Le 29 janvier 2024, la Fondation Restena et l’Université du Luxembourg ont co-organisé la 7ème édition du Data Privacy Day dédié à la protection des données à caractère personnel. Une nouvelle fois, l’événement s’est tenu en mode hybride, ce qui a permis de rassembler des personnes intéressées par la thématique au-delà des frontières luxembourgeoises. Plus de 260 participant-e-s, un record pour l’événement depuis sa création en 2018, se sont rassemblé-e-s autour de la thématique centrale de l’édition 2024 : l’intelligence artificielle (IA).

Après la session d’ouverture par Malte Beyer-Katzenberger, Team Leader à la Commission européenne, des intervenant-e-s de la Commission nationale pour la protection des données (CNPD), de BEE SECURE, du Luxembourg Institute of Science and Technology (LIST), de l’Université de Maastricht, de l’Université du Luxembourg et du cabinet d’avocats /c law se sont succédé-e-s sur la scène du Data Privacy Day 2024.

L’intelligence artificielle, source de défis et d’opportunités

L'intelligence artificielle est présente tout autour de nous. Elle fait appel à de nombreuses technologies : système de recommandations, reconnaissance d’image ou de voix, génération de texte, voitures autonomes, etc. Ces technologies et les outils qui les mettent en œuvre génèrent des défis en matière de protection de la vie privée et des personnes dont les données sont traitées. Risque de divulgation des données à des tiers, atteinte à la réputation, harcèlement, chantage, falsification de preuves, surveillance, identification en sont là quelques exemples.

Traitant de données à caractère personnel, la réglementation de l’intelligence artificielle s’avère indispensable. De nombreuses initiatives de l'Union Européenne en matière de données existent déjà, notamment le règlement européen sur la gouvernance des données (Data Governance Act), le règlement européen sur les données (Data Act), ou bien encore le Règlement général sur la protection des données (RGPD) et la guidance des autorités de contrôle visant à assurer son application.

Le RGPD, qui définit le cadre principal du traitement des données à caractère personnel dans l'Union Européenne depuis mai 2018, a été notamment abordé lors de la conférence. Tout comme d’autres législations, le RGPD établit des règles pour permettre la libre circulation des données à caractère personnel et protéger les droits et libertés des personnes. Il est considéré comme base fondamentale dès lors que les données à caractère personnel sont concernées.

Vers une règlementation plus poussée

L’article 22 du GDPR, intitulé ‘Décision individuelle automatisée, y compris le profilage’, protège d’ores et déjà les droits individuels dans le domaine de la prise de décision automatisée et de l'intégration de l'intelligence artificielle. Mais l’AI Act, voué spécifiquement à règlementer l'utilisation de l'intelligence artificielle dans l'Union Européenne et qui devrait entrer en application d’ici 2026, offrira une réglementation spécifique à l’IA basée sur une approche risques comme le RGPD. Tout en interagissant avec le RGPD, il constituera une étape importante dans la régulation de l’intelligence artificielle. L’AI Act intègrera notamment une classification des systèmes d’intelligence artificielle fondée sur leur finalité qui déterminera le niveau de conformité, d’exigences et d’obligations. A son tour, ce nouveau règlement impactera les expert-e-s en protection des données et les délégué-e-s à la protection des données (Data Protection Officers – DPO). Reste à déterminer dans quelle mesure puisque la mission des DPO est définie dans le RGPD.

De manière générale, et peut-être encore plus dans un contexte universitaire et de recherche, toute institution traitant des données à caractère personnel à l'aide de techniques d'IA doit impérativement se conformer aux lois sur la protection des données et documenter leur traitement. Même si la législation est en retard sur l'évolution technologique et présente des lacunes dans certains domaines, cette conformité ne peut pas être contournée. La plus grande prudence s’impose donc dans la combinaison des technologies de l'IA avec des données à caractère personnel.