Le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) a fêté les cinq ans de son entrée en vigueur le 25 mai 2023.
Depuis 2018, le RGPD a eu un impact significatif sur la protection des données personnelles dans l’UE. Les entreprises et organisations ont dû se conformer aux exigences strictes du RGPD en matière de collecte, de traitement et de conservation des données.
Les autorités de protection des données ont joué un rôle essentiel dans la mise en œuvre et l’application du RGPD, veillant à ce que les entités concernées respectent les règles et infligeant des amendes aux contrevenants.
Cet anniversaire est marqué par la condamnation de Meta, le 22 mai, par le régulateur des données personnelles irlandais, à la plus lourde sanction imposée depuis le RGPD de 1,2 milliards d’euros pour avoir transféré des données des utilisateurs européens de Facebook de l’UE vers les Etats-Unis.
Cette sanction permet d’attirer l’attention sur deux enjeux majeurs du RGPD :
i) les problématiques de traitement de données par les GAFAM et l’accroissement de leur puissance eu égard à ces données personnelles ;
ii) les transferts de données entre l’UE et les Etats-Unis.
En 2020, dans son célèbre arrêt Schrems II, tirant son nom de celui de Max Schrems, militant autrichien pour la protection des données personnelles, la CJUE a jugé que le Privacy Shield américain (mécanisme d’auto-certification pour les sociétés établies aux Etats-Unis) n’accordait pas de garantie suffisante aux utilisateurs pour permettre une transmission des données personnelles de l’UE vers les Etats-Unis ; depuis cet arrêt, des mesures supplémentaires devaient être mises en œuvre par l’exportateur de données vers les Etats-Unis afin d’empêcher tout accès aux données par les autorités américaines de renseignement.
En 2022, les Etats-Unis ont élaboré un nouveau cadre juridique pour renforcer les garanties en matière de collecte et d’utilisation des données personnelles, cadre juridique qui pourrait prochainement faire l’objet d’une décision d’adéquation de la Commission européenne si cette dernière évalue que ce nouveau cadre permet un niveau de protection suffisant des européens. La décision de la Commission sera donc à suivre dans les prochains mois et pourrait faciliter les transferts de données entre l’UE et les Etats-Unis, tout en garantissant un niveau de sécurité suffisant aux utilisateurs.
Mais, la technologie évoluant de manière extrêmement rapide, le RGPD doit déjà faire face à un nouveau défi majeur : celui de l’intelligence artificielle (IA) et plus particulièrement de Chat GPT qui soulève de nombreuses nouvelles problématiques vis-à-vis de ce texte.
En avril 2023, les autorités italiennes ont enjoint Chat GPT de cesser de collecter toute donnée notamment au regard du manque d’information des utilisateurs et de l’absence de base juridique pour la collecte et la conservation de ces données. L’autorité italienne a reproché à Chat GPT de ne pas avoir suffisamment informé les utilisateurs sur le service payant, et soulève la nécessité de bien vérifier l’âge des utilisateurs (+13 ans).
En France, plusieurs plaintes ont été déposées devant la CNIL portant sur l’utilisation des données personnelles par l’application Chat GPT.
Les systèmes d’IA reposant sur l’apprentissage automatique, ils nécessitent très souvent l’utilisation d’importants volumes de données personnelles pour l’entraînement des algorithmes. La CNIL a créé depuis janvier 2023 un service de l’IA afin de réunir des experts et prendre part aux discussions européennes sur l’encadrement juridique et les évolutions de l’IA, impliquant à la fois des bénéfices incontestables et des risques importants pour la vie privée.
En outre, s’agissant de Chat GPT, des problématiques en termes de droit de propriété intellectuelle se posent et certaines fonctionnalités pourraient être qualifiées d’actes de contrefaçon. La contrefaçon reposerait sur la reproduction non autorisée de contenus protégés en vue de créer la base de données nécessaire au fonctionnement de l’IA.
Ethiques et juridiques, les enjeux liés à l’utilisation des données dans le cadre de l’IA promettent des atermoiements dans la mise en place d’un cadre juridique, que nous ne manquerons pas de suivre avec la plus grande attention !