Pour assurer et harmoniser la sécurité informatique, des normes internationales ont été élaborées pour constituer une référence des bonnes pratiques devant être adoptées par les acteurs du secteur.
Deux normes encadrent principalement la protection des données personnelles : l'une certifie un « système de management de la sécurité de l'information » (ISO/IEC 27001), pendant que l'autre détaille les bonnes pratiques à mettre en Suvre pour assurer la sécurité des données personnelles (ISO/IEC 27002).
Pour comprendre ce système de normes, il faut avant tout évoquer l'ISO, Organisation internationale de normalisation, qui depuis 1946, réunit un banc d'experts du monde entier pour débattre et fixer les bonnes pratiques sur un sujet donné. Aucun aspect des technologies, du management ou de la production essentiel à l'économie mondiale n'y échappe, et il n'en est pas autrement de la donnée personnelle.
Les normes internationales en matière de protection des données
Plus spécifiquement, en matière de protection des données personnelles, les normes précédemment évoquées ont été étendues à la création d'un système de management de la vie privée, à travers la publication d'une nouvelle norme en avril 2021 (ISO/IEC 27702). Ont été inclues dans ce système les particularités des traitements de données personnelles, tels que :
- la détermination du rôle de responsable de traitement ou sous-traitant ;
- la gestion des risques informatiques ; ou encore
- les conditions de transfert de données au sens du RGPD1.
Ce n'est pas tout, puisque cette norme comprenait également l'ensemble des principes fondamentaux imposés par le RGPD aux organismes amenés à traiter des données personnelles.2
Il pourrait paraitre étonnant qu'un texte européen puisse constituer une ressource essentielle pour une norme internationale, pourtant ce texte est l'un des plus aboutis en matière de protection des données personnelles. Par ailleurs, on retrouve bien souvent une équivalence de ce texte dans les pays tiers. La proximité entre le RGPD et la norme internationale était ainsi inévitable.
Un nouveau système de management international pour l'intelligence artificielle
De la même manière, l'Europe s'est à nouveau illustrée sur le terrain de la régulation avec l'adoption récente de l'IA Act.
Dans cette optique, le domaine de l'IA ne pouvait plus échapper à la normalisation internationale. En décembre 2023, une nouvelle norme a été publiée pour les organismes fournissant ou utilisant des systèmes d'IA. Elle a notamment été conçue pour envisager l'ensemble des aspects et des applications des systèmes d'intelligence artificielle. En effet, cette norme ISO/IEC 42001 propose des lignes directrices sur l'enjeu que constitue l'IA, tout en apportant une méthodologie de gestion des risques et des opportunités associés à l'IA.
A ce titre, la norme 42001 a simplement pour objet de décrire les processus pour gérer les préoccupations liées à la fiabilité des systèmes d'IA, ainsi que d'apporter une série de mesures opérationnelles et de recommandations à mettre en Suvre.
La constitution de cette norme semble avoir été influencée par les discussions et débats autour de l'IA Act puisque certains axes communs semblent être présents (sécurité, transparence, qualité des données et des systèmes...). Cette proximité est évidente et rassurante en matière de sécurité juridique.
D'autant que de nouvelles normes harmonisées, ayant pour objectif d'aider les organismes travaillant avec l'intelligence artificielle à démontrer leur conformité à l'IA Act, et notamment précisant son application pratique, sont attendues prochainement.
Il faudra donc rester en alerte sur ces sujets en attendant la normalisation internationale finale et complète de ce système de management de l'intelligence artificielle.
Footnotes
1. Notamment la protection de la vie privée dès la conception et par défaut
2. La nécessité de déterminer les finalités du traitement, une base légale ; le droit des personnes ; le principe de minimisation....
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.