IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?

Données personnelles, Responsable du traitement, , ,

En un an à peine, l’IA a envahi tous les secteurs d’activité.

Les dispositions du RGPD ne s’appliqueraient-elles qu’en bout de chaine au contact du consommateur, ou à tous les acteurs antérieurs y compris à ….l’utilisateur et au producteur de l’IA ?

La réponse de la Cour de justice, ce 7 décembre, constitue un rappel à l’ordre !  L’arrêt du 7 décembre 2023

 L’article 22 dudit RGPD, intitulé « Décision individuelle automatisée, y compris le profilage », prévoit :

« 1.      La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Des faits transposables à des emplois d’IA

En Allemagne, une société fournit à ses partenaires contractuels des informations sur la solvabilité de tiers, notamment de consommateurs. À cette fin, elle établit un pronostic sur la probabilité d’un comportement futur d’une personne (« score »), tel que le remboursement d’un prêt, à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores (« scoring ») est fondé sur l’hypothèse selon laquelle il est possible, en assignant une personne à un groupe d’autres personnes possédant des caractéristiques comparables et qui se sont comportées d’une manière donnée, de prédire un comportement similaire.

Une communication d’informations trop partielles.

Un consommateur se voit refuser l’octroi d’un prêt par un tiers après avoir fait l’objet d’informations négatives établies par cette société, il lui demande de lui communiquer des informations sur les données à caractère personnel enregistrées et d’effacer celles d’entre elles qui étaient prétendument erronées.

Si la société informe le consommateur du niveau de son score, elle refuse « à divulguer les différentes informations prises en compte aux fins de ce calcul ainsi que leur pondération ».

Enfin, cette entreprise considérait « qu’elle se limitait à faire parvenir des informations à ses partenaires contractuels et que c’était ces derniers qui prenaient les décisions contractuelles proprement dites ».

L’affaire vient devant la Cour de justice de l’Union.

Que nous dit la Cour :

50      Il en découle que, dans des circonstances telles que celles en cause au principal, dans lesquelles la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », au sens de l’article 22, paragraphe 1, du RGPD.

Le 5 décembre 2023, deux autres décisions de  la Cour de justice concernent le RGPD et la sanction de ses violation, c’est là