Gouvernance DGA, IA, DA… : quelle autorité l’emportera ?
Article rédigé le 30 septembre 2022 par Céline Cadoret
S’imprégner du contenu des nouveaux règlements européens en cours d’adoption relatifs aux nouveaux usages des données (DGA, DA, IA, DMA, DSA…) s’avère une tâche délicate quand leur gouvernance parait actuellement floue et présage un millefeuille d’autorités compétentes en la matière.
Contrairement au RGPD, ces nouveaux règlements renvoient toutefois à de nombreuses reprises aux lois nationales, qui permettront sans doute d’éclaircir quelles autorités en France auront un rôle à jouer.
La profusion de ces nouveaux règlements européens va bousculer, tout autant que le RGPD, les organismes qui devront s’y conformer et ce, d’autant plus que ces règlements en cours d’adoption laissent entrevoir actuellement une gouvernance assez nébuleuse.
Là où le RGPD n’évoquait qu’une seule autorité de contrôle compétente dans chaque Etat membre en matière de protection des données à caractère personnel, ces nouveaux règlements européens en cours d’adoption semblent prévoir l’intervention de nombreuses autorités et d’organismes dans le cadre de leur gouvernance.
Outre la création de comités (comité européen de l’innovation dans le domaine des données, comité européen de l’intelligence artificielle…), on comprend à la lecture de ces règlements que des autorités auront la charge de veiller au respect de leurs dispositions quand d’autres, ou bien les mêmes, délivreront des certifications ou des labellisations, ou auront la charge de gérer des éventuels recours ou des litiges.
Des autorités compétentes pour veiller à la bonne application des dispositions des règlements européens
Sans surprise, on retrouve au sein de ces nouveaux règlements européens en cours d’adoption la présence d’une autorité qui aura la charge de veiller à l’application des dispositions de ces derniers, à l’instar de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour le RGPD.
A titre d’exemple, le projet de règlement européen sur l’intelligence artificielle proposé en avril 2021 par la Commission européenne prévoit au sein de son article 3 – Définitions que l’autorité de contrôle nationale est l’autorité qu’un Etat membre charge (1) de la mise en œuvre et de l’application du présent règlement, (2) de la coordination des activités confiées à cet Etat membre, (3) du rôle de point de contact unique pour la Commission européenne et (4) de la représentation de l’Etat membre concerné au sein du Comité européen de l’intelligence artificielle.
Au regard de ces missions, on pourrait penser que la CNIL serait l’autorité de contrôle nationale compétente en France pour la régulation de l’intelligence artificielle et veillerait ainsi au respect de ce nouveau règlement. C’est d’ailleurs la position récente du Conseil d’Etat dans une étude publiée le 30 août 2022 dont la CNIL s’est fait l’écho sur son site internet et lors de son récent webinaire sur l’IA et les données personnelles. Cette étude préconise une « transformation profonde de la CNIL en autorité de contrôle nationale responsable de la régulation des systèmes d’IA, notamment publics, pour incarner et internaliser le double en jeu de la protection des droits et libertés fondamentaux, d’une part, et de l’innovation et de la performance publique, d’autre part ».
Par ailleurs, le Règlement (UE) 2022/868 du Parlement européen et du Conseil portant sur la gouvernance des données (le « Data Governance Act » ou « DGA »), adopté le 30 mai 2022 et qui entrera en application le 24 septembre 2023 au sein de l’Union européenne (voir notre récent article « J-365 : Les hôpitaux face au Data Governance Act » sur ce sujet), prévoit dans son considérant 4 qu’ « Il devrait être possible de considérer les autorités chargées de la protection des données comme des autorités compétentes au titre du présent règlement ».
La CNIL pourrait de ce fait avoir un rôle important pour veiller également au respect des dispositions du DGA qui concernent notamment la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public (Chapitre II), les exigences applicables aux services d’intermédiation de données (Chapitre III) et l’altruisme en matière de données (Chapitre IV). Néanmoins, le considérant 4 se poursuit de la manière suivante : « Lorsque d’autres autorités agissent comme autorités compétentes au titre du présent règlement, elles devraient agir sans préjudice des pouvoirs de surveillance et des compétences conférés aux autorités chargées de la protection des données au titre du règlement (UE) 2016/679 », ce qui pourrait laisser supposer une compétence laissée à d’autres autorités.
De la même manière, on peut douter de la compétence de la CNIL pour veiller au respect de certaines dispositions de ce règlement puisque le DGA envisage au sein de son article 11 que « Tout prestataire de services d’intermédiation de données qui a l’intention de fournir les services d’intermédiation de données (…) soumet une notification à l’autorité compétente en matière de services d’intermédiation de données ». Dès lors, on s’interroge sur la désignation de cette autorité compétente en matière de services d’intermédiation (des services de partage des données entre plusieurs entités), puisque l’article 13 de ce même règlement prévoit que « Les pouvoirs des autorités compétentes en matière de services d’intermédiation de données sont sans préjudice des pouvoirs des autorités chargées de la protection des données, des autorités nationales de la concurrence, des autorités chargées de la cyber sécurité et des autres autorités sectorielles concernées ».
Des éclaircissements mériteraient ainsi d’être apportées sur ces points, d’autant plus qu’à plusieurs reprises, ces nouveaux règlements en cours d’adoption visent dans plusieurs articles « des autorités » au pluriel. Dans le projet de règlement IA, il est par exemple prévu au sein de l’article 48 que « Le fournisseur établit, par écrit, une déclaration UE de conformité concernant chaque système d’IA et la tient à disposition des autorités nationales compétentes (…) ».
En plus de ces autorités nationales de contrôle, d’autres acteurs semblent également être impliqués dans la gouvernance de ces nouveaux règlements européens en cours d’adoption, à savoir des autorités ou des organismes en charge des certifications et des labellisations.
Des autorités compétentes pour certifier ou labelliser des entités
Ces nouveaux règlements européens en cours d’adoption instaurent des mécanismes de certification ou de labellisation pour les entités qui doivent s’y conformer (services d’intermédiation des données, fournisseurs systèmes d’IA à haut risque, organismes d’altruisme des données…).
Plus précisément, pour délivrer ces certifications, le projet de règlement sur l’IA prévoit notamment la mise en place d’ « organisme d’évaluation de la conformité » et « d’organisme notifié ». On comprend de ces définitions que des organismes vont être accrédités (« notifiés ») par l’autorité de contrôle nationale compétente pour délivrer des certificats d’évaluation UE à des fournisseurs mettant en œuvre des systèmes d’IA dits « à haut risque ».
Mais là encore, il ressort de la définition d’organisme notifié que ce dernier pourrait également « évaluer la conformité en application du présent règlement et d’autres actes législatifs d’harmonisation de l’UE pertinents ». Quelle serait ainsi la différence avec le rôle de l’autorité de contrôle nationale compétente en matière d’IA en charge du contrôle de la bonne application du règlement.
Quant au DGA, ce dernier instaure un système de labels qui peuvent être délivrés à la fois pour les prestataires de services d’intermédiation des données (article 11.9) et pour les organismes altruistes en matière de données (article 17.2), afin que ces derniers puissent être facilement reconnus au sein de l’Union européenne.
Or, pour accorder ces labellisations, le règlement vise « une ou plusieurs autorités compétentes », ce qui laisse à s’interroger sur le rôle des autorités préexistantes en France dans cette labellisation. L’intervention de plusieurs autorités/organismes par secteur d’activités (secteur de la santé et du médicosocial, secteur public…) pourrait par exemple être envisageable.
Des autorités compétentes pour les recours effectifs des personnes concernées et pour les règlements amiables des litiges
Outre les autorités de contrôle et de certification/labellisation, ces nouveaux règlements européens en cours d’adoption prévoient également des autorités compétentes afin de gérer les éventuels recours de personnes concernées par les données faisant l’objet d’une réutilisation ou pour régler à l’amiable des litiges qui pourraient intervenir par exemple entre des détenteurs et des destinataires de données.
En effet, dans la proposition de règlement du parlement européen et du conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (plus communément appelée « Règlement sur les données » ou « Data Act ») du 23 février 2022, il est évoqué que les entités concernées par les dispositions de ce règlement pourront avoir accès à des organismes de règlement des litiges. Ces organismes devront être certifiés dans l’Etat membre concerné selon un certain nombre de conditions (article 10.2).
De son côté, le DGA prévoit au sein de son article 9 que toute personne physique ou morale directement affectée par une décision relative à une demande de réutilisation de données peut exercer un recours effectif auprès d’un organisme impartial « telle que l’autorité nationale de la concurrence, l’autorité pertinente d’accès aux documents, l’autorité de contrôle établie conformément au règlement (UE) 2016/679 ou une autorité judiciaire nationale ». Ainsi, quelle autorité l’emportera ?
La gouvernance des règlements européens en cours d’adoption semble laisser présager un millefeuille d’autorités compétentes possible en matière de régulation des nouveaux usages des données (mise en place de systèmes d’IA, réutilisation des données d’organismes publics…).
Ce millefeuille interroge ainsi sur la répartition des rôles et des responsabilités de chacune de ces autorités ou organismes visés dans ces textes, et notamment sur le rôle des autorités/organismes préexistants en la matière en France telles que la CNIL, la CADA, l’autorité de la concurrence… ou encore des organismes plus sectoriels comme le Health Data Hub (HDH), l’Agence du Numérique en Santé (ANS) ou les Agences Régionales de Santé (ARS) dans le secteur de la santé et du médicosocial.
De surcroit, cette gouvernance risque d’entrainer une multiplication des contrôles et accentue la vigilance particulière qui devra être portée par les organismes amenés à traiter des données dans leur conformité à l’ensemble de ces règlements.
Enfin, ces nouveaux règlements interrogent également sur la capacité des autorités préexistantes dans les Etats membres de l’Union européenne à occuper ces nouveaux rôles, notamment en termes de moyens humains et financiers, et particulièrement après le récent refus de la Commission européenne d’augmenter les moyens des deux autorités européennes de contrôle en matière de protection des données à caractère personnel : le Comité européen sur la protection des données (EDPB) et le Contrôleur européen sur la protection des données (EDPS).
Les lois nationales permettront sans doute d’éclaircir l’organisation de cette nouvelle gouvernance.
Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.
Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.
Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :
La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).