Ce qu’il fallait retenir de la journée RGPD organisée par la CNIL au CNAM le 24 juin
Bonnes pratiques en matière d’IA
Décision automatisée
Par principe, toute personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée.
Dans la plupart des cas, le responsable du traitement doit mettre en œuvre des mesures visant à garantir une intervention humaine.
Avec l’IA générative, on est amené à évaluer cette nécessité dès qu’un système d’IA fournit des recommandations automatisées.
Articulation entre AI Act et RGPD
L’AI Act s’applique sans préjudice du RGPD, mais l’articulation entre ces textes est délicate.
Répondant à une question que tous se posent à l’approche de l’entrée en vigueur des dispositions de l’AI Act sur les IA à risque élevé, la CNIL précise que l’AIPD (Analyse d’Impact sur la Protection des Données) imposée par le RGPD et l’AIDF (Analyse d’impact sur les Droits Fondamentaux), imposée par l’AI Act en cas de risques élevés ne sont pas superposables.
L’AIDF peut s’appuyer sur les résultats de l’AIPD mais les objectifs et périmètres de ces deux types d’analyse ne se recoupent pas.
Sanctions RGPD
La tendance est à la hausse, en nombre de sanctions et en montant.
La CNIL précise la manière dont sont fixés les montants : ils dépendent de la gravité du manquement, du nombre de personnes concernées et de la coopération constatée.
On note également une augmentation des contentieux liés à la protection des données, dans les domaines du droit social et commercial, avec des enjeux majeurs de réparation du préjudice qui se font jour.
En savoir plus : rétrospective publiée par le CNAM
