Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque
Le 16 juillet 2024, le CEPD a adopté une déclaration dans laquelle les autorités de protection des données précisent le rôle qu’elles souhaitent jouer dans l’application du règlement européen sur l’IA (RIA), publié au Journal officiel de l’Union européenne le 12 juillet dernier.
Lors de la dernière plénière du Comité européen de la protection des données (CEPD), les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024.
En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.
Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque.
Une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.
Pour mémoire, la CNIL figure parmi les autorités les plus avancées sur le sujet en ce qu’elle dispose d’un service d’experts dédié à ces questions et met en œuvre un plan d’action global pour assurer un déploiement le plus vertueux possible de ces systèmes.
Dans sa déclaration, le CEPD recommande :
- Comme déjà suggéré dans le RIA, la désignation des autorités de protection des données comme autorités de surveillance du marché des systèmes d'IA à haut risque utilisés dans les domaines suivants :
- l’identification biométrique, la catégorisation biométrique et la reconnaissance des émotions utilisés à des fins répressives, de gestion des frontières, et de justice et démocratie ;
- la répression ;
- la migration, les demandes d’asile et la gestion des contrôles aux frontières ;
- l’administration de la justice et processus démocratiques.
- l’identification biométrique, la catégorisation biométrique et la reconnaissance des émotions utilisés à des fins répressives, de gestion des frontières, et de justice et démocratie ;
- La désignation des autorités de protection des données comme autorités de surveillance du marché pour d’autres systèmes d’IA à haut risque susceptibles d’impacter les droits et libertés des personnes, notamment s’agissant du traitement de leurs données personnelles.
- La désignation des autorités de protection des données comme point de contact uniques pour le public et leurs homologues au niveau des États membres et de l'UE.
- La mise en place de procédures claires pour la coopération entre les autorités de surveillance du marché et les autres autorités nationales compétentes, ainsi qu’une coopération appropriée entre le Bureau de l’IA (Commission européenne), les autorités de protection des données et le CEPD.