décision unanime du 16 juin 2021, rendue public le 28[11], de déclarer que le Royaume-Uni présentait des garanties équivalentes en matière de protection des données. Certes, la Commission doit désormais recueillir l’avis du comité européen de la protection des données et solliciter l’approbation d’un comité composé de représentants des États membres de l’UE. Ce n’est qu’à l’issue de ces deux étapes que la décision d’adéquation sera adoptée. Mais tout ceci relève sans doute de la formalité.

On notera avec intérêt deux points. Tout d’abord, et pour la première fois, les décisions d’adéquation[12] comprennent une clause dite «  de caducité  », limitant strictement leur durée. Ces dernières expireront automatiquement quatre ans après leur entrée en vigueur. Afin que les choses soient claires, le communiqué de presse de la Commission[13] précise qu’au cours de cette période, la Commission « continuera de suivre la situation juridique au Royaume-Uni et pourrait intervenir à tout moment si le pays s’écarte du niveau de protection actuellement en place ». C’est suffisamment dire que le climat de confiance, quelque part entre l’euphémisme et la litote, n’est pas optimal.

Par ailleurs, les transferts aux fins du contrôle de l’immigration britannique sont exclus du champ d’application de la décision d’adéquation. Il est prévu que La Commission réévaluera la nécessité de cette exclusion. La question de l’immigration, dans le contexte du Brexit est bien évidemment primordiale s’agissant de la situation des ressortissants de l’UE.

On mesurera la distance entre ces décisions d’adéquation « politiques » et la réalité, au travers d’un rapport[14] de la « Task force on innovation, growth and regulation reform » issu d’un groupe de travail gouvernemental envisageant notamment de « remplacer le RGPD ». Pour donner le ton, il est notamment envisager de jeter aux orties l’article 22 de ce dernier, lequel exclue, de manière générale, les décisions fondées exclusivement sur des traitements automatisés affectant les individus « de manière significative  ». En lieu et place apparaîtrait une appréciation de la légitimité du traitement à l’aune de « l’intérêt public ». Dans de telles conditions, se posera la question de la mise en œuvre, à l’égard du Royaume-Uni, de la version finale des Recommandations du Comité Européen de la Protection des Données (EDPB) n° 01/2020 du 18 juin 2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données personnelles de l’UE[15].

L’exercice s’annonce très délicat, même en tenant compte d’une avancée contenue dans la version finale des recommandations du CEPD au sujet des « mesures supplémentaires visant à garantir le respect des lois sur la protection des données lors du transfert de données à caractère personnel depuis l’Europe ». Il est prévu, § 43-3 (p. 17) qu’en présence d’une législation « problématique », il est possible de décider néanmoins de procéder au transfert, pour autant que « […] you consider that you have no reason to believe that relevant and problematic legislation will be applied, in practice, to your transferred data and/or importer […] ». Etant entendu, bien évidemment, que cette évaluation soit démontrée et documentée. In fine, tout aussi évidemment, l’entreprise qui transférera des données personnelles en pareilles circonstances le fera toujours à ses risques et périls…

On saluera cet effort de pragmatisme qui n’a pas fait école dans les nouvelles clauses contractuelles types de la Commission, lesquelles (clause 14) énoncent : « Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses… ». Manquent juste deux mots : « En pratique ».

Les ingrédients d’un futur « Schrems III » ne seraient-ils pas réunis ?

2. Les clauses contractuelles types : le compte n’y est toujours pas

Le 4 juin 2021, la Commission européenne a diffusé sa décision d’exécution finale[16] adoptant de nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (ci-après les CCT II), prenant en considération les commentaires reçus lors de la consultation publique et l’avis conjoint EDPB - CEPD 2/2021[17].

• Calendrier

Ces nouvelles clauses entreront en vigueur le 20° jour suivant la publication de la décision d’exécution au Journal officiel de l’UE (article 4). Le considérant 24 de cette décision fixe un calendrier d’application complexe. Les décisions 2001/497/CE et 2010/87/UE devraient être abrogées trois mois après l’entrée en vigueur de la décision d’adéquation du 4 juin. Durant cette période, les exportateurs et les importateurs de données devraient, aux fins de l’article 46, paragraphe 1 du RGPD, « continuer de pouvoir utiliser » les clauses contractuelles types issues des décisions sus-visées.

Puis, durant une nouvelle période de 15 mois[18], les exportateurs et les importateurs de données devraient pouvoir continuer à invoquer les clauses contractuelles types dans leur ancienne version s’agissant des contrats conclus entre eux avant la date d’abrogation de ces dernières. Toutefois, la préservation de ces clauses anciennes nécessite que les opérations de traitement objets du contrat soient inchangées et, d’autre part, qu’elles garantissent que le transfert de données à caractère personnel bénéficie des garanties prévues par l’article 46-1 du RGPD[19]. La preuve de cette seconde condition, dans les circonstances actuelles, paraît, pour le moins, difficile à apporter. ll est en effet délicat d’être affirmatif sur le fait que, dans le contexte de la décision de la CJUE dite Schrems II[20], les clauses contractuelles anciennes moutures permettent, a priori, un transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers avec un « niveau de protection adéquat ». La question est de savoir si les CCT II remplissent davantage cet office.

• Champ d’application géographique

Les CCT II s’appliquent non seulement aux responsables de traitement et sous-traitants établis dans l’UE, mais également à ceux établis hors de l’UE, pour autant que leurs activités de traitement soient soumises à l’article 3, paragraphe 2 du RGPD. Sont visées les offres de biens ou de services dans l’Union, que ceux-ci soient ou non gratuits, ainsi que le suivi comportemental de personnes se trouvant sur le territoire de ladite Union.

• Une plus grande modularité

Là où les anciennes clauses ne visaient que les relations entre responsable de traitement et de responsable de traitement à sous-traitant, les CCT II ajoutent deux cas de figure, à savoir le transfert entre sous-traitants et celui d’un sous-traitant vers un responsable du traitement. L’article 5 des CCT II prévoit une clause « clause d’amarrage » permettant l’adhésion de nouvelles parties audites CCT, faculté d’extension qui pourra être appréciable en dans les relations intra-groupe afin d’intégrer par exemple une filiale. Par ailleurs, alors que les anciennes clauses contractuelles assuraient le respect d’obligations équivalentes à celles de la directive 95/46 abrogée (« directive sur la protection des données »), les CCT II visent le RGPD.

• Audit

L’article 7.6 d des CCT II prévoit que le responsable du traitement peut décider de « procéder lui-même » à l’audit ou de mandater un auditeur indépendant. Il est piquant de constater qu’au contraire, l’article 4.6 b (p. 31) du code de conduite du CIPSE[21] spécifique au mode Iaas (« Infrastructure as a Service ») du 9 février 2021[22] et entériné par la CNIL et le CEPD, se montre très réticent sur la question des audits conduits par les responsables de traitement eux-mêmes.

• L’empreinte de Schrems II

Les CCT II prennent en compte la décision d’invalidation du privacy shield de la CJUE par l’arrêt Schrems II [23], ainsi que les avis commun du Comité européen de la protection des données et du Contrôleur européen de la protection des données[24].

L’article 14 impose une évaluation de la législation, les parties devant « garantir » n’avoir aucune « raison de croire  » que les lois et pratiques applicables à l’importateur de données, y compris toute exigence concernant la divulgation ou l’accès aux données par les autorités publiques, empêchent l’importateur de données de se conformer aux nouvelles CCT. Cette évaluation devra tenir compte des circonstances spécifiques du transfert (liées notamment à la nature des données ou bien au but du traitement), de la législation et des « pratiques » du pays de destination et, enfin, de toutes mesures complémentaires mises en œuvre.

Deux remarques s’imposent. La première pour s’interroger sur l’opportunité de faire peser l’audit juridique de législations de pays tiers sur des entreprises, alors qu’une telle tâche devrait être conduite, de manière générale et uniforme, au niveau européen. La seconde pour rappeler que si ces CCT II ne valent pas uniquement pour les transferts vers les États-Unis, elles valent toutefois également pour ces derniers.

De ce point de vue, les CCT II ne sont pas d’une aide supérieure à celle apportée par les recommandations du CEPD 01/2020[25], lesquelles laissent largement peser la responsabilité de la décision du transfert sur les entreprises. On soulignera par ailleurs que dans les recommandations du CEPD, deux cas de figure sont identifiés comme ne permettant pas d’assurer une protection suffisante de données. L’un d’eux étant lorsque le « pouvoir accordé aux autorités publiques du pays destinataire pour accéder aux données transférées va au-delà de ce qui est nécessaire et proportionné dans une société démocratique » (§ 88 recommandations 01-2020)[26].

On notera que l’article 15.1 (Notification) des CCT II prévoit que l’importateur notifie à l’exportateur (i) toute « demande juridiquement contraignante émanant d’une autorité publique », ou (ii) s’il « a connaissance de tout accès direct par les autorités publiques aux données personnelles transférées conformément aux présentes clauses ». L’importateur de données doit également « contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale ».

On saluera cette volonté de transparence, tout en mesurant ses limites face à des textes américains de portée extraterritoriale. Il en est ainsi des assignations à comparaître couvertes par le USA Patriot Act, lequel prévoit des sanctions pénales pour la divulgation de l’existence d’une telle assignation à un tiers[27]. S’agissant du Cloud Act [28], une Q&A du DOJ énonce « Les fournisseurs peuvent aviser les titulaires de comptes des recherches effectuées en vertu d’une ordonnance d’un tribunal américain en vertu de la Stored Communications Act, à moins qu’un juge indépendant n’ait rendu une ordonnance de protection »[29].

II. Intelligence artificielle – « Le RGPD
de l’IA »

La Commission européenne a diffusé le 21 avril 2021 un projet de règlement « établissant des règles harmonisées concernant l’intelligence artificielle »[30] (ci-après le Projet). Face au développement croissant des technologies se réclamant de l’IA, et afin de faire face à l’avance technologique de certains acteurs, l’Europe devait réagir. Faute de le faire sur le terrain industriel, elle joue la carte du « soft power réglementaire ». Reste à savoir si ceci sera suffisant pour fonder un socle universel dans ce domaine[31]. Ce texte devrait voir le jour l’année prochaine. Sans entrer dans le détail d’un texte qui n’en est qu’à ses prémices, du moins peut-on en dégager les lignes de force.

• Un texte de portée extraterritoriale

Le Projet recoupe l’emprise territoriale du RGPD, puisque sont concernés les fournisseurs diffusant des systèmes d’IA dans l’Union, qu’ils soient établis dans l’Union ou dans un pays tiers. S’il ne prévoit pas un « guichet unique » sur le modèle du RGPD[32], le Projet envisage toutefois une coordination européenne au travers d’un Conseil Européen de l’Intelligence Artificielle (articles 56 à 59). Ce conseil aura notamment pour objet de recueillir l’expertise et les bonnes pratiques en vue de leur partage entre les États membres. Par ailleurs, ce Conseil formulera avis et recommandations, et fixera des spécifications techniques ou des normes liées aux systèmes d’IA à haut risque.

• Une interprétation extensive de l’IA

Il s’agit (art. 3 du Projet) d’un système logiciel développé à l’aide d’une ou plusieurs des techniques et approches énumérées dans une annexe I et capables, pour un ensemble donné d’objectifs définis par l’homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent. Parmi les « approches » on trouve pêle-mêle le machine learning [33], les systèmes experts et les statistiques. Autant dire que, potentiellement, pourraient rentrer dans le périmètre du texte un grand nombre de techniques qui, intuitivement, ne sont pas associées à l’image que l’on se fait d’une intelligence artificielle. Le recensement risque d’être complexe.

• Une approche par les risques

Le projet de règlement distingue les niveaux de risques de l’IA, depuis les IA prohibées[34] dont l’utilisation présente une menace évidente pour la sécurité, les moyens de subsistance et le droit des personnes, jusqu’aux IA à risque limité ou faible[35], en passant l’IA dite à « haut risque »[36]. Sont notamment tels, les systèmes d’IA établissant des scores de crédit, ou bien encore ceux utilisés dans le domaine de la gestion des ressources humaines. Cette dernière catégorie d’IA est celle qui potentiellement présente le plus grand intérêt pour le secteur financier.

La conséquence directe de cette qualification est la nécessité de satisfaire à d’abondantes obligations concernant les procédures de gestion des risques, avec notamment la préoccupation de la qualité des jeux de données[37] qui doivent être « exempts d’erreurs » (sic)[38]. Cette exigence de données « zéro défaut » semble très délicate à satisfaire et soulève des difficultés pratiques importantes. Par ailleurs, de manière globale, la notion de conduite éthique est fortement présente[39] avec des évaluations de conformité avant mise en marché (articles 19 et 43), mais aussi la surveillance post-commercialisation et des actions correctives (articles 21 et 61). Ainsi, après le recensement des systèmes d’IA, viendra le temps de la catégorisation en fonction des segments proposés par le Projet.

• Une forte demande : la transparence et l’accountability

En ce qui concerne l’accountability (la capacité à rendre compte de ses diligences), le Projet est riche d’exigences dans le domaine documentaire[40] avec notamment la tenue de registres, afin de garantir la traçabilité des IA à haut risque, tout au long de leur cycle de vie.

Les exigences de gouvernance se traduisent notamment par une évaluation de la conformité avant la mise sur le marché (articles 19 et 43). Celle-ci peut être une auto-évaluation ou bien être issue d’un « organisme notifié » (en fonction du type de système). Cette évaluation concerne aussi les modifications substantielles[41] d’une IA à haut risque. On notera que s’agissant des IA en matière d’évaluation de la solvabilité (annexe III pt 5 b), l’évaluation devra être conduite selon les dispositions des articles 97 à 101 de la directive 2013-36 (CRD IV). La conduite d’une analyse d’impact préalable, sur le fondement du RGPD, est rappelée à l’article 29 du Projet[42]. En tout état de cause, le « croisement ou combinaison de données », ainsi que « l’évaluation/scoring (y compris le profilage) » sont au nombre des traitements devant donner lieu nécessairement à une analyse d’impact sur la protection des données personnelles[43].

Cette surveillance s’étend à la « post-commercialisation » et aux actions correctives (articles 21 et 61) afin d’analyser de manière proactive les données des systèmes d’IA mis en marché et de vérifier, en permanence, leur conformité. Cette surveillance peut conduire au retrait du système du marché. Ces exigences de gouvernance ne sont pas sans évoquer les exigences de l’arrêté contrôle interne[44], mais également celles des orientations de l’EBA sur la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité[45].

En matière de transparence, le Projet rejoint les préoccupations du considérant 63 du RGPD évoquant le droit d’être informé sur « la logique qui sous-tend » un traitement automatisé et «   les conséquences que ce traitement pourrait avoir, au moins en cas de profilage », dans le respect du secret des affaires ou de la protection de la propriété intellectuelle. Se posera la question délicate de «  l’explicabilité » de l’IA[46], terme polysémique se heurtant à des réalités opérationnelles variées. Ainsi, le fonctionnement des réseaux neuronaux est-il délicat à appréhender « […] l’une des forces des algorithmes de reconnaissance d’image par apprentissage est de reconnaître une chaise sans nécessairement utiliser les concepts de pied, d’assise, de dossier […] de ce fait, l’algorithme peut difficilement expliquer les raisons pour lesquelles il a identifié une chaise dans une image »[47]. On peut se demander si le Projet ne sombre pas dans un fétichisme de la transparence dans un domaine où tout ne peut pas être expliqué. Si l’on ne peut expliquer totalement un modèle, du moins doit-on en assumer les conséquences, la responsabilité contrebalançant l’opacité.

Cette responsabilité sera l’objet d’un texte ultérieur[48], avec un risque d’émergence d’une responsabilité « objective ». Ainsi l’article 4.1 de la Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission sur un régime de responsabilité civile pour l’intelligence artificielle[49] prévoit que « L’opérateur d’un système d’IA à haut risque est objectivement responsable de tout préjudice ou de tout dommage causé par une activité, un dispositif ou un procédé physique ou virtuel piloté par un système d’IA ».

• Une supervision ad hoc

L’article 59 du Projet prévoit la désignation d’autorités nationales compétentes en matière d’IA, lesquelles auront notamment pour objet de fournir « des orientations et des conseils sur la mise en œuvre » du règlement. L’article 63-4 précise, s’agissant des systèmes d’IA « mis sur le marché, mis en service ou utilisés par des établissements financiers » que l’autorité compétente est celle en charge de la surveillance financière de ces établissements en vertu de cette législation.

• Une expérimentation encadrée

Le Projet vise la mise en place par les autorités nationales compétentes de « Sandbox réglementaires » (bacs à sable) afin de tester des technologies innovantes pendant une durée limitée, sur la base d’un plan d’essai convenu avec les autorités compétentes (Articles 53 à 55). Ce dispositif doit permettre des contrôles efficaces afin de détecter des risques élevés pour les droits fondamentaux des personnes concernées et de les atténuer rapidement, l’arrêt du traitement pouvant être décidé. Une description complète et détaillée du processus et du raisonnement qui sous-tend la formation, les tests et la validation du système d’IA est conservée avec les résultats des tests. Un bref résumé du projet d’IA développé dans le bac à sable, de ses objectifs et des résultats attendus, donne lieu à publicité.

• De lourdes sanctions

Le RGPD a inspiré la Commission qui envisage un dispositif répressif dissuasif cas de non-respect, en proposant des sanctions particulièrement lourdes (articles 71 à 72[50]).

Ainsi une amende administrative de 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial de l’entreprise est-elle prévue pour les infractions relatives à l’article 5 (IA prohibée), et surtout celle relative à la gouvernance des données, visée à l’article 10. Une disposition balai vise les autres infractions, passibles d’une amende administrative de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. Enfin, la communication d’informations incorrectes, trompeuses, ou incomplètes aux organes en charge de la supervision des systèmes d’IA pourra donner lieu à une amende administrative de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise.

Le qualificatif d’amende administrative, au vu de l’ampleur, au moins potentiel, de la sanction, suscite la réflexion au regard de la jurisprudence issue de la Cour EDH qui a adopté une interprétation extensive et autonome de la notion de « matière pénale ». Elle a ainsi défini, dans son arrêt Engel [51], au travers de trois critères permettant d’apprécier si une infraction relève ou non de la matière pénale au sens de la Convention EDH. Ces critères sont la qualification de la mesure litigieuse en droit interne, la nature de celle-ci, et enfin la nature et le degré de sévérité de la sanction. En l’absence de privation de liberté, la Cour estime que des sanctions entraînant des conséquences financières importantes peuvent être qualifiées de sanctions pénales[52]. La question n’est certes pas nouvelle, mais elle se manifeste ici avec une acuité particulière face à des systèmes qui ne sont pas techniquement compatibles avec la totalité des exigences de l’article 10[53].

 

Aux États-Unis, la Federal Trade Commission a diffusé le 19 avril 2021 un document, « Aiming for truth, fairness, and equity in your company’s use of AI », présentant les sept attentes de la FTC en matière d’utilisation responsable de l’IA. Ce document fait suite à une demande d’information du 29 mars 2021, issue de cinq régulateurs fédéraux américains sollicitant des commentaires sur l’utilisation de l’IA par les institutions financières[54]. Ces demandes portent sur les exemples de la manière dont l’IA est utilisée par lesdites institutions et identifier tant les risques les plus importants liés à l’IA, que les lois applicables. Au Royaume-Uni, l’Information Commissioner’s Office a lancé une consultation le 19 avril 2021 «  AI and Data Protection Risk Mitigation and Management Toolkit ». Cette boîte à outils entend fournir des éléments de réflexion en matière de risques.

III. Cyber EO - Passent les présidents, demeure la protection des intérêts vitaux de la Nation

À la suite d’attaques récentes sur des systèmes d’information du gouvernement américain (piratage massif de SolarWinds) ou d’infrastructures critiques (Colonial Pipelines), l’executive order (décret présidentiel) « Improving the Nation’s Cybersecurity (EO) [55] » ou cyber EO du 12 mai 2021 prescrit diverses mesures destinées aux agences fédérales et s’articulant autour de quatre thèmes généraux[56]. A priori, rien dans ce texte qui puisse directement concerner les banques. Toutefois, cet EO a vocation à produire ses effets au-delà du cercle des fournisseurs technologiques, cloud providers compris, des agences fédérales.

Tout d’abord, le «  fact sheet  »[57] de la Maison Blanche appelle globalement les entreprises à « suivre l’exemple du gouvernement fédéral et à prendre des mesures ambitieuses pour augmenter et aligner les investissements en matière de cybersécurité dans le but de minimiser les incidents futurs  ». Parmi ces entreprises, sont certainement visées celles considérées comme infrastructures critiques[58], dont notamment le secteur des services financiers[59].

Cet appel prend toute sa dimension à la lecture de la section relative au partage d’informations entre le secteur privé et l’administration. Le cyber EO a, notamment, pour objet d’éliminer les barrières contractuelles au partage des informations[60] concernant les « cyber-menaces » avec les agences fédérales, y compris le FBI et la Cybersecurity and Infrastructure Security Administration (CISA). Les clauses qui seront imposées aux grands fournisseurs du gouvernement US (dont les GAFAM) relanceront sans doute les discussions au sujet de la protection des données personnelles[61].

Par ailleurs, des textes vont intervenir suite à ce cyber OE du 12 mai, notamment afin de régler la question des doublons réglementaires. Pour mémoire, la Securities and Exchange Commission (SEC)[62] exige, depuis janvier 2018, des sociétés cotées qu’elles publient des informations officielles sur les incidents de cybersécurité « importants ». La SEC devra sans doute définir la « matérialité » de ces incidents en fonction de seuils précis à définir par le régime successeur de la PPD-41[63].

Enfin, notons que la section 4 point « w » du cyber EO prévoit que, dans un délai d’un an à compter de la date de ce dernier, le directeur du National Institute of Standards and Technology (NIST) procédera à un examen des programmes pilotes, consultera le secteur privé et les agences concernées afin d’évaluer leur efficacité, déterminera les améliorations à apporter à l’avenir et soumettra un rapport de synthèse à l’APNSA[64]. Dans le domaine de l’Internet des objets (IOT), cette même section 4, point « t » prévoit que dans un délai de 270 jours à compter de la date du cyber EO, le secrétaire au commerce, agissant par l’intermédiaire du directeur du NIST, en coordination avec le président de la Federal Trade Commission (FTC), définira les critères de cybersécurité de l’IoT en vue d’un programme d’étiquetage destiné aux consommateurs. La présence du NIST est loin d’être anodine, cet organisme de certification est notamment mentionné dans un « Occasional Paper » du Groupe d’experts du G-7 sur le cyberespace (CEG)[65] destiné à établir une taxinomie des cyberincidents affectant le secteur financier, pour une meilleure mesure de leur impact.

Tout ceci va sans doute conduire à l’émergence, outre-Atlantique, de nouveaux standards sécuritaires, y compris dans le domaine de la coopération et du « partage » d’informations. On ne peut exclure que ces standards s’imposent, de proche en proche, au-delà de leurs domaines d’application initiaux et au-delà des frontières des États-Unis. n

Brexit – Clauses contractuelles type – Adéquation – Executive order
– Intelligence artificielle.

 

 

1. . https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_661.

 

2. . Directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

 

3. . https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juillet-2021.

 

4. . https://www.europarl.europa.eu/doceo/document/TA-9-2021-0262_FR.html.

 

5. . Notamment l’arrêt du 16 juillet 2020 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (dit Schrems II).

 

6. . CEDH 25 mai 2021, Big Brother Watch et autres c/ Royaume-Uni, req. N° 58170/13, 62322/14 et 24960/15 et CEDH 25 mai 2021, Centrum för Rättvisa c/ Suède, req. n° 35252/08. Le second arrêt valide la légalité du transfert de données vers des pays tiers du résultat de cette surveillance, sous la réserve toutefois de garanties adéquates. Cf. le Q&A des arrêts : https://www.echr.coe.int/Documents/Press_Q_A_Big_Brother_Watch_Others_Centrum_for_rattvisa_FRA.pdf.

 

7. . Article 8 garantissant le droit au respect de la vie privée et article .10 la liberté d’expression.

 

8. . https://www.legislation.gov.uk/ukpga/2000/23/contents.

 

9. . Tele2 Sverige AB v Post-och telestyrelsen and Secretary of State for the Home Department v Tom Watson, Peter Brice, Geoffrey Lewis du 21 décembre 2016.

 

10. . https://www.independent.ie/business/brexit/irish-civil-rights-body-says-post-brexit-uk-should-be-denied-eu-data-transfers-39612352.html. Courrier adressé à trois commissaires européens clés, Margrethe Vestager (concurrence et numérique), Didier Reynders (justice) et Thierry Breton (marché intérieur).

 

11. . Décision d’adéquation du 28 juin 2021 – https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3183.

 

12. . L’une pour le RGPD et l’autre pour la protection des données dans le domaine répressif.

 

13. . https://ec.europa.eu/commission/presscorner/detail/fr/IP_21_3183.

 

14. . https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/994125/FINAL_TIGRR_REPORT__1_.pdf.

 

15. . Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – European Data Protection Board (europa.eu). Cette version amende marginalement la version de novembre 2020.

 

16. . Décision d’exécution 2021/915 du 4 juin 2021

 

17. . https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_fr.

 

18. . Débutant après les 20 jours et 3 mois.

 

19. . « Le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. »

 

20. . Arrêt dans l’affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland (arrêt Schrems II).

 

21. . Cloud Infrastructure Services Providers in Europe.

 

22. . Approbation CNIL du 11 juin 2021 : https://www.cnil.fr/fr/la-cnil-approuve-le-premier-code-de-conduite-europeen-dedie-aux-fournisseurs-de-services - Avis favorable du CEPD : Opinion 17/2021 on the draft decision of the French Supervisory Authority regarding the European code of conduct submittedby the Cloud Infrastructure Service Providers (CISPE) - Adopted on 19 May 2021.

 

23. . CJUE 16 juillet 2020 affaire C‑311/18 (dite « Schrems II »).

 

24. . Avis conjoint 2/2021 sur les CCT pour le transfert de données à caractère personnel vers des pays tiers du 14 janvier 2021 et dans le projet de Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE de novembre 2020. Cf. E. jouffin « Le transfert des données vers les USA – La protection de la vie privée est-elle dans une impasse ? » Banque & Droit n°HS-2021-1, p 37.

 

25. . Recommandation 01-2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel dans l’UE - Recommandations 02-2020 sur les garanties essentielles européennes pour les mesures de surveillance.

 

26. . Cf. infra « III – Cyber EO – Passent les présidents, demeure la protection des intérêts vitaux de la Nation ».

 

27. . 18 USC § 2709 (c) - https://codes.findlaw.com/us/title-18-crimes-and-criminal-procedure/18-usc-sect-2709.html

 

28. . Le Clarifying Lawful Overseas Use of Data Act : loi du 23 mars 2018 amendant la loi SCA (Stored Communications Act) permettant la collecte d’information à l’occasion d’enquêtes visant des « serious crimes » aux contours incertains.

 

29. . White paper Q&A 28 - https://www.justice.gov/dag/page/file/1153466/download.

 

30. . Com(2021)206 final.

 

31. . On notera des textes précurseurs en matière de « robot » : en Corée du sud une Charte éthique des robots « Intelligent robots development and distribution promotion act » de 2008, mis à jour le 6 janvier 2016 et, en avril 2016, le British Standards Institue a publié un document intitulé « Robots and robotic devices. Guide to the ethical design and application of robots and robotic systems ». Ce texte n’a pas de valeur juridique mais expose des recommandations aux créateurs de robots.

 

32. . Dispositif de coordination (art. 4.23) ayant vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Une autorité « chef de file » est désignée, c’est-à-dire l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.

 

33. . Apprentissage machine, qu’il soit ou non supervisé.

 

34. . Article 5 : Scoring social, manipulation subliminale des personnes, identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins de maintien de l’ordre notamment.

 

35. . Article 52 : les assistants virtuels notamment.

 

36. . Articles 6 à 51.

 

37. . En lien avec les standards BCBS 239 (Basel Committee on Banking Supervision) publiés en 2013 fixant une série de principes incitant les banques à produire des reporting réglementaires qualitatifs et à améliorer la qualité de leurs données.

 

38. . Article 10-3.

 

39. . En dernier lieu, le livre blanc de la Commission « Intelligence artificielle - Une approche européenne axée sur l’excellence et la confiance » - 19 février 2020 - COM(2020) 65 final.

 

40. . Tenue de registres et fourniture d’informations sur demande, coopération, conservation des documents : articles 11, 12, 18, 20, 23 et 50.

 

41. . Considérant 23 et article 43.

 

42. . Cf. G29 Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 mise à jour le 6 février 2018 ; CNIL Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

 

43. . Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

 

44. . Article 270-2 de l’arrêté (cf. § 10 à 13, puis 15 à 24 des orientations ABE) s’agissant du cadre de gestion du risque informatique.

 

45. . EBA/GL/2019/04.

 

46. . M. Teller : Ethique & I.A. : Un préambule pour un autre droit, hors-série Banque et Droit I&A et finance, octobre 2019, p. 38 ; X. Vamparis, « Ethique de l’intelligence artificielle : expliquer “l’explicabilité” », Revue Banque n° 842 ; E. Caprioli, « Profilage et algorithmes dans la banque (Brèves réflexions juridiques) », Hors-série Banque et Droit protection des données personnelles, mars-avril 2017, p. 28.

 

47. . CERNA, Ethique de la recherche en apprentissage-machine, juin 2017, p. 21. Cité par X. Vamparis supra.

 

48. . La Commission européenne a ouvert une consultation d’analyse d’impact afin « d’adapter les règles de responsabilité à l’ère numérique et à l’économie circulaire l’IA » du 30 juin jusqu’au 28 juillet 2021.

 

49. . https://www.europarl.europa.eu/doceo/document/TA-9-2020-0276_FR.html.

 

50. . Ce dernier vise les sanctions prononcées par le Contrôleur européen de la protection des données aux institutions, agences et organes de l’Union.

 

51. . CEDH, 8 juin 1976, Engel et a. c/ Pays-Bas.

 

52. . CEDH, 11 septembre 2009, Dubus SA c/ France et CEDH, 26 septembre 2000, Guisset c/ France.

 

53. . Cf. ci-dessus nos commentaires « Une forte demande : la transparence et l’accountability ».

 

54. . https://www.federalregister.gov/documents/2021/03/31/2021-06607/request-for-information-and-comment-on-financial-institutions-use-of-artificial-intelligence.

 

55. . https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.

 

56. . Augmentation du partage d’informations entre le secteur privé et le gouvernement fédéral (section 2) ; renforcement de la sécurité des logiciels achetés par les agences fédérales (section 4) ; création d’un comité d’examen de la cybersécurité (section 5) et amélioration de la posture de cybersécurité du gouvernement fédéral (section 3 et sections 6 à 9).

 

57. . https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/fact-sheet-president-signs-executive-order-charting-new-course-to-improve-the-nations-cybersecurity-and-protect-federal-government-networks/.

 

58. . Comme c’est le cas avec la directive du département américain de la sécurité intérieure applicable depuis le 28 mai 2021 imposant des exigences obligatoires en matière de cybersécurité aux entreprises du secteur des pipelines. https://www.dhs.gov/news/2021/05/27/dhs-announces-new-cybersecurity-requirements-critical-pipeline-owners-and-operators.

 

59. . https://www.cisa.gov/critical-infrastructure-sectors.

 

60. . Section 2 : « Removing these contractual barriers and increasing the sharing of information about such threats, incidents, and risks are necessary ».

 

61. . Ceci repose notamment sur une loi de 2015 relative au partage des informations sur la cybersécurité (CISA S. 2588 [113^e Congrès], S. 754 [114^e Congrès]) visant à « améliorer la cybersécurité par un meilleur partage de l’information sur les menaces de cybersécurité et à d’autres fins ». Cette loi permet le partage de l’information sur le trafic Internet entre le gouvernement américain et les entreprises technologiques et manufacturières.

 

62. . https://www.sec.gov/rules/interp/2018/33-10459.pdf.

 

63. . Presidential Policy Directive - United States Cyber Incident Coordination ; https://obamawhitehouse.archives.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident.

 

64. . L’assistant du président et conseiller en sécurité nationale.

 

65. . https ://graces.community/en/acpr-bdf-a-g-7-cegs-occasional-paper-proposal-for-a-common-categorisation-of-it-incidents/.