Le déploiement des systèmes d'IA traitant des données personnelles fait intervenir plusieurs catégories d'acteurs soumis aujourd'hui à la réglementation sur la protection des données et demain à aux nouvelles contraintes juridiques dédiées à l'intelligence artificielle.
Savoir de quelle catégorie on relève permet de connaître le régime juridique applicable ou encore d'identifier les obligations et responsabilités opposables. Cette question de la qualification juridique est donc essentielle pour sécuriser juridiquement une activité digitale tournée vers l'IA.
L'importance de bien qualifier les acteurs d'IA
Le sujet de la qualification juridique des fournisseurs de systèmes d'IA a fait l'objet d'une fiche dans le référentiel de la CNIL dédié à l'IA1. Ce dernier, publié le 8 avril 2024, a été présenté dans un autre article.
Les acteurdss de l'IA devront également veiller à déterminer leur statut au sens du RGPD. Suivant les cas, ils pourront ainsi relever du statut de responsables de traitement, de responsable conjoint de traitement ou encore de sous-traitant ce qui aura des répercussions importantes au niveau de leurs obligations.
Cette qualification juridique des acteurs au regard du RGPD doit être fixée au cas par cas selon le cadre de déploiement des systèmes d'IA, mais aussi selon le rôle précis de chacun dans l'initiative, l'organisation et la mise en Suvre des traitements de données embarqués au sein desdits systèmes. Cette appréciation se fait en outre au regard de chaque traitement en lien avec l'IA ce qui rend possible l'application cumulative de plusieurs « statuts RGPD » pour un même acteur. Il est à ce titre possible qu'un acteur relève du statut de responsable de traitement pour certaines opérations et du statut de sous-traitant pour d'autres.
Une cartographie des traitements de données attachés à un système d'IA sera ainsi un préalable nécessaire pour permettre aux acteurs concernés d'identifier les contraintes juridiques applicables. Ces contraintes seront d'autant plus importantes en présence de données à caractère personnel.
Les qualifications applicables aux acteurs d'IA
Le responsable et responsable conjoint de traitement
Pour rappel, le responsable de traitement est défini comme étant celui qui détermine les finalités et les moyens du traitement des données2.
Lorsqu'une base de données d'apprentissage d'un système d'IA est alimentée par plusieurs responsables de traitement pour une finalité conjointement définie, ces derniers pourront relever de la catégorie de responsables conjoints visée à l'article 26 du RGPD3.
Autre exemple :
Dans le cadre d'une réutilisation de données collectées par un autre organisme, la CNIL invite à distinguer le diffuseur des données, qui met à disposition des données personnelles à des fins de réutilisation, et le réutilisateur des données, qui exploite ces dernières pour son compte. En principe, ces derniers seront responsables de traitements distincts car ils déterminent les finalités et moyens pour leur propre traitement.
Ces qualifications de responsables distincts ou conjoints ne sont pas sans conséquence sur le plan juridique. Les acteurs relevant de ces catégorie devront en effet s'assurer de l'inscription du ou des traitements concernés au sein de leur registre, ils devront veiller à contrôler la base légale du traitement et s'y conformer strictement. Consentement des personnes, information, balance des intérêts en cas de base légale fondée sur l'intérêt légitime devront être définis, paramétrés dans une logique de privacy by design. Ces éléments essentiels de conformité, auxquels s'ajoutent les mesures organisationnelles et techniques dédiées à la sécurité des données ou encore la formalisation d'analyses d'impacts lorsque le traitement est à risque placeront le Délégué à la Protection des Données (DPO) au cSur du dispositif dès sa conception.
Le sous-traitant
Au sens du RGPD, le sous-traitant est traditionnellement celui qui traite les données à caractère personnel pour le compte du responsable de traitement4. Ainsi, ses missions se limitent aux instructions données par le responsable de traitement, insérées généralement dans un accord sur la protection des données5.
S'agissant de dispositifs d'IA embarquant des données à caractère personnel, ce statut trouvera à s'appliquer naturellement aux fournisseurs de services d'IA de tous types.
Une attention toute particulière devra être porté sur le niveau d'autonomie du sous-traitant ainsi que les garanties qu'il propose en terme de sécurité et de confidentialité de la données.
Cela implique une grande rigueur dans la rédaction de l'accord sur la protection des données car la définition précise des rôles et limites de ceux-ci aura de nombreuses répercussion sur nombre de sujets stratégiques tels que la capacité d'appropriation de la donnée générée par l'utilisation du service, ou encore la charge de la conformité du système d'IA concerné.
Footnotes
1. « Déterminer la qualification juridique des acteurs », CNIL, 8 avril 2024
2. Article 4.7 du RGPD
3. Article 26 du RGPD
4. Article 4.8 du RGPD
5. Article 28 du RGPD
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.