45e Assemblée mondiale pour la protection de la vie privée (GPA)

13 novembre 2023

L’Assemblée mondiale pour la protection de la vie privée (ou Global Privacy Assembly), qui rassemble les autorités de protection des données de plus de 80 pays, a adopté sept résolutions dont deux sur l’intelligence artificielle lors de sa réunion annuelle d’octobre 2023.

Un échange annuel entre 80 pays sur la protection de la vie privée

Créée en 1979, l’Assemblée mondiale pour la protection de la vie privée (Global Privacy Assembly ou GPA en anglais) rassemble les autorités de protection des données de plus de 80 pays afin d’échanger sur des sujets à fort enjeu pour la protection des données personnelles et de la vie privée.

La CNIL était représentée à cet évènement par Monsieur Bertrand du Marais, commissaire en charge, notamment, des questions internationales.

Les principales résolutions adoptées

Lors de sa 45e réunion annuelle, organisée des 15 au 20 octobre 2023 aux Bermudes, la GPA a adopté sept résolutions ainsi qu’un nouveau plan d’action pour 2023-2025. La CNIL a participé à la rédaction de plusieurs d’entre elles, notamment sur :

Les systèmes d’intelligence artificielle générative

Cette résolution, proposée par le Contrôleur européen de la protection des données, rappelle la nécessité de respecter des principes essentiels de protection des données lors du développement, de l’exploitation et du déploiement de systèmes d’IA générative :

la licéité du traitement de données (c’est-à-dire le fait que la collecte et l’utilisation des données respectent la loi) ;
la limitation des objectifs (ou finalités) du traitement ;
la minimisation des données ;
l’exactitude des données ;
la transparence ;
la sécurité des données ;
la protection des données dès la conception et par défaut ;
le respect des droits des personnes concernées ;
la responsabilité des développeurs, fournisseurs et entités déployant des systèmes d’IA générative.

Un rapport sur les travaux conduits par les membres du groupe de travail de la GPA sur l’IA sera prochainement présenté devant les membres de l’Assemblée.

L’intelligence artificielle et l’emploi

Cette résolution souligne l’importance des principes et garanties de protection des données et de la vie privée dans le développement et l’utilisation de systèmes d’intelligence artificielle dans le contexte du travail (y compris le recrutement).

Afin de rédiger cette résolution, une enquête avait été menée auprès des membres de la GPA. Les risques identifiés incluaient, entre autres :

un manque de transparence ;
la présence de préjugés ou de discrimination ;
un manque d’intervention humaine significative ;
un manque d’évaluation de la nécessité et de la proportionnalité du recours à l’IA sur le lieu de travail, ou l’absence de base légale pour le traitement et/ou de lois spécifiques pour l’utilisation de l’IA dans ce contexte.

Les principes mondiaux de protection des données

Cette résolution, impulsée par l’autorité de protection des données du Royaume-Uni, (Information Commissioner’s Office ou ICO), a pour objectif de mettre à jour les principes adoptés par la GPA en 2009 à Madrid au regard des évolutions technologiques récentes.

La résolution comprend ainsi de nouveaux principes comme la protection des données dès la conception et par défaut, le droit à la portabilité des données, ainsi que l’encadrement du profilage et de la prise de décision automatisée.

Les autres résolutions adoptées

Lors de cette réunion annuelle, la GPA a également adopté les quatre résolutions suivantes :

la création d’une « bibliothèque » de ressources sur les principes clés de la protection des données pour accompagner les membres de la GPA dans leur prise de décision ;
la création d’un groupe de travail sur une approche intersectionnelle du genre ;
une résolution sur les données de santé et la recherche scientifique ;
une proposition de prix commun GPA/Access Now sur la protection des données et les droits de l’Homme.

L’éducation numérique : les voies de recours pour l’exercice des droits des mineurs

La CNIL pilote le groupe de travail de la GPA sur l’éducation au numérique. Elle a présenté les résultats d’une étude menée auprès de ses homologues sur les solutions proposées aux jeunes confrontés au problème de contenus en ligne illicites ou préjudiciables.

Les constats sont les suivants :

Un nombre limité d’autorités de protection des données dispose de pouvoirs propres pour enquêter et bloquer des contenus illicites en ligne dans le cadre de cyberharcèlement auprès de mineurs.
Les autorités sont bien compétentes pour traiter les demandes des mineurs d’effacement des données les concernant, dans le cas où les sites et réseaux n’auraient pas répondu.
Une grande variété d’institutions et d’associations sont à l’écoute des jeunes, soutenues par les pouvoirs publics. Ces points de contacts collaborent activement avec les autorités de protection des données, pour agir rapidement dans la lutte contre la violence numérique.
Pour guider les mineurs et/ou leurs parents dans l’exercice de leurs droits, les autorités de protection des données ont déjà réalisé de nombreux efforts. Elles pourraient encore renforcer sur leurs sites web les rubriques destinées aux jeunes ou aux accompagnants. L’objectif est d’afficher des informations pratiques dans un langage clair et plus ludique.