Menu principal
Le règlement sur la protection des données personnelles est né comme la réponse nécessaire du système juridique à l’avancée des capacités de traitement des données réalisée par les technologies dites de l’information en 1995.
La poursuite de ces progrès et l’ampleur de la production, de la diffusion, de la collecte et de l’échange de données à caractère personnel du fait de la mondialisation ont rendu nécessaire, en 2016, la mise à jour de la directive 95/46/CE (LOI 5793/1995), afin de faire face aux nouveaux défis qui se sont posés pour la protection des données à caractère personnel.
Trente ans après la première directive, et près de dix ans après le RGPD, la protection de nos données fait face à de nouveaux défis croissants.
Au cours de cette période, la génération massive de données personnelles n’a cessé d’augmenter, grâce à la prolifération d’une grande diversité d’appareils, dont beaucoup sont directement liés à des personnes. En plus des appareils fixes bien connus connectés à Internet et aux téléphones mobiles et tablettes (avec les multiples applications associées à chacun d’eux), une grande variété de montres, d’écouteurs, de bagues, de vêtements, de caméras de vidéosurveillance, de scanners faciaux et corporels et d’autres appareils ont été ajoutés qui nous permettent non seulement de connaître l’emplacement ou l’activité virtuelle d’une personne, mais aussi d’enregistrer leur état physique et émotionnel ou même, dans certains cas, de surveiller en permanence les ondes cérébrales du sujet, permettant d’obtenir des données massives à partir de l’observation de son activité cérébrale.
Mais, en outre, la capacité de traiter, d’analyser et d’interconnecter ces données a atteint des niveaux inimaginables il y a encore dix ans. En particulier, les avancées du deep machine learning (Deep learning) grâce à des algorithmes puissants ont conduit, depuis fin 2022, à la diffusion généralisée de l’Intelligence Artificielle (IA) générative. Ce phénomène a entraîné une évolution technologique déjà accélérée, dont les conséquences, selon les experts les plus pertinents dans le domaine (Russell, Hinton, Suleyman), nous placeront, dans un avenir très proche, devant une IA omniprésente incroyablement puissante et toujours en évolution, tant en termes de volume de données traitées que de capacité et de vitesse de calcul et dont le développement est concentré entre les mains de sept grandes entreprises mondiales.
Les données personnelles étant définies comme celles qui permettent, directement ou indirectement, d’identifier une personne, il est aujourd’hui pleinement prévisible, sans qu’il soit nécessaire de recourir au débat sur une éventuelle IA générale, de définition incertaine, ou à des scénarios apocalyptiques, que ces avancées permettront de créer de nouvelles formes de données personnelles, en les déduisant de l’énorme capacité relationnelle que ces systèmes ont déjà. La notion de données déduites, entendue comme celle obtenue à partir du traitement analytique d’un grand nombre de données provenant de sources diverses, prend aujourd’hui sa plus haute importance.
Ainsi, grâce aux milliards d’appareils mobiles existants, aux dizaines de milliards d’autres appareils connectés et aux multiples systèmes de vidéosurveillance en fonctionnement, toute l’activité humaine sera convertie en données calculables.
Les données seront traitées de nombreuses manières par une variété d’organisations à toutes sortes de fins. Beaucoup d’entre elles sont utiles et bénéfiques pour l’humanité, bien sûr, dans des domaines tels que la santé, l’industrie, les transports, les ressources énergétiques et la sécurité.
Mais, en même temps, la combinaison d’une telle quantité de données et d’une technologie aussi puissante ouvre de nouvelles possibilités commerciales très attrayantes pour les grandes entreprises qui les possèdent et un contrôle social pour tous les gouvernements, ce qui rend compréhensible les grandes incitations politiques et commerciales dont ils bénéficient.
D’une part, ces traitements permettront, grâce aux capacités croissantes de l’IA, d’établir de nouvelles relations entre les données, générant, d’une manière aussi silencieuse qu’incontrôlable, une capacité à approfondir les caractéristiques physiques et biométriques, mais aussi les habitudes, les coutumes, la localisation, la mobilité, les préférences et, plus alarmant encore, la santé, les opinions, les croyances, les idéologies, les peurs et les aspirations de toutes sortes de personnes à un niveau que nous ne pouvons encore qu’imaginer aujourd’hui.
De plus, comme cela a été prévenu, l’intégration de ces données, converties en modèles et profilées, au moyen d’algorithmes, permettra une contextualisation croissante de ces informations, les dotant d’une capacité de connaissance de plus en plus profonde sur les personnes et, ce qui est pire, inconnue de leurs détenteurs. En ce sens, une éventuelle utilisation sans contrôle des systèmes d’identité numérique imminents des citoyens qui vont être mis en œuvre dans l’Union européenne, ne cesse d’être préoccupante.
Il ne faut pas oublier, comme l’a déjà averti le GT29 (et ratifié par le Comité européen de la protection des données), dans ses « Lignes directrices sur les décisions individuelles automatisées et le profilage aux fins du Règlement 2016/679 (LOI 6637/2016) » (WP251rev.01), que « le profilage [à partir des données disponibles, qui peut être biaisé de multiples façons], il peut perpétuer les stéréotypes existants et la ségrégation sociale…, il peut classer une personne dans une catégorie spécifique et… peut conduire à des prédictions inexactes [conduisant] au déni de services et de biens, et à une discrimination injustifiée ».
Mais en outre, les capacités de création d’images et de sons de l’IA générative posent un défi particulier pour les droits des personnes.
Combiné à l’autre qui nous avertit que les citoyens sont très peu conscients des droits qui les assistent en la matière, comme la Stratégie européenne des données de 2020 l’a déjà mis en garde, le scénario ne peut pas être considéré comme alarmant pour les défenseurs de la vie privée.
La conséquence prévisible est que les notions de vie privée et d’intimité et de protection corrélative des données personnelles, telles que nous les connaissons aujourd’hui, font face à un besoin urgent de s’adapter à ce nouveau scénario.
Un besoin qui est particulièrement évident dans le cas des données neuronales, dont la capacité à révéler des informations sur les caractéristiques les plus profondes et les plus intimes des personnes, doit faire l’objet d’une attention et d’une protection particulières, pour lesquelles des précautions et des limitations importantes doivent être introduites (Mercader Uguina).
Cette nouvelle notion du champ d’application des données personnelles et de la vie privée doit s’accompagner, en même temps que d’un renforcement de ses garanties juridiques, d’un effort renouvelé d’éducation des citoyens à la nécessité de sauvegarder et de protéger leurs droits, qui doit commencer dès les premiers stades de l’éducation.