IA et droit des données

Emmanuel Netter

Université de Strasbourg

Introduction

Des fichiers de sinistre mémoire

2WW : l’exemple du fichier juif de la préfecture de police de Paris
Guerre froide : l’exemple des fichiers de la Stasi
Le vertige du fichage universel sur “criminocorpus”

L’informatisation des fichiers et l’affaire SAFARI

l’article de Philippe Boucher de mars 1974
en videos sur le site CNIL/INA

Premières réactions nationales

En Allemagne : dès 1970 dans le land de Hesse
En Suède : dès 1973
En France :
- Rapport de la commission IL (1975)
- Adoption de la LIL (1978)

Le Conseil de l’Europe

la convention 108 (1981)
la convention modernisée (2018, en attente d’EEV)

L’Union européenne

La directive de 1995
le RGPD de 2016
la directive police-justice de 2016

Les données personnelles, première approche technique

Des coordonnées sociales : nom, prénom, adresse…
Des coordonnées biologiques : la biométrie
Des identifiants (adresse IP, numéro de sécurité sociale), des pseudonymes
Des combinaisons d’informations anodines
Des traces de navigation

Zoom sur la géolocalisation

Le NY Times : One nation, tracked
L’enquête sur Strava de J.-M. Manach

Les données personnelles, première approche juridique

Art. 4 RGPD : l’information se rapportant à une personne identifiée ou identifiable
Une personne physique, vivante
La difficile anonymisation des données

Bibliographie

A. Bank, RGPD : la protection des données à caractère personnel, 20 fiches illustrées, Gualino, 6ème éd., 2025
CNIL, Tables informatiques et libertés
CNIL, le MOOC Atelier RGPD
T. Douville, Droit des données à caractère personnel, LGDJ, 2024
O. Tambou, Manuel de droit européen de la protection des données à caractère personnelles, Bruylant, 2020

Chapitre 1

Principes fondamentaux

Les grands principes (art. 5)

Licéité, loyauté, transparence
Limitation des finalités
Minimisation des données
Exactitude
Limitation de la conservation
Intégrité et confidentialité

Licéité, loyauté, transparence

Licéité : une base légale parmi six
Transparence : informer les personnes concernées
Loyauté : exemples de collectes contraires aux attentes des individus
- Cass. crim., 2024
- CEPD, 2022

Détermination des finalités

Fixer une finalité et s’y tenir
Les SMS d’Auvergne-Rhône-Alpes ?
Facebook et le 2FA
CE, 2020, OPH Rennes
CNIL, 2023, réforme des retraites

Minimisation

Traiter le moins possible au regard de la finalité
Biométrie à l’entrée des lycées : CNIL, TA de Marseille
CNIL, 2023, Amazon logistique mais renié par CE, 2025
CJUE, 2024, Schrems contre Meta
CJUE, 2025, Mousse

Exactitude

Objectif : des données exactes
Eviter les erreurs de saisie
Assurer l’actualisation
Rectification de genre et transidentité : CJUE, 2025

Conservation limitée

Quand supprimer ? Quand archiver ?
CNIL : référentiels et guide pratique
CNIL, 2020, sanction Carrefour

Intégrité et confidentialité

Quelles définitions ?
Accidents, attaques
Intégrité
- Les ransomwares
- Affaire OVH Strasbourg
Confidentialité
- Affaire Ashley Madison
- CNIL, 2019, Sergic

Les fondements de licéité (art. 6)

Le consentement
La nécessité pour l’exécution du contrat
Le respect d’une obligation légale
La sauvegarde d’intérêts vitaux
La mission d’intérêt public
L’intérêt légitime du RT ou d’un tiers

La nécessité pour l’exécution d’un contrat

Banque, e-commerce, assurance…
Jeux vidéo
Et la publicité ciblée ? CJUE, 2023 Meta Plateforms

Le respect d’une obligation légale

Modération de contenus sur les PF
Banques et LCB-FT

La sauvegarde des intérêts vitaux

Situations médicales d’urgence
Fondement le plus étroit

La mission d’interêt public

Vocation large
Le consentement est généralement exclu pour les administrations
Ex : administration fiscale, CJUE, 2022

L’intérêt légitime

Une fausse martingale
Un contrôle de proportionnalité délicat
Refus dans l’affaire Mousse c./ SNCF, CJUE, 2025
Refus pour la publicité ciblée Meta Plateforms, CJIE, 2023
Refus dans l’affaire CDiscount; CE, 2020

Le consentement

Ses qualités théoriques : art. 7
Lignes directrices, CEPD, 2020
Renforcement pour les enfants : art. 8

Chapitre 2

L’entraînement des systèmes d’IA

Finalité du système

Fiche CNIL 2
Cas 1 : finalité identifiée ab initio
Cas 2 : SIA à usage général

Qualification des acteurs

Fiche CNIL 3
Distinguer
- Responsables du traitement
- Responsables conjoints
- Sous-traitants

Base légale du traitement

Fiche CNIL 4-1
Collecte initiale ou réutilisation ?
La nécessité pour le contrat ?
- Au passage : la difficile utilisation de données sensibles (art. 9)
- Le projet de réforme Digital Omnibus
Le consentement ?

L’incontournable intérêt légitime

Fiche CNIL 8
Un intérêt “légitime”
Un traitement “nécessaire”
Une balance très complexe

L’analyse d’impact

Art. 35 s. RGPD
Fiche CNIL 5
Très souvent nécessaire
Une méthodologie précise

Privacy by design et conception

Fiche CNIL 6
Importance du principe de minimisation

Gouvernance des données

Fiche CNIL 7
Nettoyage des données
Quelle durée de conservation ?
Sécurité

L’information des personnes concernées

Fiche CNIL 9
Distinguer collecte et indirecte
Dérogations pour les collectes indirectes
Forme et contenu de l’information

Les droits des personnes concernées

Fiche CNIL 10
Accès, rectification, effacement…
L’obstacle de l’identification

Chapitre 3

L’exploitation des systèmes d’IA

Les décisions automatisées (art. 22)

The Good Place ou l’ultime scoring
Conseil de lecture : Cathy O’Neil, Weapons of math destruction
- 2016, ouvrage
- 2016, vidéo de conférence
Le “droit de ne pas faire l’objet”
Décision entièrement automatisée ?
Exceptions
- périmètre
- garanties

La jurisprudence relative aux décisions automatisées

Crédits médias

Crédits

Article du Monde de Philippe Boucher du 21 mars 1974 (lien) — vu dans : Introduction
Fontainebleau, archives nationales, image trouvée sur criminocorpus.org — Fichier de la sûreté nationale, 1937 (lien) — vu dans : Des fichiers de sinistre mémoire
Logo du projet SAFARI (lien) — vu dans : L’informatisation des fichiers et l’affaire SAFARI
Rapport de la Commission informatique et libertés, La Documentation Française (lien) — vu dans : Premières réactions nationales
La Convention 108+ du Conseil de l'Europe (lien) — vu dans : Le Conseil de l’Europe
Dooffy, licence CC-zero (lien) — vu dans : L’Union européenne
Anirudh, Licence gratuite Unsplash (lien) — vu dans : Les données personnelles, première approche technique
José Martin Ramirez Carrasco, licence gratuite Unsplash (lien) — vu dans : Zoom sur la géolocalisation
Shubham Sharan, licence gratuite Unsplash (lien) — vu dans : Les données personnelles, première approche juridique
Jesse Collins, Supreme Court of the US, licence gratuite Unsplash (lien) — vu dans : Chapitre 1 - Les principes fondamentaux
Joel Filipe, Madrid, licence gratuite Unsplash (lien) — vu dans : Licéité, loyauté, transparence
Will Francis, licence gratuite Unsplash (lien) — vu dans : Détermination des finalités
Marvelous Raphael, licence gratuite Unsplash (lien) — vu dans : Minimisation
Salah Ait Mokhtar, licence gratuite Unsplash (lien) — vu dans : Exactitude
Nathan Dumlao, licence gratuite Unsplash (lien) — vu dans : Conservation limitée
FlyD (lien) — vu dans : Intégrité et confidentialité
Markus Winkler, licence gratuite Unsplash (lien) — vu dans : La nécessité pour l’exécution d’un contrat
Logo de l'Assemblée nationale française, domaine public (lien) — vu dans : Le respect d’une obligation légale
Camilo Jimenez, Licence gratuite Unsplash (lien) — vu dans : La sauvegarde des intérêts vitaux
Logo de l'université de Strasbourg (lien) — vu dans : La mission d’interêt public
El Greco - Le Gentilhomme à la main sur la poitrine (lien) — vu dans : L’intérêt légitime
Masjid Maba, Licence gratuite Unsplash (lien) — vu dans : Le consentement
Auteur / Source (lien) — vu dans : Chapitre 2 — L'entraînement des systèmes d'IA
Emily Morter (lien) — vu dans : Finalité du système
Markus Spiske (lien) — vu dans : Qualification des acteurs
Cytonn Photography (lien) — vu dans : Base légale du traitement
Elena Mozhvilo (lien) — vu dans : L’incontournable intérêt légitime
Jakub Żerdzicki (lien) — vu dans : L’analyse d’impact
Emmanual Thomas (lien) — vu dans : Privacy by design et conception
qi bin (lien) — vu dans : Gouvernance des données
Ilse Orsel (lien) — vu dans : L’information des personnes concernées
Daniel Shapiro (lien) — vu dans : Les droits des personnes concernées
Stephen Dawson, Federation House, licence gratuite Unsplash (lien) — vu dans : Chapitre 3 — L'exploitation des systèmes d'IA
Resume Genius (lien) — vu dans : Les décisions automatisées (art. 22)
Vardan Papikyan (lien) — vu dans : La jurisprudence relative aux décisions automatisées
NordWood Themes, licence gratuite Unsplash (lien) — vu dans : Crédits médias