Afin d’accompagner au mieux les acteurs du territoire du Grand Est dans l’appropriation et l’application opérationnelle de la réglementation des données, l’Etat, la Région et les membres actifs du groupe projet DataGrandEst ont mis en place, au cours des derniers mois, un nouveau service d’appui juridique selon un large spectre de solutions : de l’acculturation à la sollicitation d’experts en passant par un centre de ressources.
Le Webinaire a eu pour objectif de vous présenter ce service d’appui juridique (SAJ) qui constitue le premier service d’appui constitué sur ce modèle, qui aura vocation à évoluer et s’enrichir au fil du temps.
Ce rendez-vous a permis aux participants de partager leur connaissances sur la réglementation européenne très riche pour mesurer l’impact sur nos écosystèmes en matière de production et d’ouverture et de réutilisation des données.
A noter : les présentations ci-dessous sont également diffusées sur la chaîne YouTube DataGrandEst.
Regarder le webinaire complet
Ou choisir une vidéo selon l'intervention
Service d'appui juridique DataGrandEst
Schéhérazade ABBOUB et Khadija KAZOUZ (Cabinet Alérion Avocats)
L'actualité juridique européenne (Data governance act/ Data act/ IA act)
Schéhérazade ABBOUB et Khadija KAZOUZ (Cabinet Alérion Avocats)
FAQ
Depuis la loi SREN, les données relèvent des données sensibles et font l'objet d'une protection renforcée. La première démarche a avoir lorsque l'on traite de données à caractère personnel ou qui pourraient relever du secret statistique est de se rapprocher du DPO de sa structure, C'est lui qui est en charge de la protection des données personnelles. Si la question est complexe et qu'il ne peut pas apporter une réponse, il est alors possible de saisir le service d'appui juridique. La notion de "secret" (statistique ou des affaires par exemple) apporte un niveau de sensibilité supplémentaire, mais dans les 2 cas (données personnelles et secret) les pouvoirs publics sont tenus de vérifier la possibilité de partager ces données avec le demandeur. N'hésitez à consulter les ressources documentaires pour plus de détails : cf. https://www.datagrandest.fr/portail/fr/ressources/ressources-juridiques
Le service est proposé à l'ensemble des organismes publics qui adhèrent à la démarche DataGrandEst et non uniquement à la Région. Il est opéré via une prestation confiée au cabinet d'avocats Alérion et repose sur un marché public dont la Région Grand Est est commanditaire dans le cadre de la démarche DataGrandEst.
Le cas d'usage n°3 présenté lors du webinaire (séquence 1), s'appuie sur une question où le demandeur s'inquiète du fait qu'en recoupant des données cartographiques on puisse assez facilement accéder à des informations à caractère personnel d'une exploitation agricole. Le secret statistique n'entre pas ici directement en compte dans la question initialement posée. Il faut souligner que dans le RGPD, la notion de données à caractère personnel est très large et inclue les données qui permettent de façon directe ou indirecte d'identifier et caractériser une personne.
A ce stade, le service est en cours de lancement. Seul un ou deux cas ont été identifiés et traités. Il n'y a pas eu de question directe sur le traitement de données à caractère personnel dans le cadre d'une mission d'intérêt public, cependant le service proposé est notamment là pour apporter un appui sur ce sujet si nécessaire.
Ce service concerne uniquement les questions juridiques relatives à la donnée. La mise en œuvre interne à la Région Grand Est est similaire à celle que doivent adopter la majorité des structures : consulter les ressources sur le site DataGrandEst puis prendre contact avec le DPO. A la Région, la DIMAP peut intervenir et prendre le relais pour solliciter le cabinet d'avocats Alérion via le formulaire en ligne. Ce formulaire est réservé aux référents techniques DataGrandEst de la structure concernée. Dans tous les cas, il est aussi possible de s'adresser à l'équipe DataGrandEst via contact@datagrandest.fr s'il y a des questions. Elle fera le relais vers les bons interlocuteurs et pourra apporter un complément d'information sur la procédure à suivre.
A ce stade, l'IA Act s'impose à la France sans qu'il y ait de véritable loi pour réguler l'IA. Il y a aujourd'hui un "gap" qu'il va falloir combler notamment grâce à des démarches d'acculturation, de sensibilisation, des guides et kits de bonnes pratiques autour de l'IA. Une offre se développe actuellement dans ce sens avec par exemple un Mooc du CNFPT sur le sujet.
Le Data Act prévoit en son préambule et, notamment les points 64 et 65, la possibilité pour les organismes du secteur public, au sens du règlement, de solliciter auprès des détenteurs de données privés, toujours au sens du règlement, l’accès à certaines données. Cela est rédigé comme suit dans le Data Act :
« (64) En cas de situations d'urgence, telles que les urgences de santé publique, les urgences résultant de catastrophes naturelles, y compris celles aggravées par le changement climatique et la dégradation de l'environnement, ainsi que les catastrophes majeures d'origine humaine, telles que les incidents majeurs de cybersécurité, l'intérêt public résultant de l'utilisation des données l'emportera sur l'intérêt des détenteurs de données à disposer librement des données qu'ils détiennent. Dans ce cas, les détenteurs de données devraient être tenus de les mettre à la disposition des organismes du secteur public, de la Commission, de la Banque centrale européenne ou des organes de l'Union à leur demande. L'existence d'une situation d'urgence devrait être déterminée ou déclarée conformément au droit de l'Union ou au droit national et fondée sur les procédures pertinentes, y compris celles des organisations internationales compétentes. Dans de tels cas, l'organisme du secteur public devrait démontrer que les données faisant l'objet de la demande ne pourraient pas, autrement, être obtenues de manière rapide et efficace et dans des conditions équivalentes, par exemple au moyen de la fourniture volontaire de données par une autre entreprise ou de la consultation d'une base de données publique.
(65) Un besoin exceptionnel peut également résulter de situations non urgentes. Dans de tels cas, un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union devrait être uniquement autorisé à demander des données à caractère non personnel. L'organisme du secteur public devrait démontrer que les données sont nécessaires à l’exécution d'une mission spécifique d'intérêt public explicitement prévue par la loi, telle que la production de statistiques officielles ou l'atténuation d'une situation d'urgence ou le rétablissement à la suite d'une situation d'urgence. En outre, une telle demande ne peut être effectuée que lorsque l'organisme du secteur public, la Commission, la Banque centrale européenne ou l’organe de l'Union a déterminé des données spécifiques qui ne pourraient pas, autrement, être obtenues de manière rapide et efficace et dans des conditions équivalentes, et uniquement s'il a épuisé tous les autres moyens à sa disposition pour se procurer ces données, tels que l'obtention des données au moyen d'accords volontaires, notamment en achetant des données à caractère non-personnel sur le marché aux prix du marché, ou le recours aux obligations existantes de mise à disposition des données ou l'adoption de nouvelles mesures législatives susceptibles de garantir la disponibilité des données en temps utile. Les conditions et principes régissant les demandes, tels que ceux liés à la limitation de la finalité, à la proportionnalité, à la transparence et à la limitation dans le temps, devraient également s'appliquer. En cas de demande de données nécessaires à la production de statistiques officielles, l'organisme du secteur public demandeur devrait également démontrer si le droit national l'autorise à acheter des données à caractère non-personnel sur le marché. »
Deux situations sont distinguées :
- La situation d’urgence ;
- Le besoin exceptionnel relevant d’une situation non urgente ; étant précisé que seules les données à caractère non personnel sont concernées par cette demande.
Par ailleurs, il convient de noter qu’en sus du préambule, points 64 et 65 précités, l’article 14 dudit règlement vient préciser la notion de besoin exceptionnel.
En effet, il est prévu que :
« Lorsqu'un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union démontre l'existence d'un besoin exceptionnel, tel qu'il est décrit à l'article 15, d'utiliser certaines données, y compris les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données, pour exercer ses fonctions statutaires à des fins d'intérêt public, les détenteurs de données qui sont des personnes morales, autres que des organismes du secteur public, qui détiennent ces données les mettent à disposition sur demande dûment motivée. »
L’article 15, relatif au « besoin exceptionnel d’utiliser les données » précise à son tour :
« 1. Un besoin exceptionnel d'utiliser certaines données au sens du présent chapitre a une durée et une portée limitées et est réputé exister uniquement dans les cas suivants :
a) lorsque les données demandées sont nécessaires pour réagir à une situation d'urgence et que l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union n'est pas en mesure d'obtenir ces données par d'autres moyens en temps utile et de manière efficace et dans des conditions équivalentes ;
b) dans des circonstances non couvertes par le point a) et uniquement en ce qui concerne les données à caractère non personnel, lorsque : i) un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l'Union agit sur la base du droit de l'Union ou du droit national et a déterminé des données spécifiques, dont l'absence l'empêche d’exécuter une mission spécifique d'intérêt public, qui a été explicitement prévue par la loi, telle que la production de statistiques officielles, l'atténuation d'une situation d'urgence ou le rétablissement à la suite d'une situation d'urgence ; et ii) l'organisme du secteur public, la Commission, la Banque centrale européenne ou l'organe de l'Union a épuisé tous les autres moyens à sa disposition pour obtenir ces données, y compris l'achat de données à caractère non personnel sur le marché aux prix du marché ou le recours aux obligations existantes de mise à disposition des données ou l'adoption de nouvelles mesures législatives pouvant garantir la disponibilité des données en temps utile.
2. Le paragraphe 1, point b), ne s'applique pas aux microentreprises ni aux petites entreprises.
3. L'obligation de démontrer que l'organisme du secteur public n'a pas été en mesure d'obtenir des données à caractère non personnel en les achetant sur le marché ne s'applique pas lorsque la mission spécifique exécutée dans l'intérêt public consiste en la production de statistiques officielles et que l'achat de ces données n'est pas autorisé par le droit national. »
L'identification des sources et des droits d'auteurs est une vraie question lors que l'on a recours à l'IA. L'IA générative pause clairement des questions autour des droits d'auteurs. Sans jurisprudence, il est difficile aujourd'hui de répondre précisément à ces questions. On reste sur un nouveau sujet et il est encore nécessaire de construire notre législation de l'IA en y intégrant nos valeurs.
Oui, il peut il y avoir un risque et c'est un élément important décrié par les détracteurs de l'IA générative notamment autour du droit d'auteur. Des évolutions sont en cours pour mieux identifier les sources d'informations utilisées par les IA, mais à ce stade, en France, comme dans beaucoup de pays, on manque de recul, notamment sur le volet juridique pour répondre à ces questions.
Ce choix est le résultat d'un consensus au niveau européen basé sur des avis d'experts. Une des difficultés de jugement repose sur le caractère évolutif des IA. Elles peuvent à un moment être jugées sans risque, mais évoluer dans une direction imprévue. L'exemple du chatbot montre que l'on doit surveiller l'IA tout au long de son existence pour identifier des changements de comportement et des risques qu'elle peut présenter. Ici aussi, la jurisprudence apportera sans doute des éclairages dans les prochains mois et années.
L'identification des sources et l'appauvrissement des contenus générés sont de réelles préoccupations actuellement. Il y a beaucoup de lobbying au niveau des entreprises sur ce sujet et les réponses éthiques et techniques ne sont pas toujours simples, notamment dans un contexte concurrentiel fort au niveau international. Les acteurs publics ont une obligation renforcée de transparence, notamment si elles utilisent de l'IA, mais il n'est pas toujours facile de la transposer au niveau des entreprises pour des questions notamment de modèle économique.
En tant que structure publique, il peut paraître évident que le principe de l'altruisme soit l'apanage des administrations. Cependant, les organismes publics ne sont pas toujours impartiaux et peuvent faire des choix politiques discutables aux yeux du citoyen. Des avis divergents existent au niveau européen. Par ailleurs, une valeur qui semble importante aujourd'hui c'est qu'un organisme altruiste ne peut proposer que des services à but non lucratif, or cela peut poser des difficultés économiques en matière de développement de nouveaux services basés notamment sur des données open data. Cela pourrait limiter le développement de certains projets.