Le règlement général sur la protection des données (RGPD) a été adopté le 8 avril 2016 par le Conseil de l’Union européenne, le 14 avril 2016 par le Parlement européen et a été signé le 27 avril 2016. Il est destiné à entrer en application dès le 25 mai 2018.
Ce faisant, le RGPD abroge la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ce qui démontre la volonté des instances européennes d’harmoniser le cadre juridique en matière de protection des données de manière effective.
En effet, contrairement aux directives dont l’application des dispositions ne peut se faire qu’après l’adoption d’une loi de transposition par les Etats membres, les règlements européens bénéficient d’un effet direct impliquant que le contenu du texte sera le même au sein de chaque Etat.
De plus, il convient de souligner le champ d’application extrêmement large du RGPD, celui-ci ayant vocation à s’appliquer également aux responsables de traitement et aux sous-traitants étant établis en-dehors du territoire de l’Union européenne, à partir du moment où ceux-ci ciblent des résidents européens.
Outre la promesse de coordination des différents droits étatiques dans le cadre de l’Union européenne, l’adoption du RGPD vise à accomplir trois objectifs spécifiques. Son application est ainsi sensée permettre un renforcement du droit des personnes dont les données font l’objet d’un traitement, une responsabilisation des entités qui réalisent un traitement sur les données, et enfin un accroissement de l’effectivité de la régulation.
Ceci se traduit de manière concrète par l’attribution de certaines mesures augmentant les pouvoirs des autorités de protection des données (à savoir de la CNIL pour ce qui est de la France). De ce fait, ces autorités constitueront un « one shop stop », c’est-à-dire qu’elles seront l’unique interlocuteur des entreprises pour ce qui est de l’Union européenne. De même, le RGPD induit une plus grande coopération entre ces nombreuses autorités, notamment en instituant un nouvel organe à l’échelle européenne, le Comité européen de protection des données (CEPD) destiné à remplacer le G29.
Toutefois, l’élément sans doute le plus notable du RGPD repose sur l’importance des sanctions que sont susceptibles d’encourir les entreprises qui ne respecteraient pas les dispositions du texte. Des amendes administratives peuvent ainsi être imposées par les autorités de protection des données, et s’élèvent potentiellement à la somme de 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise, sachant que l’organisme retiendra le montant le plus élevé.
Malgré sa récente adoption, le RGPD fait d’ores et déjà l’objet de vives critiques de la part de certains observateurs. La principale inquiétude que fait naître dans leur esprit le règlement repose sur l’éventualité selon laquelle les dispositions du texte constitueraient, au niveau européen, un véritable frein à toutes les formes d’innovation dont la concrétisation nécessite la mise en œuvre d’un traitement massif de données.
Il va sans dire que ces craintes visent tout particulièrement le développement de l’intelligence artificielle, qui implique à l’heure actuelle l’inévitable collecte d’une quantité drastique de données.
Or il faut bien admettre que les principales dispositions du RGPD ne facilitent pas la tâche des entrepreneurs européens de ce milieu. En ce sens, dans son article 5 concernant les principes relatifs au traitement des données à caractère personnel, le règlement énonce que celles-ci doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ».
De même, il est impératif que ces données soient « collectées pour des finalités déterminées, explicites et légitimes », et qu’elles ne soient pas « traitées ultérieurement d’une manière incompatible avec ces finalités ». Il faut également que les données soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » ; « exactes et, si nécessaire, tenues à jour » ; « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées », et enfin « traitées de façon à garantir une sécurité appropriée des données à caractère personnel ».
En outre, il convient de mettre en exergue le renforcement des conditions applicables au consentement des personnes concernées. En premier lieu, l’article 7 du règlement précise que le responsable de traitement doit être capable de démontrer que la personne concernée par le traitement de ses données a bien consenti à ce traitement. En ce qui concerne la demande de consentement, elle doit avoir été réalisée de manière « compréhensible et aisément accessible ».
Enfin, conformément à ses objectifs, le règlement consacre de nouveaux droits à l’échelle européenne destinés à protéger la personne concernée, tel que le droit à la portabilité qui permet à la personne de demander au responsable de traitement auquel elle a fourni des données à caractère personnel de recevoir ces données et de les transmettre à son gré à un autre responsable de traitement (article 20). Citons également le droit d’accès (article 15), le droit de rectification (article 16), le droit à l’effacement (article 17), le droit à la limitation du traitement (article 18) ou encore le droit d’opposition (article 21).
Quant à l’accentuation de la responsabilité du responsable de traitement et du sous-traitant, elle se matérialise sous la forme d’un certain nombre de règles spécifiques telles que la privacy by design et la privacy by default, impliquant pour le premier une obligation de mettre en place, dès le début du traitement, des mesures permettant d’appliquer les principes relatifs à la protection des données, et pour le second une obligation de faire en sorte que seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement soient traitées (article 25).
Mentionnons aussi le principe de l’accountability qui renvoie au devoir pour les entreprises d’instaurer un ensemble de procédés de sorte qu’elles puissent démontrer qu’elles respectent les règles concernant la protection des données (article 24).
Par conséquent, il peut sembler inévitable que le RGPD et le développement européen de l’intelligence artificielle soient antinomiques, eu égard aux éléments expliqués précédemment. En effet, apparaît comme une évidence le fait qu’un texte juridique portant spécifiquement sur la règlementation des données à caractère personnel représente un véritable obstacle à l’expansion de l’intelligence artificielle, la collecte d’un nombre draconien de données étant intrinsèquement liée à cette dernière.
Pourtant, l’Union européenne n’est pas la seule région du monde à avoir mis en place une règlementation relative à la protection des données à caractère personnel. En ce sens la Chine, Etat meneur en matière d’intelligence artificielle à l’échelle mondiale, a adopté une loi sur la cybersécurité entrée en application le 1er juin 2017 et semblable au RGPD en ce qu’elle vise à orienter l’Etat chinois vers une approche juridique centralisée pour ce qui est de la protection des données à caractère personnel.
Il apparaît dès lors envisageable de concevoir l’hypothèse d’une situation dans laquelle un équilibre serait trouvé entre l’application du RGPD et le développement de l’intelligence artificielle, la difficulté résidant dans la recherche de l’articulation la plus optimale possible entre la nécessité de protéger les données à caractère personnel et la volonté de faire de l’Union européenne un territoire de référence dans le domaine de l’intelligence artificielle.
Pierre-Antoine Rizk est étudiant en droit du numérique et fondateur du blog pierre-antoine-rizk.com consacré aux relations entre les domaines du droit et de l’intelligence artificielle.
NDLR : Nous profitons de cet article pour rappeler que la CNIL met à disposition un guide pratique d’adoption du RGPD en 6 étapes.
