Intelligence artificielle et mise en oeuvre des principes de privacy by design et privacy by default

§2. L'étendue de l'obligation du responsable du traitement

Les principes énoncés à l'article 5 du RGPD constituent les objectifs à atteindre par ces mesures²⁶⁷. En imposant des principes larges, le RGPD insiste davantage sur les résultats que sur les processus techniques, si bien qu'on pourrait interpréter le Règlement comme une obligation de résultat et non de processus²⁶⁸. Or, pour les praticiens, le responsable du traitement est en réalité tenu à une obligation de moyens en matière de privacy by design²⁶⁹. Il en va de même pour le privacy by default qui impose au responsable du traitement de mettre en oeuvre « des mesures techniques et organisationnelles appropriées ».

Ces mesures doivent être mises en oeuvre tout au long du cycle de vie de la donnée, soit « tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même²⁷⁰ ». Néanmoins, le RGPD fixe seulement le cadre de conformité et non les moyens de mise en oeuvre de ces principes²⁷¹. De plus, la mesure de cette obligation reste imprécise en ce qui concerne la balance entre l'intérêt des personnes concernées et les « intérêts légitimes » des responsables du traitement²⁷², n'étant pas précisée dans le Règlement²⁷³. Le fondement même du régime de l'action en responsabilité est incertain²⁷⁴.

Il s'agit néanmoins d'une nouvelle responsabilité à la charge du responsable du traitement, qui sera prise en compte par les autorités administratives en cas d'oubli, de défaillance ou de fragilité du respect de ce concept²⁷⁵. Le responsable du traitement n'est pas seul tenu à cette

265 Ibid., p. 4

266 EDPS, « avis préliminaire sur le respect de la vie privée dès la conception », avis 5/2018, 31 mai 2018, p.15

267 Ibid., p.8

268 F. Godement «Données personnelles, comment gagner la bataille ?» Institut Montaigne, décembre 2019, P. 42

269 C. Castets-Renard, « La protection des données personnelles dans les relations internes à l'Union européenne » 2018, §181

270 Art. 25 RGPD

271 M. Griguer, J. Shwartz, «Privacy by Design - Privacy by Design/Privacy by Default Une obligation de conformité et un avantage concurrentiel», Lexis Nexis, Cahiers de droit de l'entreprise n° 3, prat. 15, Mai 2017

272 S. Watcher, «The GDPR and the Internet of Things : A Three-Step Transparency Model», 2018, p.8

273 F. Godement «Données personnelles, comment gagner la bataille ?» Institut Montaigne, décembre 2019, P. 70

274 L. Marignol, « Principe de responsabilité et action en responsabilité dans le Règlement général sur la protection des données », Lamy droit de l'immateriel, n°166, janvier 2020, p. 44

275 M Rees, nextinpact.com, « Le RGPD expliqué ligne par ligne (articles 24 à 50) », 201

- 50 -

Le régime de lege lata

obligation de moyens. Cette responsabilité incombe aussi le cas échéant aux co-responsables du traitement et aux sous-traitants²⁷⁶.