Cette journée d’étude du Groupe de travail sur la gouvernance et la régulation d’Internet du groupe de recherche Internet, IA et société du CNRS vise à étudier la façon dont l’évaluation d’impact, originaire d’autres champs de l’action de l’action publique, a été adoptée dans le domaine de la protection des données puis se retrouve sous une certaine forme dans la proposition de règlement sur l’intelligence artificielle de l’Union européenne.

 

Argumentaire

La gouvernance d’Internet est souvent présentée par les travaux en Internet Governance Studies comme étant caractérisée par un certain nombre de particularités par rapport à d’autres domaines de l’action publique. Son caractère multi-parties-prenantes, son absence relative d’alignement avec l’espace politique des États, ou encore l’usage d’instruments de gouvernance privée comme les standards techniques font partie de ces particularités. Elles ne sont pourtant pas uniques, mais doivent au contraire se comprendre dans un contexte général de transformation de l’action publique qui touche des domaines tels que la gouvernance de l’environnement, de la santé, et d’autres encore dont il n’est pas ici l’objet d’établir une liste exhaustive.

La logique de compliance (Favro, 2017), et l’approche fondée sur le risque (Quelle, 2017), sont des méthodes de gouvernance employées dans le domaine de la gouvernance d’Internet, et dont l’évaluation d’impact est un instrument.

L’évaluation d’impact est ainsi imposée à l’article 35 du Règlement général de protection des données pour tous les traitements de données à caractère personnel présentant un risque élevé pour les droits et libertés fondamentaux des personnes concernés par lesdits traitements. La première règle de l’arrêté du 14 septembre 2018¹, qui fixe des règles en matière de sécurité des opérateurs de services essentiels désignés en application de la directive NIS², impose la réalisation d’analyses de risque à jour. L’article 26 de la proposition de Digital Services Act de la Commission européenne prévoie que les très grandes plateformes en ligne doivent recenser, analyser et évaluer « tout risque systémique important trouvant son origine dans le fonctionnement et l’utilisation faite de leurs services au sein de l’Union ».

Or, si les évaluations d’impact sont employées dans le domaine de la gouvernance d’Internet, elles le sont aussi d’autres secteurs de l’action publique, dont la santé, la chimie, ou encore la préservation de l’environnement (Baya-Laffitte, 2016), et ont été inventées dans les années 1960 et 1970 pour étudier les impacts de l’évolution de la technologie (nous pouvons ainsi penser au rapport Nora-Minc) ou les impacts de certains projets sur l’environnement (Clarke, 2009).

Ces évaluations d’impacts ne font toutefois pas l’unanimité. Servent-ils à accorder à blanc-seing aux organismes qui les conduisent ? N’ont-ils qu’un intérêt bureaucratique ? Ou bien permettent-ils véritablement d’agir sur l’objet des politiques publiques qui y ont recours ? Ou encore : sont-ils le rouage d’une tendance à la privatisation de l’action publique ?

Cette journée d’étude du Groupe de travail sur la gouvernance et la régulation d'Internet du GDR Internet, IA et Société du CNRS vise à étudier la façon dont l’évaluation d’impact, originaire d’autres champs de l’action de l’action publique, a été adoptée dans le domaine de la protection des données puis se retrouve sous une certaine forme dans la proposition de règlement sur l’intelligence artificielle de l’Union européenne.

Notes

1Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique

2Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union

Programme

9h30 : Accueil

• 10h00 : Introduction par Francesca Musiani (directrice adjointe du Centre Internet et Société – CNRS)
• 10h10 : Introduction par Lucien Castex et Julien Rossi (co-coordinateurs du GdT sur la gouvernance et la régulation d’Internet)

10h20 : Table-ronde : l’évaluation d’impact dans le RGPD

(facilitateur : Julien Rossi – Paris 8 - CÉMTI)

• Jonathan Keller (Télécom Paris) : Approche critique des analyses d’impact relatives à la protection des données (AIPD) au travers l’exemple du véhicule connecté
• Estelle De Marco (Inthemis) : Nécessité et proportionnalité : deux principes au fondement de la méthode de l’évaluation d’impact relative à la protection des données

12h : pause déjeuner

• 13h30 – 14h15 : Amal Marc (Paris 8 - CRJP8) : Entre ambitions et complexités opérationnelles, que peut-on réellement attendre des entreprises en matière d'évaluation d'impact pour l'IA ?
• 14h15 – 15h : Maxime Darrin (ILLS Montréal (International Laboratory on learning systems), CentraleSupelec, Université Paris-Saclay) : Intelligence artificielle: une gouvernance à l'épreuve de la robustesse

15h – 15h30 : Pause

• 15h30 – 16h15 : Nicolas Baya-Laffitte (Université de Genève) : Ce que l’évaluation d’impact peut nous apprendre de nos infrastructures de gouvernement dans son voyage de l'environnement au cyberespace

16h15 – 16h30 : Pause

16h30 – 17h30 : Table-ronde : les évaluations d’impact servent-elles à quelque chose ?

(facilitateur : Lucien Castex – Sorbonne Nouvelle – IRMECCEN)

Inscriptions

Inscription obligatoire en suivant ce lien.

Références

Baya-Laffitte, Nicolas (2016). « Black-boxing Sustainable Development: Environmental Impact Assessment on the River Uruguay », in Voß J-P., Freeman R., Knowing Governance. The Epistemic Construction of Political Order. Collection « Palgrave Studies in Science, Knowledge and Policy », Houndsmill, Palgrave Macmillan, p. 237 - 256

Clarke, Roger (2009). « Privacy Impact Assessment: Its Origins and Development », Computer Law & Security Review, vol. 25, n° 2, p. 123-135.

Favro, Karine (2017). « La démarche de compliance ou la mise en œuvre d’une approche inversée », LEGICOM, n° 59, p. 21-28.

Quelle, Claudia (2017). « The ‘Risk Revolution’ in EU Data Protection Law: We Can’t Have Our Cake and Eat It, Too », in Leenes R., Brakel R. van, Gutwirth S., Hert P. de (dirs.), Data Protection and Privacy: The Age of Intelligent Machines, Oxford and Portland, Oregon, Hart Publishing, p. 33‑62.