Le développement de l’usage des intelligences artificielles
[1]
(ci-après les « IA ») permettant d’exploiter et d’analyser en un temps record et de manière inédite des données en masse nourrit les débats et questionne tant sur le plan éthique
[2]
que juridique
[3]
. Si leur traitement n’implique pas toujours le traitement de données à caractère personnel et peut viser à générer des connaissances générales, beaucoup d’usages ont pour objectif d’inférer des connaissances sur les individus et sont soumis de ce fait à la législation en matière de protection des données personnelles
[4]
, notamment au RGPD.
L’usage des IA suscite des craintes justifiées, nonobstant les avantages attendus. En effet, si elles peuvent être utilisées au bénéfice des individus (avancée en matière de détection de cancer, par exemple), elles le sont également pour évaluer les individus à des fins commerciales ou publicitaires ou encore en tant qu’aide à la prise de décision dans l’octroi d’un crédit, d’une assurance, le recrutement d’un candidat… La crainte provient également d’un caractère inhérent aux Big Data : la centralisation de grandes masses de données générant des risques importants de sécurité et plus largement de perte de contrôle pour les individus
[5]
.
La nécessité d’offrir une protection aux individus face aux nouvelles formes et capacités de traitement est ainsi, assez naturellement, l’un des piliers de la réforme du cadre européen de la protection des données personnelles qui s’est traduit par l’adoption en 2016 du RGPD. L’introduction de dispositions visant spécifiquement la massification du traitement des données et le profilage des individus
[6]
, l’obligation de mettre en œuvre des mesures de protection des données par défaut et protection des données dès la conception
[7]
et l’obligation de formaliser des analyses d’impact sur la protection des données traduisent cette prise en compte.
Par souci de concision, la présente contribution sera centrée sur la façon dont le droit de la protection des données à caractère personnel, appréhende les IA, en consacrant un droit au non-profilage (I.), ainsi qu’en analysant leur légitimité au travers du prisme des principes généraux de finalité et de minimisation, ainsi que de loyauté et de responsabilité (II.).
I. La consécration d’un droit au non-profilage
La particularité des IA au regard des autres technologies de traitement de données serait constituée notamment par les éléments suivants
[8]
: le caractère imprévisible des résultats du jeu des algorithmes (génération automatique de corrélations à partir desquelles sont déduites ou inférées de nouvelles données), l’opacité du traitement des données (phénomène de « boîte noire ») rendant très difficile l’identification des raisons conduisant au résultat produit, tendance à utiliser toutes les données disponibles sans limites et de façon quasi instantanée (volume, variété et vélocité), disruption dans la finalité des traitements, les données générant des connaissances nouvelles utilisées pour des finalités inattendues.
À ces caractéristiques doivent être ajoutés des risques spécifiques, ou en tout cas amplifiés, par les IA : propension à générer des biais pouvant conduire à des discriminations
[9]
, exacerbée par une croyance en l’objectivité des algorithmes
[10]
, enfermement algorithmique, manque de qualité des données (données erronées, périmées ou corrompues) entraînant des erreurs ou des dysfonctionnements plus ou moins graves
[11]
, hypertrophie de la sphère privée créée par l’intensification de la personnalisation algorithmique des environnements et interactions numériques
[12]
, atteinte à la dignité humaine ou déshumanisation
[13]
, impossibilité de contester une décision…
Pour contrer ces risques, les individus se voient reconnaître des droits par la législation en matière de protection des données personnelles. En premier lieu, le droit à l’autodétermination informationnelle introduit en 2016 à l’article 1er de la loi Informatique et libertés
[14]
confère aux individus le droit de « décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant ». Ce droit sert de clé de lecture des autres droits et principes de protection contenus dans le RGPD et la Loi Informatique et libertés. Il se décline notamment en un droit au non-profilage qui a plusieurs facettes. En premier lieu, un droit discrétionnaire et spécifique d’opposition à ce que le profilage soit utilisé à des fins de prospection commerciale, a été instauré par l’article 21, 2°) du RGPD, en complément du droit à ne pas faire l’objet de sollicitations commerciales et du droit d’opposition général prévu à l’article 21,1°) du RGPD. Ce dernier permet aux individus d’invoquer leur situation personnelle pour s’opposer à un traitement de leurs données à caractère personnel, y compris lorsque celui-ci est réalisé à des fins statistiques ou de recherche scientifique, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public (article 21, 6° du RGPD).
En second lieu, le droit au non-profilage résulte également de l’obligation, dans certains cas, d’obtenir le consentement express et parfois explicite de la personne concernée pour traiter ses données à des fins de profilage, en raison du caractère excessivement intrusif du profilage
[15]
. Ce caractère intrusif est présumé lorsque le traitement a pour objet la prise de décision automatisée ou a des conséquences affectant les individus de manière similaire.
Le profilage d'une personne à des fins de prise de décision automatisée ou produisant des effets juridiques affectant « de manière significative de façon similaire »
[16]
est ainsi interdit
[17]
par principe par le RGPD (article 22), tout comme auparavant par la directive 95/46/CE et la Loi Informatique et libertés. Cette interdiction n’est toutefois pas absolue. Des exceptions s’appliquent ainsi lorsque le traitement est nécessaire à la conclusion ou à l'exécution d'un contrat avec la personne concernée, ou dans l’hypothèse d’une autorisation législative
[18]
; ou encore lorsque la personne a explicitement (et librement) consenti
[19]
au traitement. Ces exceptions ne s’appliquent toutefois que moyennant un certain nombre de garanties : la reconnaissance d’un droit à une intervention humaine, d’un droit de discussion et de contestation de la décision. S’ajoutent à ces garanties, pour les traitements fondés sur la nécessité contractuelle : la démonstration du caractère nécessaire du traitement au regard des autres méthodes tout aussi efficaces et moins intrusives pouvant être utilisées
[20]
; pour ceux fondées sur l’autorisation législative : l’exigence de garanties pour la sauvegarde des droits et libertés de la personne
[21]
; et pour ceux fondés sur le consentement : la démonstration du fait que la personne concernée dispose d’une véritable liberté de choix après avoir été parfaitement informée sur le traitement. Ces exigences visent à limiter les risques présentés par l’utilisation des IA.
II. Les IA au prisme avec les principes généraux du droit de la protection des données à caractère personnel
La législation en matière de protection des données personnelles fixe un certain nombre de principes (finalité, transparence, minimisation, exactitude, durée de conservation limitée, sécurité et responsabilité) qui s’appliquent à la mise en œuvre des AI dès lors que des données à caractère personnel sont utilisées ou produites ou que le résultat des IA est opposé aux individus de manière individuelle. Ces principes s’appliquent tant à la phase de conception (accumulation de données et traitement pour produire des corrélations), qu’à la phase d’application (utilisation pour révéler des informations sur les personnes ou prendre des décisions ou autres mesures les affectant) et leur respect conditionne la licéité de l’utilisation des AI visant à générer des connaissances individuelles.
1. La réutilisation des données par les IA et les principes de finalité et minimisation
L’usage des données à caractère personnel par les IA questionne en premier lieu les principes de finalité et de minimisation. Aux termes des dispositions de l’article 5, 1°, a) et c) du RGPD, des données à caractère personnel doivent être collectées et traitées pour une finalité déterminée, explicite et légitime, ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité, et doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Ces dispositions sont destinées à prévenir tant la collecte que la réutilisation arbitraire de données à caractère personnel et garantissent en réalité l’absence de surveillance généralisée des personnes
[22]
et la loyauté du traitement vis-à-vis des personnes concernées
[23]
.
Le respect de ces principes peut toutefois paraître comme un obstacle au développement des IA dans la mesure où il est attendu de ces dernières qu’elles analysent le plus de données possible dans l’espoir qu’elles révèlent des corrélations inattendues pouvant conduire à un usage nouveau des données ou des connaissances nouvelles. Tel n’est pas le cas. Le RGPD prévoit en effet une certaine flexibilité concernant l’usage ultérieur, ainsi que des dérogations permettant de tenir compte des particularités des IA tout en assurant le respect des droits et libertés des personnes à l’égard du traitement de leurs données à caractère personnel.
Ainsi, c’est par la réalisation d’un « test de compatibilité »
[24]
que le respect du principe de finalité sera assuré. À cet égard, le RGPD n’impose pas que les données soient utilisées pour la même finalité, mais uniquement que la nouvelle finalité, s’il y a lieu, soit compatible avec celle ayant permis la collecte. D’une manière générale, le traitement sera considéré comme compatible s’il est dans le prolongement de la finalité du traitement de base
[25]
, qu’il ne porte pas sur des données sensibles ou des données relatives à des condamnations pénales et des infractions telles que définies aux articles 9 et 10 du RGPD, que les conséquences pour la personne concernée ne sont pas excessives au regard du contexte de la relation, des droits, libertés et des intérêts de la personne concernée
[26]
et que des garanties particulières, telles la pseudonymisation ou le chiffrement
[27]
, permettant d’assurer le respect des principes de finalité, minimisation et sécurité sont mises en œuvre. La réalisation du « test de compatibilité » s’inscrit pleinement dans la démarche de responsabilité (accountability) introduite par le RGPD et sera au cœur de la formalisation de l’analyse d’impact sur la protection des données (AIPD)
[28]
qui devra être entreprise pour démontrer la conformité du traitement.
L’article 5, 1°, b) du RGPD pose par ailleurs une présomption de compatibilité pour les traitements réalisés à des fins de recherche scientifique ou historique ou à des fins statistiques, dès lors que sont mises en œuvre les garanties appropriées prévues à l’article 87 du RGPD (dont notamment pseudonymisation pour assurer le respect du principe de minimisation, séparation fonctionnelle entre la phase de conception et d’application pour assurer le respect du principe de finalité…). Il est donc tentant de faire entrer les traitements mis en œuvre dans la phase de conception des IA dans le champ d’application de la présomption bénéficiant aux traitements à des fins de statistiques ou de recherche scientifique
[29]
et ce, d’autant que, lorsque l’usage est reconnu compatible, le traitement ultérieur peut reposer sur la même base juridique
[30]
que le traitement initial (notamment intérêt légitime ou consentement dans le secteur privé et poursuite d’une mission d’intérêt général dans le secteur public). Toutefois, le 162e considérant du RGPD conditionne la reconnaissance de la finalité statistique à ce que le « résultat du traitement ne constitue pas des données à caractère personnel mais des données agrégées et que ce résultat ou ces données à caractère personnel ne soient pas utilisés à l’appui de mesures ou de décisions concernant une personne physique en particulier »
[31]
. Cette double exigence peut mettre à mal la possibilité d’invoquer la présomption de compatibilité pour les systèmes reposant sur des IA si les données utilisées dans la phase de conception sont conservées sous une forme non agrégée. Elle est par ailleurs clairement écartée dans l’hypothèse d’une finalité statistique pour la phase application lorsque des algorithmes prédictifs sont utilisés à des fins de prise de décision.
Le RGPD offre une voie de sortie lorsque la finalité du traitement paraît incompatible en prévoyant que le traitement peut quand même avoir lieu avec le consentement de la personne concernée ou en conséquence d’une obligation légale
[32]
.
Il peut toutefois paraître difficile d’exploiter ces possibilités, soit parce qu’aucun texte ne prévoit le traitement, soit les conditions permettant d’obtenir un consentement valide ne sont pas réunies
[33]
. La solution, en pareil cas, sera soit de revoir les conditions du traitement afin de rendre le traitement compatible (par exemple en assurant la pseudonymisation les données ou en modifiant les effets du traitement sur les personnes), soit plus radicalement d’anonymiser les données. Dans tous les cas, l’analyse devra se faire au cas par cas
[34]
. Il y a toutefois une très forte incitation à ce que les traitements réalisés à l’aide des IA soient effectués à l’aide de données anonymisées ou tout au moins pseudonymisées, notamment dans la phase de conception. Une deuxième série de principes doit être respectée pour assurer la conformité des IA avec la législation en matière de protection des données personnelles et en particulier prévenir le biais algorithmique.
2. Le biais algorithmique à l’épreuve des principes de loyauté, d’exactitude et de responsabilité
L’article 5, a) du RGPD pose l’obligation d’assurer un traitement licite, loyal et transparent des données à caractère personnel. Cette exigence impose de tenir compte des intérêts des personnes concernées, ainsi que des attentes raisonnables de ces personnes vis-à-vis des traitements fondés sur l’intérêt légitime
[35]
. Le RGPD (articles 13 et 14) prévoit ainsi l’information des personnes, tout au long du traitement, sur l’existence et les caractéristiques des traitements (responsable de traitement, finalité, base juridique, destinataires, durée de conservation…), ainsi que sur les droits qu’elles tiennent du RGPD, et, en cas d’existence d’une prise de décision automatisée, prévoit un droit à l’explication (information sur la logique sous-jacente) et les conséquences du traitement à leur égard
[36]
. La reconnaissance d’un droit à l’explication pose des difficultés aux acteurs notamment s’agissant des algorithmes apprenants sans intervention humaine compte tenu du phénomène de la « boîte noire » déjà évoqué. Toutefois, cette difficulté n'est pas insurmontable, car ce n’est pas tant la présentation de fonctionnement interne de l’algorithme qui est attendue (il serait d’assez peu d’utilité pour les personnes concernées qui n’ont en principe pas les connaissances permettant de le comprendre) que la communication de la nature des données utilisées et l’objectif d’apprentissage inculqué
[37]
. Il doit être possible de présenter une explication simple dans tous les cas
[38]
.
Par ailleurs, la nécessité de protéger les personnes des conséquences du biais algorithmique est spécifiquement prise en compte par le RGPD
[39]
qui appelle à la mise en œuvre de moyens permettant de réduire les risques d’erreurs ou de discrimination, afin de permettre un traitement équitable et transparent à l'égard de la personne concernée. Cette obligation de prévenir les risques d’erreurs (qui s’impose notamment dans la phase de conception où les moteurs d’IA sont entraînés) découle tout autant du principe d’exactitude, l’article 5, 1°), d du RGPD imposant, lorsque les conditions du traitement l’exigent, la vérification de la qualité des données.
Dans le contexte des IA, le traitement sera considéré comme loyal s’il est possible de démontrer que l’algorithme fait (exclusivement) ce qu’il est censé faire et qu’il ne reproduit pas les biais présents dans la société
[40]
. La nécessité de disposer de systèmes capables d’auditer les algorithmes découle ainsi directement non seulement de l’application du principe de loyauté, d’exactitude, mais aussi du principe de responsabilité (accountability) définie aux articles 5, 2°) et 24 du RGPD et qui impose de pouvoir démonter la conformité. D’aucuns opposeront le phénomène de la « boîte noire » évoqué plus haut pour considérer qu’un tel audit n’est techniquement pas envisageable, les corrélations étant inférées par les IA selon des règles créées par ces dernières et sans qu’il soit possible à l’intelligence humaine de comprendre le procédé ayant conduit à l’inférence. Toutefois, il est avancéque l’évolution de la recherche pourrait permettre de mettre au point des systèmes d’audits performants et adaptés aux AI
[41]
, l’audit ne nécessitant pas nécessairement de reconstituer un « raisonnement » ou une causalité faisant défaut en l’occurrence. Ainsi, le rapport Villani évoque la possibilité d’auditer les algorithmes, par exemple en soumettant de multiples fausses données d’entrées, à créer de très nombreux profils d’utilisateurs du système suivant des caractéristiques précises…
III. Conclusion
Le droit de la protection des données encadre ainsi de manière assez exigeante et complète l’usage des IA dans ses implications individuelles. Il peut donc se concevoir comme une forme de résistance aux tentatives d’opposer la gouvernance des algorithmes à l’état de droit
[42]
. Toutefois, l’encadrement des IA par le droit de la protection des données ne couvre pas toutes les facettes des IA, la législation en matière de protection des données personnelles ne s’appliquant que pour autant que des données à caractère personnel sont concernées et uniquement dans une perspective individualiste. Ne sont notamment pas pris en compte les impacts des algorithmes traitant des données non personnelles ou les effets sociétaux ou collectifs. Il ne résout pas plus tous les problèmes de responsabilité pouvant se poser, notamment le partage de responsabilité entre les différents acteurs (responsable de traitement, sous-traitant et aussi programmeur) notamment au regard de l’obligation de tenir compte du principe de protection dès la conception (« privacy by design ») qui bien que prévue par le RGPD n’impose aucune obligation aux concepteurs des IA. Une des pistes pourrait consister à étendre à toutes les IA l'application de certains des mécanismes prévus par la législation en matière de protection des données personnelles, comme le principe de responsabilité (accountability), la place des mécanismes de certification et de labélisation, apportant des assurances d’audibilité et de traçabilité destinées notamment à démontrer l’absence de biais et l’efficacité des IA.
1
L’usage du pluriel sera préféré dans la mesure où l’expression « intelligence artificielle » renvoie à des technologies différentes (logiciels d’automatisation et de robotisation, algorithmes apprenants ou « machine learning », supervisé ou non par un humain, simple ou profond…), v., dans ce même numéro, la contribution de Jean-Michel Lefevre, « Petit lexique de l'IA ».
2
La présente contribution se centrera sur les enjeux juridiques. Sur les enjeux éthiques, v., dans ce même numéro, la contribution de Marina Teller, « Éthique de l’IA ».
3
V. pour une approche globale des problématiques juridiques : Alexandre de Streel et Hervé Jacquemin (coord.), L’intelligence artificielle et le droit, Crids, Larcier, 2018 ; v. également : Alexandra Bensamoun et Grégoire Loiseau (dir), Droit de l’intelligence artificielle, Lextenso, à paraître.
4
PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « le RGPD ») ; et et, en France, la loi n° 78-17 du Loi Informatique et libertés du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et libertés »).
5
V. Jean-Sylvestre Bergé et Daniel Le Métayer, « Phénomènes de masse et droit des données », Comm. com. électr., 2018, étude 20., spéc. p.10.
6
V. la référence aux traitements « à grande échelle » et à « l’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé » aux articles 35 (obligation de formaliser une AIPD) et 37 du RGPD (obligation de désigner un délégué à la protection des données), ainsi que la définition du profilage à l’article 4°) du RGPD intégrant l’analyse et la prédiction d’éléments concernant une personne.
7
Article 25 du RGPD.
8
V. CNIL, « Comment permettre à l’homme de garder la main ? Les enjeux éthiques des algorithmes et de l’intelligence artificielle », Synthèse du débat public animé par la CNIL, dans le cadre de la mission de réflexion éthique confiée la loi pour une république numérique, décembre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf. V. également les rapports de l’ICO (Information Commissionner Office), l’Autorité de contrôle du Royaume-Uni, « Big Data, Artifice Intelligence, Machine Learning and Data Protection », mars 2017, v. 2.0., https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf, spéc. p. 9, et du Datatilsynet, l’Autorité de contrôle norvégienne, « Artificial Intelligence and Privacy Report, janvier 2018 , p. 17 : https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf.
9
Biais notamment relevés par la CNIL, « Comment permettre à l’homme de garder la main ?… », op. cit., spéc. p. 31.
10
V. sur cet aspect Antoinette Rouvroy, « Pour une défense de l’éprouvante opérationnalité du droit face à l’opérationnalité sans épreuve du comportementalisme numérique », Dissensus, Revue de philosophie politique de l’Université de Liège n° 4, avril 2011, p. 127 : https://popups.uliege.be/2031-4981/index.php?id=963.
11
Par exemple une erreur de diagnostic médical.
12
V. Antoinette Rouvroy, « Des données sans personne : le fétichisme de la donnée à caractère personnel à l'épreuve de l'idéologie des Big Data », in Étude annuelle du Conseil d’État : le numérique et les droits fondamentaux, 2014, La Documentation française, pp. 407-422.
13
Les attributions de profil de risque établi peuvent être rationnelles et justifiée sur le plan statistique, mais inacceptables sur le plan sociétal car socialement injustes, v. A. Rouvroy, « Des données sans personne… », op. cit.
14
Droit introduit par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (art. 54).
15
Tel est le cas des profils dont le niveau de détail est excessif (segmentation par trop précise), ou ne présentant pas qu’un aspect limité de la personne, profilage susceptible de produire des discriminations ou des erreurs d’appréciation notamment du fait du manque d’assurance sur l’exactitude des données. V. G 29, Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, adoptées le 3 octobre 2017, Wp251rev.01, p. 16, Comm.com. électr. 2017, comm. n° 14, nos obs.
16
V. sur les incertitudes de cette notion, G29, Lignes directrices…, op. cit., p.21,
17
V. sur cette interdiction, Judith Rochfeld, « L’encadrement des décisions prises par algorithme », Dalloz IP/IT, septembre 2018, p. 474.
18
La prise de décision administrative automatisée a ainsi été rendue possible en droit français (loi n° 2018-493 du 20 juin 2018 ayant modifié l’article 10 de la loi Informatique et libertés transféré à l’article 47 par l’ordonnance n° 2018-1125 du 12 décembre 2018). V., sur cette possibilité, Anne Debet, « Intelligence artificielle et données à caractère personnel » in A. Bensamoun et G. Loiseau (dir.), Droit de l’intelligence artificielle, op. cit.
19
V. Anne Debet, « Le consentement dans le Règlement Général sur la Protection des données, Rôle et définition », Comm. com. électr. 2018, n° spécial avril 2018, Etude n° 9.
20
Ibid.
21
V. sur ces garanties et les exceptions applicables à la prise de décision administrative : Anne Debet, « Intelligence artificielle et données à caractère personnel », op. cit.
22
Pour éviter les phénomènes de « life login » : . J.-S. Bergé et D. Le Métayer, op. cit., spéc. p.10.
23
Le scandale Cambridge Analytica est un exemple des conséquences d’un traitement massif et incontrôlé des données ayant permis un détournement de finalité : v. Anne Debet, « L’ICO, autorité de protection des données anglaise, prononce une sanction de 500 000 livres à l’encontre de Facebook dans l’affaire Cambridge Analytica », Comm. com. électr., 2019, com. 92.
24
V. sur le test, Groupe de l’article 29, Opinion 03/2003 on purpose limitation, 2 avril 2013, WP203 (disponible en anglais Le traitement des données devra tenir compte des finalités pour lesquels les données ont été collectées initialement (par exemple gestion des clients, exécution du contrat de travail…) et uniquement).
25
Ainsi l’utilisation des données collectées dans le cadre d’une demande de crédit, ainsi que plus largement les informations relatives à l’historique des relations avec le demandeur au crédit peuvent être utilisées pour évaluer le risque de crédit présenté par une personne. L’utilisation de données collectées sur les réseaux sociaux paraît à l’opposé incompatible pour cette même finalité : v. ICO rapport, op. cit., spéc. p.38.
26
V. article 6, 4°) et 50e considérant du RGPD.
27
D’autres éléments peuvent également être prise en compte, comme la stricte limitation de la durée pendant laquelle les données individuelles sont conservées. Ainsi, pour la phase de conception, les données utilisées pour l’entrainement n’ont pas à être conservée dans tous les cas. Pour les modèles statiques, une fois le modèle établi, les données devraient être alors retirées de l’algorithme. V. en ce sens, Datatilsynet, op. cit., p. 18.
28
La formalisation d’une AIPD est imposée par l’article 35 du RGPD pour les traitement relevant du régime de la prise de décision individuelle prévu à l’article 22 et la CNIL a intégré dans la liste des traitements devant obligatoire faire l’objet d’une AIPD les traitements de simple profilage dès lors qu’ils ont recours à des données sources externes : v. CNIL, Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, Comm, com. électr., 2019, comm. n° 4, obs. Anne Debet et Nathalie Metallinos.
29
V. sur la possibilité de considérer que les traitements d’IA relèvent du domaine de la recherche la position de l’autorité norvégienne de protection des données fondée sur le 159e considérant du RGPD invitant à une interprétation large de la notion de recherche :Datatilsynet, Artificial intelligence and privacy Report, janvier 2018 , p. 17 : https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf. L’autorité émet toutefois des doutes sur la possibilité de considérer que les modèles dynamiques (se développant sur une base continue et pour lesquels il est donc difficile de différencier la phase de conception de l’application) puissent relever de la recherche (p. 18).
30
L’article 6 du RGPD prévoit qu’un traitement ne peut être mis en œuvre que s’il est fondé sur l’une des bases légales suivantes : le consentement, la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde des intérêts vitaux de la personne, l’exécution d’une mission d’intérêt public ou enfin l’intérêt légitime du responsable de traitement à moins que ne prévalents les droits et libertés et intérêts de la personne concernée.
31
L’article 4, 2°) de la loi Informatique et libertés dans sa rédaction issue de l’ordonnance du 12 décembre 2018 reprenant cette interdiction.
32
Article 6, 4°) et 50e considérant.
33
V. A. Debet, « Le consentement dans le Règlement général sur la protection des données, Rôle et définition », op. cit.
34
G29, Opinion 03/2003 on purpose limitation, 2 avril 2013, WP203, p. 46 (disponible en anglais uniquement), p. 21.
35
V. supra, note 31.
36
Les opérateurs de plateformes ont l’obligation d’assurer la transparence des algorithmes qu’ils utilisent, même en l’absence de prise de décision automatisée, dès lors qu’ils classent, référencent, trient et/ou suggèrent des contenus, biens ou services (articles L. 111-7 et L. 111-7-1 du Code de la consommation).
37
V. en ce sens, position de Dominique Cardon : Compte-rendu de l’événement, organisé par la CNIL, de lancement du cycle de débats publics sur les enjeux éthiques des algorithmes, 23 janvier 2017 : https://www.cnil.fr/sites/default/files/atoms/files/compte_rendu_table-ronde_-_ethique_et_numerique_-_les_algorithmes_en_debat.pdf.
38
V. Nicholas Diakopoulos et Sorelle Friedler, « How to Hold Algorithm Accountable ? », MITtechnology Review, 17 novembre 2016 : https://www.technologyreview.com/s/602933/how-to-hold-algorithms-accountable/.
39
71e considérant.
40
En ce sens, v. Résolution du Parlement européen du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique (2018/2088(INI)) (Point U).
41
Le rapport Villani (op. cit., p. 23) relève ainsi la nécessité de réaliser des progrès sur ce point et propose de développer l’audit des IA par des experts compétents dans le domaine (p. 145).
42
En ce sens, A. Rouvroy, « Des données sans personne… », op. cit.
