La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle a lancé une enquête statutaire transfrontalière[1] sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire concerne la question de savoir si Google a respecté les obligations qu’elle aurait pu avoir d’entreprendre une évaluation, conformément à l’article 35[2] du règlement général sur la protection des données (analyse d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).
Une analyse d’impact sur la protection des données (DPIA)[3], si nécessaire, est d’une importance cruciale pour garantir que les droits et libertés fondamentaux des personnes sont correctement pris en compte et protégés lorsque le traitement des données personnelles est susceptible d’entraîner un risque élevé.
Cette enquête statutaire fait partie des efforts plus vastes de la DPC, en collaboration avec ses homologues régulateurs de l’UE/EEE, pour réglementer le traitement des données personnelles des personnes concernées de l’UE/EEE dans le cadre du développement de modèles et de systèmes d’IA.
[1] Le traitement transfrontalier signifie soit :
le traitement de données personnelles qui a lieu dans le cadre des activités d’établissements situés dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant dans l’Union lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou
le traitement de données personnelles qui a lieu dans le cadre des activités d’un seul établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union mais qui affecte sensiblement ou est susceptible d’affecter sensiblement les personnes concernées dans plusieurs États membres.
[2] L’article 35 du règlement général sur la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) est requise lorsqu’un type de traitement, notamment à l’aide de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Une évaluation d’impact sur la protection des données est un processus essentiel pour établir et démontrer la conformité, qui garantit que les responsables du traitement des données identifient et atténuent les risques de protection des données découlant d’un type de traitement qui comporte un risque élevé. Elle vise à garantir, entre autres, que le traitement est nécessaire et proportionné et que des garanties appropriées sont en place à la lumière des risques.
[3] Pour plus d’informations sur les exigences de l’AIPD, veuillez consulter notre page d’orientation : Connaître vos obligations – Analyses d’impact sur la protection des données.