Interviews

Thaima Samman : « la régulation sur les données personnelles doit évoluer avec l'IA »

Thaima Samman : « la régulation sur les données personnelles doit évoluer avec l'IA »
Thaima Samman, avocate en affaires publiques, spécialiste du numérique, associée-fondatrice du cabinet Samman, invitée de notre Grand Théma sur la data au service de l'IA.

Que devient la protection des données personnelles avec l'explosion de l'IA ? C'est la question que nous avons posée à Thaima Samman, avocate en affaires publiques, spécialiste du numérique, associée-fondatrice du cabinet Samman, dans le cadre de notre Grand Théma CIO / Le Monde Informatique sur la data au service de l'IA.

PublicitéDans le cadre de notre Grand Théma consacré à la data au service de l'IA, nous avons souhaité faire un point juridique. L'IA se nourrit, en effet, de masses de données, dont des données personnelles, et l'accélération de son développement pose de nombreuses questions quant à leur protection. Comment le droit européen actuel s'applique-t-il en la matière ? Et va-t-il évoluer ? Pour répondre à ces questions, nous avons reçu Thaima Samman, avocate en affaires publiques, associée fondatrice du cabinet Samman et spécialiste du droit du numérique.

Regardez notre interview de Thaima Samman dans le Grand Théma Data au service de l'IA

Notre invitée a d'abord rappelé les contours légaux qui définissent une donnée personnelle, de leur pseudonymisation ou leur anonymisation. Les données personnelles sont celles qui permettent d'identifier directement ou indirectement une personne. Et la qualification d'une donnée comme personnelle la fait entrer dans le champ de compétences du RGPD. « Mais si le régulateur considère qu'une donnée est anonymisée, elle perd ce statut de donnée personnelle, et sort du RGPD, permettant une utilisation plus libre ». Contrairement à la pseudonymisation qui, elle, permet la réidentification d'une personne. Thaima Samman rappelle, par ailleurs, un obstacle de taille dans l'exploitation de l'anonymisation et de la pseudonymisation, aujourd'hui oublié par les régulations : l'absence de méthodes standards reconnues par ces dernières.

Rapprocher RGPD et AI Act ?

L'ensemble de ces éléments s'appliquent aussi dans le cadre des projets d'IA, même si, de façon assez évidente, ces technologies rendent la conformité au règlement plus complexe. Et ici commence la liste des interrogations sur l'adéquation de l'arsenal réglementaire actuel à l'IA et ses inévitables évolutions, face à une technologie qui utilise massivement les données et dont les arcanes sont rarement transparents.

La Cnil vient, par exemple, de reconnaitre le droit au web scraping, sortant les données ainsi collectées du cadre du RGPD. Mais, plus important, on assiste à un « affrontement jurisprudentiel entre deux camps sur la pseudonymisation, comme l'explique Thaima Samman. Ceux avec une approche absolue, comme le régulateur, pour qui la pseudonymisation fait entrer la donnée dans le RGPD, quelles que soient les conditions théoriques de réidentification de la personne. Et ceux avec une approche relative, comme la Cour de justice de l'UE, qui estiment que les données personnelles sortent du RGPD à partir du moment où l'organisation qui les utilisent n'est pas celle qui dispose des outils de réidentification ». Un sujet central qui devrait donc faire bouger les lignes. Une décision en appel sur le sujet de la CJUE est attendue prochainement. Qui plus est, le Premier ministre polonais, Donald Tusk, qui tient actuellement la présidence du Conseil de l'Europe, a organisé, le 14 mars, une discussion entre les conseillers des États membres pour amorcer de possibles rapprochements entre RGPD et AI Act afin de minimiser les obligations administratives associées.

PublicitéProlongement de la loi Jeux olympiques et paralympiques

Au-delà des grandes régulations transverses, d'autres mesures affectent la protection des données personnelles dans les environnements d'IA. Le Parlement français vient par exemple de voter le 18 mars un deuxième prolongement, jusqu'au 1er mars 2027, de l'expérimentation de caméras de surveillance 'intelligentes' dans le cadre de la loi dite Jeux olympiques et paralympiques. Avec un accès aux images non seulement par les autorités de Police, mais aussi par la RATP, la SNCF et d'autres opérateurs de transport.

« La loi JOP a été votée avant l'AI Act, précise Thaima Samman, mais on se trouve bien dans une exception du haut de la pyramide de l'AI Act : sécurité nationale, enfants disparus, mise en danger de personne, terrorisme, etc. » Une démarche qui pose cependant de nombreuses et très sensibles questions sur le traitement par IA de données personnelles que sont les images de personnes dans l'espace public.

« La data est un enjeu économique fondamental aujourd'hui et un des atouts principaux de l'Europe. Nous sommes un peu en retard sur les moteurs, les algorithmes, mais nous avons les data. Et sans data, pas d'IA. Néanmoins, il reste essentiel de veiller au respect de la vie privée et des données personnelles », souligne l'avocate.

Regardez notre interview de Thaima Samman dans le Grand Théma Data au service de l'IA

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis