RGPD : quel bilan 5 ans après ?
Alors que le RGPD « fête » ses cinq ans, le développement rapide de l’intelligence artificielle soulève des problématiques inédites. Face à ces nouveaux défis, la régulation avance, entre encadrement strict de l’utilisation des données à caractère personnel et pragmatisme.
Le RGPD, c’est quoi déjà ?
Le RGPD est le sigle correspondant au règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Entré en vigueur le 25 mai 2018, il a pour objectif de protéger les libertés et droits fondamentaux des personnes physiques et d’assurer la libre circulation de leurs données au sein de l’Union européenne.
Les 6 grands principes du RGPD :
- Les données collectées sur une personne par un site internet doivent être licites, loyales et transparentes.
- Chaque information personnelle récoltée doit être justifiée pour “des finalités déterminées, explicites et légitimes”. Il est donc impossible de conserver des données sans finalité concrète.
- La collecte des informations doit être “adéquate, pertinente et limitée à ce qui est nécessaire au regard [de leurs] finalités”.
- Les données personnelles collectées se doivent d’être exactes et tenues à jour si nécessaire.
- La conservation des informations est réglementée par une limitation de durée1.
- Le détenteur des données doit garantir leur intégrité et confidentialité. Il est responsable de la sécurisation des données collectées.
1 Durées légales :
36 mois (3 ans) : c’est la durée maximum autorisée pour conserver les datas des personnes inactives dans votre base de données. Il vous est toutefois possible de les garder plus longtemps, si vous les rendez anonymes ;
13 mois : tous les 13 mois, vous devez redemander à vos visiteurs leur consentement pour enregistrer leurs données via les cookies ;
1 mois : si un utilisateur exerce son droit d’accès, vous avez 1 mois pour répondre à sa demande.
Afin de veiller à l’application et au respect de ces principes, le RGPD a créé dans son article 37 la fonction de Délégué à la Protection des Données (DPO).
Comme le rappelle Hébert-Marc GUSTAVE, Dirigeant-Fondateur de LOCK-T :
« la désignation d’un DPO est obligatoire pour les autorités publiques (établissements, collectivités) à l’exception des juridictions dans l’exercice de leur fonction juridictionnelle. D’autre part, les organismes, quelle que soit leur taille, traitant de façon régulière et systématique des données à large échelle (plateforme, application mobile, hébergeur etc.), ainsi que les organismes traitant des données sensibles (données de santé, données biométriques, appartenance syndicale, données relatives à l’orientation sexuelle des personnes, etc.) doivent obligatoirement désigner un DPO ».
Il ajoute que sa désignation est tout de même fortement recommandée pour type d’organisme.
En cas de manquements au RGPD, les autorités de protection, comme la CNIL en France, ont la possibilité de prononcer des amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les entreprises.
De la pédagogie à la sanction
La grande réussite du RGPD est d’avoir sensibilisé tous les acteurs à la valeur des données personnelles. L’harmonisation réglementaire entre états de l’UE a permis des actions concertées, notamment face aux géants du web.
Mais la CNIL, comme les autres autorités de protection des données européennes sont souvent critiquées pour la lenteur des procédures et le nombre très réduit des sanctions par rapport aux plaintes. Ainsi, en France en 2022, seules 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles ont été rendues publiques.
En ce qui concerne les mises en demeure, en 2022 elles s’élevaient à 147 (contre 135 prononcées en 2021).
Parallèlement, les différentes Cnil européennes ont progressivement interdit certains services comme Google Analytics par exemple, au titre de l’absence de conformité au RGPD. L’objectif est de peser sur les pratiques des GAFAM en matière de protection des données, en raison d’une législation américaine beaucoup moins contraignante.
C’est ainsi que Meta s’est vu infliger une amende record d’1,2 milliard d’euros pour avoir enfreint les règles européennes de protection des données (RGPD) avec son réseau social Facebook.
La DPC, équivalent irlandais de la CNIL, reproche au réseau social d’avoir continué à transférer des données personnelles de ses clients européens vers les Etats-Unis. La firme californienne a fait appel et dans l’intervalle, il est probable qu’un nouvel accord juridique encadrant le transfert des données soit trouvé entre les Etats-Unis et l’Union européenne. Quoiqu’il en soit, les autorités de protection des données européennes semblent se diriger vers des sanctions plus sévères dans les années à venir. En 2022, le montant global des amendes prononcées au niveau européen est en augmentation de 168% par rapport à 2021.
Deux nouveaux textes européens
Deux réglementations en projet vont entrainer de nouvelles obligations pour les entreprises qui opèrent au sein de l’UE : le DMA (Digital Market Act) et le DSA (Digital Service Act).
Le DMA vise à mieux encadrer les activités économiques des plus grandes plateformes, souvent accusées de rendre les entreprises et les consommateurs particulièrement dépendants de leurs services et d’empêcher la concurrence des autres sociétés.
Le DSA² renforce le dispositif visant à réglementer les obligations et les responsabilités des intermédiaires en ligne, de manière proportionnelle, en tenant compte de leur taille et de leur puissance. Il se veut protecteur des droits des utilisateurs, en s’attaquant aux contenus (haineux, pédopornographiques, terroristes…) et aux produits illicites (contrefaits ou dangereux), sur la base du principe : “ce qui est illégal hors ligne doit également être illégal en ligne”.
“Ce qui est illégal hors ligne doit également être illégal en ligne”.
IA : les nouveaux défis de la régulation
Comment réguler les nouveaux outils liés à l’intelligence artificielle, sans freiner l’innovation et la compétitivité de nos entreprises ? c’est tout le dilemme auquel se heurte le législateur. En Italie, le service ChatGPT a été suspendu durant un mois à la demande de l’Autorité de protection des données personnelles italienne. La firme OpenAI était accusée de ne pas respecter la réglementation européenne et de ne pas vérifier l’âge des usagers alors que le programme est destiné aux plus de 13 ans. Après mise en conformité, ChatGPT a été de nouveau autorisé.
Au niveau mondial, le besoin de mise en commun des visions face à ces nouveaux défis s’est traduit par la déclaration commune du G7 des autorités de protection des données concernant l’IA générative 1
1 IA générative : le G7 des autorités de protection des données adopte une déclaration commune | CNI
L’IA Act en projet
Première loi globale sur l’IA au monde, le projet de réglementation européenne IA Act est en négociation depuis deux ans.
Il vise à empêcher de potentielles dérives liées à l’intelligence artificielle, tout en laissant la place à l’innovation, en fixant un cadre juridique uniforme. Seules certaines applications de l’IA jugées « à risque » comme les infrastructures critiques, l’éducation, les ressources humaines, le maintien de l’ordre ou la gestion des migrations, sont concernées. Elles devront entre autres garantir le maintien d’un contrôle humain, la mise en œuvre d’une documentation technique et d’un système de management du risque. De plus, certaines applications jugées « inacceptables » comme la reconnaissance faciale dans les lieux publics, le scoring social ou les outils de police prédictive devraient être complètement interdites au sein de l’UE.
Enfin, les IA génératives comme ChatGPT seront certainement dans l’obligation de respecter le droit d’auteur concernant les contenus utilisés pour entraîner leur modèle de langage. Elles feront également sans doute l’objet de tests par des experts indépendants afin de limiter les risques possibles concernant la sécurité, la santé, les droits fondamentaux, la liberté d’expression…
Le RGPD s’inscrit donc dans une stratégie globale de sécurisation des données personnelles, de renforcement des mesures pour lutter contre la cybercriminalité et du rehaussement du niveau des droits des citoyens face au développement de nouveaux usages numériques.
Hélène Buisson – hbsolutionscomm.com