Du 25 au 28 octobre 2022 a eu lieu à Istanbul la 44ème réunion annuelle de l’Assemblée Mondiale pour la protection de la vie privée (Global Privacy Assembly, GPA). Réunissant plus de 80 pays cette année, elle a adopté, en collaboration avec la CNIL, deux résolutions portant sur la cybersécurité et l’encadrement de la reconnaissance faciale. Dans le même temps, cette réunion a été l’occasion pour la GPA de relever la performance des travaux de la CNIL menés sur l’éducation numérique des jeunes et l’intelligence artificielle. Avec cette 44ème édition, la GPA a voulu accentuer la nécessité d’établir un équilibre entre la vie privée et les nouvelles technologies traitant de données personnelles.
La GPA : une Assemblée consacrée à la protection des données personnelles et de la vie privée
Avec le développement massif des nouvelles technologies, la mondialisation des échanges de données pose des enjeux capitaux nécessitant une vraie coopération internationale afin de renforcer la réglementation sur le numérique, nécessitant l’intervention de nombreuses instances internationales spécialisées sur la protection de la vie privée des individus.
Parmi elles, existe l’Assemblée mondiale pour la protection de la vie privée, initialement nommée ICDPPC (Conférence internationale des commissaires à la vie privée et à la protection des données), tenue pour la première fois en 1979. C’est en fait un lieu d’échanges à l’échelle mondiale, où 130 membres partagent bilans, bonnes pratiques respectives et adoptent des positions communes.
En tant que « plateforme » mondiale d’échanges en matière de protection des données et de la vie privée, elle réunit plus d’une centaine d’États membres, tous représentés par leurs autorités internes de protection des données personnelles et de la vie privée (la CNIL pour la France). Elle est composée d’un président, d’un comité exécutif et des hôtes des conférences précédentes et suivantes.
Cette année, a eu lieu la 44ème réunion de la GPA au cours de laquelle deux questions essentielles ont été abordées : le renforcement de la coopération internationale afin d’accroître l’efficacité de la cybersécurité mondiale et l’établissement d’un encadrement de la reconnaissance faciale.
Sur la cybersécurité
La résolution sur la cybersécurité porte sur une volonté de « renforcement des capacités de coopération internationale en matière de cybersécurité ». Avec l’adoption de celle-ci, l’objectif est de renforcer la réglementation de la cybersécurité en réaction à une augmentation toujours plus importante des cyberattaques.
A ce sujet, la notion de cybercriminalité a été mise en avant pour la première fois dans la Convention de Budapest du 23 novembre 2020. Elle est globalement définie comme l’ensemble des infractions en lien avec un moyen d’informatique. Elle emprunte à des infractions de droit commun commises dans un domaine particulier : les nouvelles technologies. Un exemple pertinent serait une atteinte à la vie privée commise sur Internet.
Ainsi, avec cette résolution, l’objectif est de renforcer la collaboration de chaque pays et ainsi établir une coopération internationale en matière de cybersécurité afin de renforcer la protection de la vie privée en luttant contre les cyberattaques. Elle met donc en avant un partage des informations entre l’ensemble des États. La résolution examine ainsi « les possibilités de coopération internationale, de partage des connaissances et des informations, y compris l’expertise technique et les bonnes pratiques, entre les membres de la Global Privacy Assembly pour faciliter les enquêtes et les activités réglementaires concernant les questions de cybersécurité et de vie privée ».
Luttant contre « la cyber-résilience », la GPA relève que la numérisation, malgré ses avantages, comporte des risques importants pour les données personnelles des individus. Dans un objectif de sécurité numérique, elle reconnaît que les autorités de protection des données et de la vie privée ont différentes responsabilités, pouvoirs et compétences en matière de cybersécurité.
C’est alors l’occasion de rappeler que la mission essentielle de la GPA est d’apporter un soutien et des efforts au niveau international, national et régional pour permettre aux autorités de protection d’assurer au mieux la confidentialité et la protection des données personnelles. En effet, un an plus tôt, un plan stratégique (n°2021-232) exigeait que la GPA assure la promotion de coopération en relevant les risques numériques nouveaux pour la vie privée des personnes.
Enfin, toujours avec cette volonté de renforcer la cybersécurité, la GPA affirme qu’un groupe de travail proposera une étude avant l’automne 2023 portant sur la coopération internationale et le partage d’informations en matière de cybersécurité.
Sur la reconnaissance faciale
La seconde résolution va s’atteler à établir « les principes et attentes en matière de reconnaissance faciale ». A cette fin, la GPA a adopté six principes qui seront désormais imposés aux organismes ayant recours au mécanisme de la reconnaissance faciale :
1) Établir une base légale claire et précise ;
2) Protéger les droits fondamentaux des personnes ciblée par la reconnaissance faciale et particulièrement leur droit au respect de la vie privée ;
3) Respecter les principes classiquement imposés en droit des données personnelles à savoir la limitation, la nécessité et la proportionnalité de la collecte opérée ;
4) Assurer la transparence du processus pour les individus concernés ;
5) Établir les différentes responsabilités de chacun ;
6) Respecter les principes établis pour la protection des données.
En effet, le mécanisme de la reconnaissance faciale est une technique qui permet, à partir des traits de visage : d’authentifier une personne c’est-à-dire vérifier qu’elle est bien celle qu’elle prétend être et de l’identifier ce qui permet de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données. Dès lors, la reconnaissance faciale constitue un traitement de données biométriques (qui est une caractéristique physique ou biologique permettant d’identifier une personne comme l’ADN).
Ainsi, le mécanisme vient instaurer d’importants enjeux en matière de protection des données. Il doit donc respecter les grands principes législatifs en matière de données :
– Le droit d’accès – les personnes concernées doivent être informées de la collecte de leurs données, des destinataires qui ont pu y accéder et de leurs éventuels transferts ;
– Le respect de la finalité – la collecte ne peut avoir lieu pour une finalité étrangère à celle qui a été précisément déterminée ;
– La proportionnalité – seules les données pertinentes au regard des finalités peuvent être collectées ;
– La limitation de durée de conservation – les données ne doivent pas être conservées pour une durée qui excède celle qui est nécessaire au regard de la finalité ;
– La sécurité et la confidentialité – il existe une obligation technologique d’assurer la sécurité, l’intégrité et la confidentialité des données collectées.
Enfin, cette résolution dédiée à l’encadrement, au niveau mondial, du mécanisme de reconnaissance faciale, peut être rapprochée de la mise en demeure par la CNIL de l’entreprise Clearview AI pour avoir développé un traitement illicite de données au travers d’un logiciel de reconnaissance faciale tendant à la collecte de données biométriques sans le consentement des personnes concernées ce qui a provoqué une véritable violation de leurs droits fondamentaux.
Vers une évolution de la réglementation dans le domaine du numérique…
La CNIL a été l’un des acteurs majeurs lors de cette réunion, prenant un rôle actif aux discussions. Elle a aussi traité, parallèlement aux résolutions, de deux sujets essentiels en matière de numérique.
Tout d’abord, la GPA a relevé les travaux menés par la CNIL sur l’éducation des jeunes au numérique qui se sont avérés très efficaces de par la multiplication des campagnes de sensibilisation des enfants et du personnel d’éducation sur tous les enjeux qu’implique le numérique. En effet, les autorités ont multiplié les vidéos, jeux, bandes dessinées, tests en ligne faisant preuve d’une grande créativité afin d’attirer l’attention du public visé.
Le plan d’action 2022-2023 mobilise une coopération des autorités de protection des données de chaque État-membre sur ce sujet afin de garantir l’exercice effectif des droits des jeunes sur Internet.
Par la suite, la CNIL a abordé une enquête réalisée sur l’aptitude des autorités de protection des données à traiter des questions relevant de l’intelligence artificielle. Elle y indique que des recommandations seront alors données aux autorités afin de se saisir de la question de l’intelligence artificielle, son utilisation impliquant un grand nombre de données qui, pour la plupart, revêtent un caractère personnel.
A ce titre, un groupe sur l’intelligence artificielle perpétuera les travaux engagés dans un objectif de gestion des risques pouvant être provoqués pour les droits fondamentaux des individus.
Voir la résolution dans sa version originale : https://globalprivacyassembly.org/wp-content/uploads/2022/11/15.1.b.-Resolution-on-International-Cooperation-Capacity-Building-for-Improving-Cybersecurity-Regulation-and-Understanding-Cyber-Incident-Harms-vf.pdf
Sources
https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/collaboration-internationale/assemblee-mondiale-pour-la-protection-de-la-vie-privee
https://www.cnil.fr/professionnel
https://www.village-justice.com
https://www.deshoulieres-avocats.com
https://entreprendre.service-public.fr