Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Note de l'éditeur : De temps à autre, ComplexDiscovery met en avant des annonces accessibles au public ou achetables en privé, des mises à jour de contenu et des recherches effectuées par des fournisseurs de cyberdécouverte, de données et juridiques, des organismes de recherche et des membres de la communauté ComplexDiscovery. Bien que ComplexDiscovery mette régulièrement en avant ces informations, il n'assume aucune responsabilité pour les assertions de contenu.

    Pour soumettre des recommandations à prendre en compte et à inclure dans les annonces de services, de produits ou de recherches centrés sur la cyberdécouverte, les données et le droit de ComplexDiscovery, contactez-nous dès aujourd'hui.

    Note d'information : Le 17 mai 2022, le Future of Privacy Forum a lancé un rapport complet analysant la jurisprudence en vertu du Règlement général sur la protection des données (RGPD) appliqué à des cas réels impliquant la prise de décision automatisée (ADM). Le rapport s'appuie sur des recherches approfondies couvrant plus de 70 arrêts de la Cour, des décisions des autorités de protection des données (DPA), des directives spécifiques et d'autres documents politiques publiés par les régulateurs. Selon l'annonce de ce nouveau rapport, le RGPD contient une disposition particulière applicable aux décisions fondées uniquement sur le traitement automatisé des données personnelles, y compris le profilage, qui produit des effets juridiques concernant une personne ou affecte de manière similaire cette personne : Article 22. Cette disposition consacre l'un des « droits de la personne concernée », en particulier le droit de ne pas être soumis à des décisions de cette nature (c'est-à-dire « ADM éligible »), qui a été interprété par les APD comme une interdiction plutôt que comme une prérogative que les individus peuvent exercer. Cependant, le rapport affirme que les protections du RGPD pour les individus contre les formes de prise de décision automatisée (ADM) et de profilage vont bien au-delà de l'article 22. Compte tenu des défis potentiels d'ADM en matière de confidentialité, ce rapport peut être utile aux professionnels de la cybersécurité, de la gouvernance de l'information et de la découverte juridique qui cherchent à mieux comprendre les défis potentiels en matière de confidentialité et les considérations jurisprudentielles actuelles liées à ADM.

    Rapport de recherche du forum sur l'avenir de la protection

    Prise de décision automatisée dans le cadre du RGPD : cas pratiques des tribunaux et des autorités de protection des données

    Par Sebastião Barros Vale et Gabriela Zanfir-Fortuna

    Extrait de rapport - Contexte et présentation

    Le Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) établit l'une de ses justifications fondamentales au considérant 4, déclarant que « le traitement des données personnelles doit être conçu pour servir l'humanité ». Il s'agit de tout traitement de données personnelles, de leur collecte à leurs diverses utilisations, aussi simple que la tenue d'un enregistrement des achats effectués dans son épicerie préférée et aussi complexe que l'utilisation de données personnelles pour la prise de décision automatisée, comme la présélection de candidats à un emploi grâce à l'utilisation d'algorithmes , ou le fait que des données personnelles résultent d'un traitement complexe, comme la création d'un profil du client d'une épicerie sur la base de son historique d'achats. La même logique sous-jacente du RGPD s'applique si les données personnelles sont traitées de quelque manière que ce soit dans le cadre d'une application d'intelligence artificielle (IA) ou d'apprentissage automatique (ML), que ce soit en tant qu'entrée ou sortie d'un tel traitement.

    Alors que toutes les dispositions du RGPD s'appliquent à un traitement aussi complexe des données personnelles — de l'obligation du responsable du traitement de disposer d'un fondement légitime pour le traitement, à l'obligation de garantir que le traitement est effectué de manière équitable et transparente, en passant par des obligations plus techniques comme la garantie d'un niveau de sécurité des données et garantissant que la protection des données personnelles est ancrée dans la conception d'une opération de traitement, une disposition particulière du RGPD est spécifiquement applicable aux décisions « basées uniquement sur le traitement automatisé [des données personnelles - n.], y compris le profilage, qui produit des effets juridiques » concernant une personne « ou affecte de manière similaire » cette personne : Article 22.

    Cette disposition consacre l'un des « droits de la personne concernée », en particulier « le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé » qui a un effet juridique ou similaire significatif sur l'individu. Toute prise de décision automatisée (ADM) qui répond à ces critères tels que définis à l'article 22 du RGPD est appelée « ADM éligible » dans ce rapport.

    Même si elle a apparemment été introduite dans le RGPD pour répondre à l'ère actuelle des algorithmes, de l'IA et des systèmes ML, cette disposition existe en fait dans l'ancienne directive européenne sur la protection des données adoptée en 1995, et trouve ses racines dans une disposition similaire de la première loi française sur la protection des données adoptée à la fin des années 1970. Cependant, il n'a que très peu été appliqué en vertu de la législation antérieure. Les affaires ont commencé à augmenter après l'entrée en vigueur du RGPD en 2018, compte tenu également du fait que la prise de décision automatisée est devenue omniprésente dans la vie quotidienne, et il semble maintenant que les individus soient de plus en plus intéressés à ce que leur droit en vertu de l'article 22 soit appliqué.

    Ce rapport décrit comment les tribunaux nationaux et les autorités de protection des données (APD) de l'UE/Espace économique européen (EEE) et du Royaume-Uni ont interprété et appliqué les dispositions pertinentes du RGPD sur ADM jusqu'à présent, ainsi que les tendances et les valeurs aberrantes notables à cet égard. Pour compiler le rapport, nous avons examiné les décisions judiciaires et administratives et les directives réglementaires accessibles au public dans les juridictions de l'UE/EEE et du Royaume-Uni, qui était membre de l'UE jusqu'en décembre 2020 et dont les règles sur ADM sont toujours une mise en œuvre du RGPD au moment de la rédaction du présent rapport. Pour compléter les faits des cas discutés, nous avons également examiné les communiqués de presse, les rapports annuels et les articles des médias. Cette recherche se limite aux documents publiés jusqu'en avril 2022 et s'appuie sur plus de 70 affaires — 19 décisions de justice et plus de 50 décisions d'exécution, opinions individuelles ou orientations générales émises par les autorités compétentes en matière de protection des données — provenant de 18 États membres de l'EEE, du Royaume-Uni et du Contrôleur européen de la protection des données (CEPD). Les principaux cas et documents utilisés pour référence sont énumérés à l'annexe I. Le rapport contient principalement des résumés de cas, ainsi que des lignes directrices pertinentes, les cas explorés en détail étant numérotés de manière cohérente afin que toutes les notes relatives à un cas particulier puissent être facilement identifiées dans le document (par exemple, cas 3 seront mentionnés à plusieurs reprises, dans différentes sections).

    Les cas que nous avons identifiés proviennent souvent de situations de la vie quotidienne où ADM joue un rôle de plus en plus important. Par exemple, un groupe de cas concerne les étudiants et les établissements d'enseignement. Ces cas varient de l'utilisation de technologies de reconnaissance faciale en temps réel pour gérer l'accès dans les locaux de l'école et l'enregistrement des présences, à la surveillance en ligne et à la notation entièrement automatisée basée sur le profil individuel d'un élève, mais également sur le profil de son district scolaire, en remplacement de les examens de fin d'études pendant la pandémie de COVID-19.

    Un autre groupe important de cas concerne essentiellement la situation des travailleurs à la demande et la façon dont ils sont répartis les quarts de travail, les emplois, les revenus et les pénalités par le biais de leurs plateformes respectives. Un nombre important de cas contestent la notation de crédit automatisée. La manière dont les gouvernements distribuent les prestations sociales, comme le chômage, et gèrent l'évasion fiscale et les fraudes potentielles fait de plus en plus l'objet de cas, qu'il s'agisse de contestations individuelles ou d'enquêtes d'office. Nous avons également rencontré des cas où l'ADM sous-jacent a été contesté dans des situations telles que la délivrance de permis d'armes à feu, la récupération de sources accessibles au public pour créer un produit FR ou le profilage de clients potentiels par une banque.

    Notre analyse montrera que le RGPD dans son ensemble est pertinent pour les cas d'ADM et qu'il a été efficacement appliqué pour protéger les droits des personnes dans de tels cas, même dans les situations où l'ADM en cause n'atteint pas le seuil élevé établi par l'article 22 du RGPD, et le droit de ne pas être soumis uniquement à la prise de décision automatique n'est pas applicable. Par exemple, sans même analyser si l'article 22 s'applique dans ces cas, les tribunaux et les APD ont conclu que le déploiement d'applications FR en direct pour gérer l'accès aux locaux de l'école et surveiller la fréquentation était illégal en vertu d'autres dispositions du RGPD, car il n'avait pas de motif légitime de traitement. en place et ne respectait pas les exigences de nécessité et de proportionnalité, protégeant ainsi les droits des étudiants en France et en Suède (voir les cas 30 et 31).

    Une lecture comparative des cas pertinents montrera également comment les exigences de transparence complexes sont prises en compte dans la pratique, se traduisant effectivement par un droit des individus de recevoir une explication de haut niveau sur les paramètres qui ont conduit à une décision automatisée individuelle les concernant ou sur la manière dont le profilage qui leur est appliqué.

    Les principes de légalité et d'équité sont appliqués séparément dans les affaires liées au SMA, le principe d'équité prenant de plus en plus d'ampleur dans l'application de la loi. Par exemple, dans l'un des cas les plus récents inscrits dans le rapport, la DPA néerlandaise a constaté que le système algorithmique utilisé par le gouvernement pour détecter automatiquement les fraudes dans les demandes de prestations sociales violait le principe d'équité, puisque le traitement était considéré comme « discriminatoire » pour avoir pris en compte tiennent compte de la double nationalité des personnes qui demandent des prestations de garde d'enfants.

    Un autre point important qui est ressorti de nos recherches est que lorsque les responsables de l'application évaluent le seuil d'applicabilité de l'article 22 (« uniquement » automatisé et « effet juridique ou similaire » de l'ADM sur les individus), les critères utilisés sont de plus en plus sophistiqués à mesure que la jurisprudence s'élargit. Par exemple, les tribunaux et les APD examinent l'ensemble de l'environnement organisationnel dans lequel un SMA a lieu, de la structure organisationnelle aux liens hiérarchiques et à la formation efficace du personnel, afin de déterminer si une décision a été « uniquement » automatisée ou si une participation humaine significative a été prise. De même, lorsqu'ils évaluent le deuxième critère d'applicabilité de l'article 22, les responsables de l'application cherchent à savoir si les données d'entrée pour une décision automatisée comprennent des inférences sur le comportement des individus et si la décision affecte le comportement et les choix des personnes visées, entre autres critères en couches.

    Enfin, nous devons souligner que dans pratiquement tous les cas où un processus ADM a été jugé illégal, les APD sont allés au-delà de l'imposition d'amendes administratives en ordonnant également des mesures spécifiques de portée variée : ordres de mettre fin à des pratiques, ordres de suppression des données personnelles collectées illégalement, ordonnances d'interdiction collecter davantage de données personnelles.

    Toutes les sections du rapport sont accompagnées de résumés de cas et d'une brève analyse mettant en évidence les points communs et les points aberrants. Le rapport explore d'abord le contexte et les éléments clés de l'article 22 et d'autres dispositions pertinentes du RGPD qui ont été appliquées dans les cas d'ADM, tous reflétés dans des exemples concrets (section 1). Ensuite, il examine comment le seuil à deux volets requis par l'article 22 du RGPD a été interprété et appliqué dans la pratique (section 2). Enfin, la section 3 explique comment les tribunaux et les autorités compétentes en matière de protection des données ont appliqué l'article 22 dans des domaines sectoriels, notamment en matière d'emploi, de reconnaissance faciale en direct et de notation de crédit. La conclusion présentera certaines des tendances en matière d'interprétation juridique et d'application identifiées qui ressortent de nos recherches et mettra en évidence les domaines d'incertitude juridique restants qui pourraient être clarifiés à l'avenir par les régulateurs ou la CJUE (section 4).

    Lisez l'annonce originale.

    Rapport complet - Prise de décision automatisée dans le cadre du RGPD : cas pratiques des tribunaux et des autorités de protection des données (PDF) - Passez la souris pour faire défiler

    Rapport FPF-ADM-Mai 2022

    Lisez le rapport original.

    *Partagé avec autorisation sous licence Creative Commons, Attribution 4.0 International.

    Lectures supplémentaires

    Accepter les différences ? Interaction de la criminalistique numérique dans la découverte électronique

    Définition de la cyberdécouverte ? Une définition et un cadre

    Source : Découverte complexe

    Des vents contraires sur les revenus ? KLDiscovery Inc. annonce ses résultats financiers du deuxième trimestre 2022

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Au-delà des recettes ? DISCO annonce ses résultats financiers du deuxième trimestre 2022

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Tu vis avec Leeds ? Exterro réalise une recapitalisation de plus de 1 milliard de dollars

    According to the press release, with the support of a group...

    TCDI finalise l'acquisition de l'eDiscovery Practice d'Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    En mouvement ? Cinétique du marché de l'eDiscovery 2022 : cinq domaines d'intérêt

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Vous faites confiance au processus ? Données sur les tâches, les dépenses et les coûts de traitement de l'eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Bilan de l'année ? Points de données sur les tâches, les dépenses et les coûts de révision de l'eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Regard sur la collection eDiscovery en 2021 : points de données sur les tâches, les dépenses et les coûts

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Cinq bonnes lectures sur la cybernétique, les données et la découverte sur demande juridique pour juillet 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Cinq lectures intéressantes sur le cybernétique, les données et la découverte juridique pour juin 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Cinq lectures intéressantes sur le cybernétique, les données et la découverte juridique pour mai 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Cinq excellentes lectures sur la cybersécurité, les données et la découverte juridique pour avril 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Le bourdonnement ? Évaluations du conflit en Ukraine sur des cartes (3 au 7 août 2022)

    According to a recent update from the Institute for the Study...

    Soulager la détresse ? Évaluations du conflit en Ukraine sur des cartes (29 juillet — 2 août 2022)

    According to a recent update from the Institute for the Study...

    Des défis Momentum Évaluations du conflit en Ukraine sur des cartes (24 — 28 juillet 2022)

    According to a recent update from the Institute for the Study...

    Support du port ? Évaluations du conflit en Ukraine sur des cartes (19-23 juillet 2022)

    According to a recent update from the Institute for the Study...