Pour soutenir nos clients, nous avons examiné plusieurs solutions privacy pilotées par l’IA. Cet article donne un aperçu des fonctionnalités offertes par les principaux acteurs du marché privacy, notamment OneTrust, Smart Global Governance, Witik, Dastra, EQS, Secure Privacy, DataGrail, BigID, Collibra, Privacy License et Ardent. Cette liste n’est pas exhaustive, mais elle met en lumière les principaux fournisseurs que nous avons identifiés parmi nos clients.

Le radar ci-dessous présente un résumé des résultats de l’étude, offrant un aperçu des capacités des différentes solutions en matière de fonctionnalités d’IA. Il servira d’outil précieux pour les organisations afin d’identifier quelles solutions correspondent le mieux à leurs besoins et priorités spécifiques.

Figure 1 : Radar des solutions Privacy intégrant l’IA

Les fonctionnalités IA en privacy

Lors de notre évaluation comparative, nous avons identifié cinq types principaux de fonctionnalités pour l’utilisation de l’IA dans les solutions privacy. Ces cinq catégories couvrent les principales fonctionnalités récurrentes trouvées dans les solutions des éditeurs. Bien que chaque catégorie regroupe des fonctionnalités similaires, certaines fonctionnalités uniques de l’IA peuvent ne pas entrer dans ces catégories.

Figure 2 : Catégories de fonctionnalités IA en privacy

   1. Génération assistée de documents privacy

Les solutions d’IA peuvent générer automatiquement des questionnaires et des évaluations pour les audits de conformité, les enquêtes de satisfaction, les rapports personnalisés et même les registres de traitement des données. Ces outils permettent de personnaliser le contenu en fonction des exigences spécifiques. Certaines solutions intègrent même la possibilité d’importer des documents existants pour optimiser la génération de documents.

Exemple d’utilisation : générer une proposition de modèle d’évaluation des fournisseurs.

Ce type de fonctionnalité démontre d’une maturité déjà avancée et permet de rédiger rapidement plusieurs documents qui prendraient autrement beaucoup plus de temps.

Score de maturité :

   2. Analyse et complétion intelligentes de document

L’analyse intelligente de documents utilise l’IA pour examiner des documents complexes, extraire des informations clés et identifier les risques de conformité. Elle ne génère que des brouillons initiaux de réponses aux questions, aidant ainsi les utilisateurs à ne pas partir de zéro. Un contrôle humain est nécessaire pour vérifier la qualité de ces brouillons.

Exemple d’utilisation : générer un premier brouillon de privacy by design pour un nouveau traitement de données RH.

Ce type de fonctionnalité est considérée comme mature et permet de rédiger rapidement des réponses dans des questionnaires ou divers documents, réduisant ainsi considérablement le temps nécessaire à leur achèvement.

Score de maturité : 

   3. Plan de conformité assisté par IA

Les solutions d’IA peuvent créer des plans d’action de conformité, gérer des tâches, automatiser des flux de travail, et assurer ainsi une exécution fluide des processus de mise en conformité. Ces outils optimisent le temps et les ressources, simplifiant ainsi l’achèvement des workflows.

Exemple d’utilisation : automatisation des réponses aux demandes d’accès des personnes concernées.

Ce type de fonctionnalité émerge notamment avec l’arrivée des agents IA. Dans un an environ, cette technologie devrait gagner en maturité et permettre une plus grande précision dans les combinaisons de tâches proposées pour simplifier les flux de travail.

Score de maturité :     

   4. Assistants IA

Les assistants conversationnels IA fournissent une assistance en temps réel aux employés et aux clients en répondant à leurs questions et en les guidant à travers les processus de conformité. En général, ces assistants IA sont pré-entraînés avec des référentiels de réglementation ou des documents juridiques. Ils peuvent également être adaptés avec des documents choisis par le client et téléchargés dans un environnement de travail sécurisé fourni par l’éditeur. Leur utilisation améliore l’accessibilité et la réactivité des services de conformité.

Exemple d’utilisation : Privacy-GPT permettant de répondre à des questions telles que « pouvez-vous me rappeler les règles de suppression des données pour les CV ? »

Cette fonctionnalité est facilement disponible et peut être mise en œuvre aisément au sein des entreprises en utilisant des configurations simples d’agents IA comme Copilot.

Score de maturité : 

   5. Gestion des cookies et du consentement avec l’IA

Il est possible d’utiliser l’IA pour générer automatiquement des bannières de consentement aux cookies, en tenant compte des principaux paramètres tels que la langue, le pays et les réglementations applicables. Elle automatise également la création de politiques de privacy et de gestion des cookies, adaptées aux critères juridiques régionaux et linguistiques. De plus, certaines solutions incluent une classification intelligente des cookies, permettant d’identifier, de catégoriser et de gérer les cookies sur un site web.

Cette fonctionnalité est rare, et peu d’éditeurs ont poursuivi son développement.

Score de maturité :  

Comment tirer le meilleur parti de la maturité actuelle des outils d’IA ?

Le benchmark indique que les solutions privacy basées sur l’IA offrent des avantages notables en matière de conformité et d’efficacité au travail, bien que certaines limites soient à prendre en compte.

Avantages :

• Conformité et gain de temps : Les solutions privacy basées sur l’IA peuvent améliorer et simplifier les travaux autour de la conformité.
  • Les fonctionnalités de l’IA visent à gagner du temps, en particulier pour les tâches répétitives et longues. Cela peut impliquer, par exemple, le pré-remplissage de questionnaires, l’automatisation des flux de travail…
  • Les outils d’IA donnent accès à une vaste base de connaissances, qu’elle soit interne ou externe, et permettent des recherches plus rapides. La conformité peut être atteinte plus rapidement et avec plus de précision.
  • Ces outils permettent également d’assurer la cohérence au sein de l’organisation sur la manière de traiter les sujets privacy (en s’appuyant sur un RAG commun). La conformité sera plus cohérente au sein de toutes les entités.
• Automatisation partielle : L’automatisation complète n’est pas l’objectif en matière de privacy en raison de la nature sensible des informations impliquées. Les solutions d’IA en privacy sont plus adaptées en tant qu’outils de support plutôt qu’en tant qu’outils de remplacement complet. C’est pourquoi la plupart des éditeurs développent des fonctionnalités pour des tâches spécifiques exigeant une supervision humaine.

Limites :

• Limites spécifiques aux tâches : De nombreux outils d’IA utilisent des modèles tiers (par exemple, une API directement liée à OpenAI) qui peuvent ne pas être entièrement optimisés pour des tâches spécialisées. Lors de la sélection d’une solution d’IA, il est important de vérifier le modèle et les données d’entraînement, et d’opter pour des plateformes qui utilisent des modèles propriétaires axés sur la confidentialité des données pour des résultats plus fiables.
• Risques de sécurité : L’augmentation de la connectivité et la demande de personnalisation peuvent introduire des risques de sécurité, affectant potentiellement l’intégrité et la confidentialité des données. Il est conseillé de surveiller la manière dont les systèmes d’IA interagissent avec les données pour s’assurer que les informations sensibles ne sont pas accessibles à l’IA.
• Responsabilités des utilisateurs : Il est important de reconnaître que l’utilisation de l’IA comporte des risques inhérents, car ses réponses ne sont pas toujours exactes ou pertinentes. Les utilisateurs doivent garder une perspective critique et vérifier soigneusement tout contenu généré par l’IA avant de l’incorporer dans des documents officiels. Sensibiliser et offrir des conseils sur les meilleures pratiques d’utilisation de l’IA pourrait être bénéfique pour garantir une mise en œuvre responsable et efficace.

Perspectives

L’intelligence artificielle en est encore à ses débuts pour les sujets privacy, et des fonctions plus avancées devraient émerger à l’avenir. Actuellement, les capacités de l’IA sont utilisées comme outils de support pour diverses tâches, opérant généralement sous la supervision humaine pour rationaliser les processus chronophages ou répétitifs. Dans un ou deux ans, d’autres opportunités pourraient apparaître avec le développement d’agents IA (systèmes conçus pour effectuer des tâches de manière autonome pour les utilisateurs ou d’autres systèmes), permettant une personnalisation accrue pour des besoins métiers spécifiques ou des applications générales, ainsi qu’une meilleure précision dans l’exécution de tâches spécifiques. Pour ces raisons, il est conseillé de s’intéresser dès maintenant aux outils d’IA, car ils peuvent permettre de gagner en efficacité sur les sujets opérationnels.

Bien que la personnalisation accrue puisse améliorer le rôle de l’IA dans la privacy et la conformité, elle augmente également la connectivité, ce qui peut poser des risques de sécurité. Il sera nécessaire de relever ces défis pour maintenir l’intégrité et la confidentialité des données.

Enfin, étant donné le développement rapide de l’IA, changer une solution déjà implémentée pourrait ne pas être financièrement judicieux. Néanmoins, il peut être intéressant de le planifier pour 2026 et de contacter votre éditeur pour en savoir plus sur les fonctionnalités disponibles lorsque la technologie des agents IA sera plus mature.

Dans le cadre de notre recherche, nous avons organisé des ateliers d’une heure avec six de ces éditeurs (Dastra, OneTrust, Smart Global Governance, Secure Privacy, Witik et EQS/Privacy Cockpit) afin de mieux comprendre leurs capacités en matière d’IA, leurs développements futurs et la manière dont ils intègrent l’IA dans leurs solutions.

Nous remercions vivement Cyprien Charlaté et Catherine Pigamo pour leur précieuse contribution à la rédaction de cet article.

Cet article Pourquoi est-ce le bon moment d’inclure des outils alimentés par l’IA dans votre stratégie de conformité privacy ? est apparu en premier sur RiskInsight.

Nous détaillerons dans cet article les impacts de l’IA sur la conformité des traitements aux grands principes réglementaires mais aussi sur la sécurité des traitements sur laquelle pèsent de nouveaux risques. Nous partagerons ensuite notre vision d’un outil de PIA adapté afin de répondre à des questionnements et enjeux remaniés par l’arrivée de l’IA dans les traitements de données personnelles.

L’impact de l’IA sur les principes de protection des données

Bien que l’IA se développe rapidement depuis l’arrivée de l’IA générative, elle n’est pas nouvelle dans les entreprises. Les nouveautés résident dans les gains d’efficacité des solutions, dont l’offre est plus étoffée que jamais, et surtout dans la multiplication des cas d’usages qui viennent transformer nos activités et notre rapport au travail.

Ces gains ne sont pas sans risques sur les libertés fondamentales et plus particulièrement sur le droit à la vie privée. En effet, les systèmes d’IA nécessitent des quantités massives de données pour fonctionner efficacement, et ces bases de données contiennent souvent des informations personnelles. Ces larges volumes de données font par la suite l’objet de multiples calculs, analyses et transformations complexes : les données ingérées par le modèle d’IA deviennent à partir de ce moment indissociables de la solution d’IA^[1]. Outre cette spécificité, nous pouvons mentionner la complexité de ces solutions qui diminue la transparence et la traçabilité des actions opérées par celles-ci. Ainsi, de ces différents aspects caractéristiques de l’IA, en résulte une multitude d’impacts sur la capacité des entreprises à se conformer aux exigences réglementaires en matière de protection des données personnelles.

Figure 1 : exemples d’impacts sur les principes de protection des données.

En complément de la Figure 1, trois principes peuvent être détaillés pour illustrer les impacts de l’IA sur la protection des données ainsi que les nouvelles difficultés auxquelles les professionnels de ce domaine seront confrontés :

1. Transparence: Assurer la transparence devient bien plus complexe en raison de l’opacité et de la complexité des modèles d’IA. Les algorithmes de machine learning et de deep learning peuvent être des « boîtes noires », où il est difficile de comprendre comment les décisions sont prises. Les professionnels doivent relever le défi de rendre ces processus compréhensibles et explicables, tout en garantissant que les informations fournies aux utilisateurs et aux régulateurs soient claires et détaillées.
2. Principe d’exactitude: Appliquer le principe d’exactitude est particulièrement difficile avec l’IA en raison des risques de biais algorithmiques. Les modèles d’IA peuvent reproduire ou même amplifier les biais présents dans les données d’entraînement, ce qui conduit à des décisions inexactes ou injustes. Les professionnels doivent donc non seulement s’assurer que les données utilisées sont précises et à jour, mais aussi mettre en place des mécanismes pour détecter et corriger les biais algorithmiques.
3. Durée de conservation: La gestion de la durée de conservation des données devient plus complexe avec l’IA. L’entraînement des modèles d’IA avec des données crée une dépendance entre l’algorithme et les données utilisées, rendant difficile, voire impossible, de dissocier l’IA de ces données. Aujourd’hui, il est pratiquement impossible de faire « oublier » à une IA des informations spécifiques, ce qui complique la conformité avec les principes de minimisation des données et de durée de conservation.

Les nouveaux risques soulevés par l’IA

Outre les impacts sur les principes de conformité abordés à l’instant, l’IA produit également des effets significatifs sur la sécurité des traitements, modifiant ainsi les approches en matière de protection des données et de gestion des risques.

L’utilisation de l’intelligence artificielle fait alors ressortir 3 types de risques sur la sécurité des traitements :

• Risques traditionnels: Comme toute technologie, l’utilisation de l’intelligence artificielle est sujette à des risques de sécurité traditionnels. Ces risques incluent, par exemple, des failles au niveau des infrastructures, des processus, des personnes et des équipements. Qu’il s’agisse de systèmes traditionnels ou de solutions basées sur l’IA, les vulnérabilités en matière de sécurité des données et de gestion des accès persistent. Les erreurs humaines, les pannes matérielles, les mauvaises configurations de systèmes ou les processus insuffisamment sécurisés demeurent des préoccupations constantes, indépendamment de l’innovation technologique.
• Risques amplifiés: L’utilisation de l’IA peut également exacerber des risques déjà existants. Par exemple, l’utilisation d’un grand modèle de langage, comme Copilot, pour assister dans les tâches quotidiennes peut poser des problèmes. En se connectant à toutes vos applications, le modèle d’IA centralise toutes les données en un seul point d’accès, ce qui augmente considérablement le risque de fuite de données. De la même manière, une gestion des identités et des droits des utilisateurs imparfaite aboutira à des risques accrus d’actes malveillants en présence d’une solution d’IA capable d’accéder et d’analyser avec une efficacité singulière à des documents illégitimes pour l’utilisateur.
• Risques émergents: De la même manière que pour les risques liés à la durée de conservation, il devient de plus en plus difficile de dissocier l’IA de ces données d’entrainements. Cela peut parfois rendre l’exercice de certains droits comme le droit à l’oubli bien plus difficile, entrainant un risque de non-conformité.

Un contexte réglementaire en mutation

Avec la prolifération mondiale des outils basés sur l’intelligence artificielle, divers acteurs ont intensifié leurs efforts pour se positionner dans ce domaine. Pour répondre aux préoccupations, plusieurs initiatives ont vu le jour : le Partnership on AI réunit des géants technologiques comme Amazon, Google, et Microsoft pour promouvoir une recherche ouverte et inclusive sur l’IA, tandis que l’ONU organise l’AI for Good Global Summit pour explorer l’IA au service des objectifs de développement durable. Ces initiatives ne sont que des exemples parmi de nombreuses autres initiatives visant à encadrer et guider l’utilisation de l’IA, assurant ainsi une approche responsable et bénéfique de cette technologie.

Figure 2 : exemples d’initiatives liées au développement de l’IA.

Le changement récent et le plus impactant est l’adoption de l’AI Act (ou RIA, règlement européen sur l’IA), qui introduit une nouvelle exigence dans l’identification des traitements de données à caractère personnel devant bénéficier d’un soin particulier : en plus des critères classiques des lignes directrices du G29, l’utilisation d’une IA à haut risque nécessitera systématiquement la réalisation d’une PIA. Pour rappel, le PIA est une évaluation qui vise à identifier, évaluer et atténuer les risques que certains traitements de données peuvent poser à la vie privée des individus, en particulier lorsqu’ils impliquent des données sensibles ou des processus complexes​​. Ainsi, l’utilisation d’un système d’IA requerra souvenant la réalisation d’un PIA.

Cette nouvelle législation complète l’arsenal réglementaire européen pour encadrer les acteurs et solutions technologiques, elle vient en complément du RGPD, du Data Act, du DSA ou encore du DMA. Bien que l’objectif principal de l’AI Act soit de promouvoir une utilisation éthique et digne de confiance de l’IA, elle partage de nombreuses similitudes avec le RGPD et renforce les exigences existantes. Nous pouvons par exemple citer les exigences renforcées en matière de transparence ou bien la mise en place obligatoire d’une surveillance humaine pour les systèmes d’IA, soutenant le droit à l’intervention humaine du RGPD.

Une adaptation nécessaire des outils et méthodes

Dans ce contexte évolutif où l’IA et les réglementations continuent de se développer, la veille réglementaire et l’adaptation des pratiques par les différents acteurs sont essentielles. Cette étape est cruciale pour comprendre et s’adapter aux nouveaux risques liés à l’utilisation de l’IA, en intégrant ces évolutions efficacement au sein de vos projets d’IA.        

Afin d’adresser les nouveaux risques induits par l’utilisation de l’IA, il devient nécessaire d’adapter nos outils, méthodes et pratiques afin de répondre efficacement à ces défis. De nombreux changements doivent être pris en compte, tels que :

• l’amélioration des processus d’exercice des droits ;
• l’intégration d’une méthodologie Privacy By Design adaptée :
• la mise à niveau des mentions d’information fournis aux utilisateurs ;
• ou encore l’évolution des méthodologies de PIA.

Nous illustrerons dans la suite de cet article ce dernier besoin en matière de PIA à l’aide du nouvel outil interne PIA² conçu par Wavestone et né de la jonction de ses expertises Privacy et en intelligence artificielle, et qui a été alimenté par de nombreux retours terrain. Son objectif est de garantir une gestion optimale des risques pour les droits et libertés des personnes liés à l’utilisation de l’intelligence artificielle en offrant un outil méthodologique capable d’identifier finement les risques sur ces-derniers.

Un nouvel outil de PIA au service d’une meilleure maîtrise des risques Privacy issus de l’IA

La réalisation d’un PIA sur des projets d’IA exige une expertise plus pointue que celle requise pour un projet classique, avec des questionnements multiples et complexes liés aux spécificités des systèmes d’IA. Outre ces points de contrôles et questionnements qui s’ajoutent à l’outil, c’est toute la méthodologie de déclinaison du PIA qui se trouve adaptée au sein du PIA² de Wavestone.

A titre d’illustration, les ateliers avec les parties prenantes s’élargissent à de nouveaux acteurs tels que les data scientists, des experts en IA, des responsables éthiques ou les fournisseurs de solutions d’IA. Mécaniquement, la complexité des traitements de données reposant sur des solutions d’IA requière donc davantage d’ateliers et un temps de mise en œuvre plus important pour cerner finement et pragmatiquement les enjeux de protection des données de vos traitements.

Figure 3 : représentation des différentes étapes du PIA².

Le PIA² renforce et complète la méthodologie de PIA traditionnelle. L’outil conçu par Wavestone est ainsi constitué de 3 étapes centrales :

1. Analyse préliminaire du traitement

Dans la mesure où l’IA revêt des risques pouvant être significatifs pour les personnes et dans un contexte où l’AI Act vient exiger la réalisation d’un PIA pour les solutions d’IA à haut risque traitant de données à caractère personnel, le premier questionnement d’un DPO est d’identifier son besoin ou non de réaliser une telle analyse. L’outil PIA² de Wavestone s’ouvre donc sur une analyse des critères traditionnels du G29 venant requérir la mise en œuvre d’un PIA et est ensuite complétée de questionnements associés à l’identification du niveau de risque de l’IA. L’analyse se complète classiquement d’une étude générale du traitement. Cette étude complétée de points de connaissance précis sur la solution d’IA, de son fonctionnement et de son cas d’usage, servant de fondation à l’ensemble du projet (notons que l’AI Act vient également exiger que de telles informations soient présentes dans le PIA portant sur des IA à haut risque). A l’issue de cette étude, le DPO dispose d’une vue d’ensemble des données personnelles traitées, de la manière dont les données personnelles circulent au sein du système et des différentes parties prenantes.

2. Evaluation de la protection des données

L’évaluation de conformité permet ensuite d’examiner la conformité de l’organisation vis-à-vis des réglementations applicables en matière de protection des données. L’objectif est d’examiner en profondeur toutes les pratiques mises en place par rapport aux exigences légales, tout en identifiant les lacunes à combler. Cette évaluation se concentre sur les mesures techniques et organisationnelles adoptées pour se conformer aux réglementations et sécuriser les données personnelles au sein d’un système d’IA. Cette partie de l’outil a été spécialement développée pour répondre aux nouveaux enjeux et défis de l’IA en termes de conformité et de sécurisation, prenant en compte les nouvelles contraintes et normes imposées aux systèmes d’IA. Cette évaluation comporte à la fois des points de contrôle classiques d’un PIA et issues du RGPD et se complète des questionnements spécifiques associés à l’IA qui ont profité des retours terrains observés par nos experts en IA.

3. Remédiation des risques

Après avoir recensé l’état de la conformité du projet et identifié les lacunes présentes, il est possible d’évaluer les impacts potentiels sur les droits et libertés des personnes concernées par le traitement. Une étude approfondie de l’impact de l’IA sur les différents éléments de conformité et de sécurité a été effectuée pour nourrir cet outil de PIA². Cette approche opérée par Wavestone, si elle est optionnelle, nous a permis de gagner en facilité de réalisation du PIA en permettant une automatisation de notre outil PIA² qui propose automatiquement des risques spécifiques liés à l’utilisation de l’IA au sein du traitement, en fonction des réponses remplies en parties 1 et 2. Les risques étant identifiés, il convient ensuite de réaliser leur traditionnelle cotation en évaluant leur vraisemblance et leurs impacts.

Toujours dans cette optique d’automatisation, l’outil PIA de Wavestone identifie et propose également automatiquement des mesures correctives adaptées aux risques détectés. Quelques exemples : des solutions comme le Federated Learning, le chiffrement homomorphique (qui permet de traiter des données chiffrées sans les déchiffrer) et la mise en place de filtres sur les entrées et sorties peuvent être suggérées pour atténuer les risques identifiés. Ces mesures permettent de renforcer la sécurité et la conformité des systèmes d’IA, assurant ainsi une meilleure protection des droits et libertés des personnes concernées.

Une fois ces trois grandes étapes franchies, il sera nécessaire de faire valider les résultats et de mettre en œuvre des actions concrètes pour garantir la conformité et les risques liés à l’IA.

Ainsi, lorsqu’un traitement implique de l’IA, la réduction des risques devient encore plus complexe. Une veille constante sur le sujet et l’accompagnement d’experts dans le domaine deviennent indispensables. À l’heure actuelle, de nombreuses inconnues subsistent, comme en témoigne la posture de certains organismes encore en phase d’étude ou des positions des régulateurs qui restent à préciser.

Pour mieux appréhender et gérer ces défis, il devient alors essentiel d’adopter une approche collaborative entre différentes expertises. Chez Wavestone, nos expertises en intelligence artificielle et en protection des données ont dû coopérer étroitement pour cerner et répondre à ces enjeux majeurs. Nos travaux d’analyse des solutions d’IA, des nouvelles réglementations afférentes et des risques en matière de protection des données ont nettement mis en lumière l’importance pour les DPO de bénéficier d’une expertise toujours plus pluridisciplinaire.

Remerciements

 Nous remercions Gaëtan FERNANDES pour son travail dans la rédaction de cet article.

Notes

[1] : Bien que des expérimentations ambitionnent d’offrir une forme de réversibilité et la possibilité de retirer les données de l’IA, comme le désapprentissage machine, ces techniques restent encore assez peu fiables aujourd’hui.

Cet article IA et protection des données personnelles : de nouveaux enjeux demandant une adaptation des outils et des procédures est apparu en premier sur RiskInsight.

Votre entreprise exerce ses activités en Chine. Vous compilez des données à caractère personnel concernant vos collaborateurs chinois et les transférez à votre siège social à des fins de ressources humaines. Vous collectez également des informations personnelles sur les clients chinois qui achètent des produits sur votre site web et les rendez accessibles aux métiers situés en dehors de la Chine. Depuis l’entrée en vigueur de la loi chinoise sur la protection des données personnelles (PIPL) en novembre 2021, vous vous demandez peut-être constamment si vos transferts de données hors des frontières chinoises sont conformes à la réglementation chinoise en matière de protection de la vie privée.

Un système de lois complexe et incertain gouvernant les transferts de données hors du territoire chinois

En fait, la loi PIPL n’est qu’une des nombreuses lois chinoises sur la protection des données.  Elle s’ajoute à la loi chinoise sur la cybersécurité (CSL, 2017) et à la loi chinoise sur la sécurité des données (DSL, 2021). Elle s’applique à toute organisation traitant des informations personnelles identifiables provenant de Chine, en Chine et à l’étranger. Sous la PIPL, les transferts internationaux de données ne sont possibles qu’avec un accord de l’Administration du cyberespace de la Chine (CAC). L’article 38 de la PIPL propose quatre façons d’obtenir cet accord, certaines d’entre elles étant ensuite complétées par cinq mesures et lignes directrices supplémentaires (2022-2023)[1] détaillant comment se conformer et qui est concerné.

En résumé, si vous vous engagez dans le transfert international d’un volume relativement faible d’informations personnelles, vous avez deux options : vous faire certifier par une institution désignée conformément aux règlements de la CAC, ou signer un contrat avec le destinataire étranger des données conformément au contrat type formulé par la CAC.

Dans d’autres cas, vous devez passer une évaluation de sécurité organisée par la CAC. Il s’agit de la norme de conformité la plus élevée. Elle s’applique aux entreprises qui sont des opérateurs d’infrastructures d’information critiques (CIIO), qui traitent les données personnelles de plus d’un million de personnes, qui exportent les données personnelles de 100 000 personnes ou les données personnelles « sensibles » de 10 000 personnes, ou qui exportent des données « importantes ». Cela laisse une marge d’interprétation à la CAC, qui peut qualifier n’importe quelle donnée « d’importante ». De plus, dans tous les cas précédemment mentionnés, la CAC se réserve le droit d’examiner tous les transferts de données hors du territoire chinois et de les interrompre sur la base d’un large spectre de raisons.

En plus d’un paysage réglementaire complexe et en constante évolution qui laisse aux autorités chinoises de nombreuses possibilités de s’opposer à un transfert de données, vous devez aussi tenir compte de deux points clefs sur votre route vers la conformité.  Premièrement, les procédures pour obtenir l’approbation de la CAC peuvent prendre du temps, en particulier l’évaluation de sécurité. Deuxièmement, même si vous parvenez à obtenir l’approbation de la CAC pour un transfert de données, vous devez également obtenir le consentement des personnes dont les données sont transférées (article 39 de la LPRP).

Avec toutes ces informations, il est possible que vous ayez été confus lors du draft de votre stratégie de conformité à la loi PIPL. Aujourd’hui encore, vous ne savez peut-être pas si vos transferts de données sont conformes, ni même si la conformité est possible.

Un assouplissement prochain des exigences en matière de transfert de données hors de la Chine

Les autorités chinoises ont récemment reconnu les difficultés rencontrées lors de l’exportation de données depuis la Chine. Le conseil des affaires de l’État Chinois a officiellement identifié les transferts de données hors des frontières chinoises comme l’un des 24 domaines à améliorer pour attirer des investissements étrangers en Chine[2]. Par conséquent, en septembre 2023, la CAC a publié une proposition d’exemptions du mécanisme de transfert international de données[3].

Vous pourriez être libéré des procédures de l’article 38 précédemment mentionnées (évaluation de sécurité, certification ou contrat spécifique) dans les cas suivants, qui ont fait l’objet d’un débat public jusqu’à la mi-octobre :

• Vous pourriez transférer des données concernant vos collaborateurs en Chine si cela est nécessaire pour la gestion des ressources humaines, conformément à la loi et aux contrats collectifs légalement définis.
• Vous pourriez transférer des données concernant vos clients en Chine afin de conclure et d’exécuter un contrat client : commerce en ligne, transfert de fonds, réservation de billets d’avion, obtention d’un visa, etc.
• Vous pourriez transférer des données à caractère personnel depuis la Chine afin de protéger la vie, la santé et la sécurité des personnes et des biens en cas d’urgence.
• Vous ne devriez effectuer une évaluation de sécurité de la CAC que pour :
  • Le transfert de données de plus d’un million de personnes, probablement au-delà des cas mentionnés ci-dessus.
  • Le transfert de données « importantes », sachant que les données ne sont pas considérées comme « importantes » sauf si vous avez été officiellement notifié du contraire.

C’est une très bonne nouvelle. Cela veut dire que dans de nombreux cas vous pourriez continuer à transférer des données depuis la Chine sans charge administrative et sans risquer la non-conformité et les amendes qui en découlent.

Toutefois, on ne sait pas encore quand ces exceptions seront adoptées, si elles le sont, ni à quoi ressemblera la liste finale. Par ailleurs, le CAC a mis en évidence deux problèmes auxquels vous seriez toujours confrontés. Tout d’abord, le consentement spécifique des personnes dont les données sont transférées hors de la Chine serait toujours requis en vertu de la PIPL dans les cas où le consentement est la base juridique du traitement des données – ce qui pourrait s’appliquer à la plupart des traitements en dehors de l’exécution d’un contrat. Deuxièmement, et surtout, la CAC conserverait le droit de contrôler tous les transferts de données hors de la Chine, d’enquêter sur les transferts à haut risque et même de les interrompre complètement.

Ainsi, si vous pensiez pouvoir bientôt à nouveau transférer une bonne partie de vos données générées en Chine à l’international sans contraintes, vous vous trompez probablement.

Garder les données en Chine, la solution la plus sûre à long terme

À partir de toutes ces informations, comment préparer une bonne stratégie de mise en conformité avec les lois chinoises sur la protection des données personnelles ?

Sur le plan juridique, vous êtes confrontés à des lois complexes à comprendre, en constante évolution et sujettes à interprétation par les autorités. Contrairement au RGPD, vous ne pouvez pas savoir si vous êtes en conformité dès maintenant, et encore moins dans les mois et années à venir.

À cela s’ajoute le point de vue technique : dans les entreprises globalisées, l’information circule. Les données résident à la fois dans des plateformes globales de gestion de ressources humaines ou des clients, et dans des systèmes locaux interconnectés. Le simple fait d’identifier toutes les informations personnelles et de déterminer les flux de données associés constituera un véritable défi avant de pouvoir discuter de mesures de protection spécifiques.

De plus, n’oublions pas que les enjeux sont élevés : en cas de non-conformité, le CAC peut restreindre vos transferts de données, infliger des amendes à votre entreprise et à ses dirigeants, voire forcer la fermeture de votre entreprise en Chine.

Vous devriez profiter du fait que la CAC est actuellement concentrée à adapter plutôt qu’à appliquer son règlement sur la protection des données pour considérer une stratégie de conformité à long terme. Cette stratégie peut consister à s’assurer que les données générées en Chine restent en Chine au lieu d’être systématiquement transférées vers votre siège.

Il est indéniable que la Chine vise, au long terme, la souveraineté numérique. Parmi les nombreuses lois implémentées dans différents pays afin de réguler le cyberespace et protéger les données personnelles, la PIPL est unique en ce qu’elle remet en cause de manière significative le modèle du système d’information des entreprises globales, qui consiste en une informatique centralisant les informations de tous les sites. Mais dans un monde où les tensions géopolitiques s’intensifient, on peut s’attendre à ce que les appels au protectionnisme informatique se multiplient.

Par conséquent, vous devriez considérer vos réflexions sur la stratégie de mise en conformité PIPL comme une étude de cas pour le découplage de votre système d’information, auquel vous pourriez bientôt être confrontés à plus grande échelle.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article L’impact de l’évolution de la loi PIPL sur votre stratégie de conformité de protection des données personnelles est apparu en premier sur RiskInsight.