Bruxelles, le 17 juillet – Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté une déclaration sur le rôle des autorités de protection des données (APD) dans le cadre de la législation sur l’intelligence artificielle (législation sur l’IA).
Selon l’EDPB, les APD disposent déjà d’une expérience et d’une expertise en ce qui concerne l’incidence de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, et devraient donc être désignées en tant qu’autorités de surveillance du marché dans un certain nombre de cas. Cela garantirait une meilleure coordination entre les différentes autorités de régulation, renforcerait la sécurité juridique pour toutes les parties prenantes et renforcerait la surveillance et l’application de la législation sur l’IA et de la législation de l’UE en matière de protection des données.
Conformément à la législation sur l’IA, les États membres désignent des autorités de surveillance au niveau national avant le 2 août 2025, afin de superviser l’application et la mise en œuvre de la législation sur l’IA.
Dans sa déclaration, l’EDPB recommande que:
- Comme déjà indiqué dans la législation sur l’IA, les APD devraient être désignées comme ASM pour les systèmes d’IA à haut risque utilisés à des fins répressives, de gestion des frontières, d’administration de la justice et de processus démocratiques;
- Les États membres devraient envisager de désigner des APD comme ASM également pour d’autres systèmes d’IA à haut risque, en tenant compte des points de vue de l’APD nationale, en particulier lorsque ces systèmes d’IA à haut risque se trouvent dans des secteurs susceptibles d’avoir une incidence sur les droits et libertés des personnes physiques en ce qui concerne le traitement des données à caractère personnel;
- les APD, lorsqu’elles sont désignées comme ASM, devraient être désignées comme points de contact uniques pour le public et leurs homologues au niveau des États membres et de l’UE;
- Des procédures claires devraient être établies pour la coopération entre les autorités de surveillance du marché et les autres autorités de régulation chargées de la surveillance des systèmes d’IA, y compris les autorités chargées de la protection des données. En outre, une coopération appropriée devrait être établie entre l’Office de l’Union européenne pour l’IA et les APD/EDPB.
La vice-présidente du comité européen de la protection des données, Irene Loizidou Nicolaidou, a déclaré: «Les APD devraient jouer un rôle de premier plan dans l’application de la législation sur l’IA, étant donné que la plupart des systèmes d’IA impliquent le traitement de données à caractère personnel. Je suis fermement convaincu que les APD sont adaptées à ce rôle en raison de leur indépendance totale et de leur compréhension approfondie des risques de l’IA pour les droits fondamentaux, sur la base de leur expérience existante.»
Ensuite, le comité a adopté deux documents de la Foire aux questions (FAQ) concernant le cadre de protection des données UE-États-Unis, visant à fournir davantage de précisions sur le fonctionnement du CPD.
La FAQ pour les particuliers fournit des informations sur le fonctionnement du CPD: comment en bénéficier, comment déposer une plainte et comment cette plainte sera traitée.
De même, la FAQ pour les entreprises explique quelles entreprises américaines sont éligibles pour rejoindre le DPF: Que faire avant de transférer des données personnelles à une entreprise aux États-Unis qui est certifiée DPF, et où trouver d'autres conseils.
Enfin, l’EDPB a adopté un avis approuvant le catalogue des critères EuroPriSe pour la certification des activités de traitement par les sous-traitants, ce qui a donné lieu à un label européen de protection des données.* Les labels européens de protection des données constituent des outils importants contribuant à la conformité au RGPD.
En septembre 2022, l’EDPB avait adopté un avis sur les critères de certification EuroPriSe, permettant leur reconnaissance en Allemagne en tant que critères de certification pour les opérations de traitement par les sous-traitants. À la suite d’une mise à jour du système, le présent avis approuve les critères comme étant applicables dans l’ensemble de l’UE/EEE et en tant que label européen de protection des données.
La certification GDPR contribue à la démonstration des efforts de conformité et à une transparence et une confiance accrues. Il permet une meilleure évaluation du degré de protection offert par les produits, services, processus ou systèmes utilisés par les organisations qui traitent des données à caractère personnel.
Note aux rédacteurs:
*Le sceau européen de protection des données EuroPrise sera ajouté au registre des mécanismes de certification et des sceaux de protection des données conformément à l'article 42, paragraphe 8, du RGPD.
L’avis sur l’approbation du système de certification EuroPriSe en tant que label européen de protection des données, adopté lors de la session plénière du comité européen de la protection des données, est soumis aux vérifications juridiques, linguistiques et de formatage nécessaires et sera mis à disposition sur le site web du comité européen de la protection des données une fois qu’il sera achevé.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.