Drones civils professionnels et RGPD : enjeux liés à la collecte des données personnelles et au respect de la vie privée

Les drones, munis de capteurs, sont susceptibles de collecter des données personnelles concourant à l’identification des personnes. Mais alors comment faire coexister innovation technologique et protection de la vie privée et des données personnelles ?

Retrouvez notre dernier article paru dans la revue Dalloz IP/IT de juin 2019.

 

 

« Intelligence artificielle et droit : les enjeux et les opportunités » Retour sur la formation CAMPUS du 2 juillet 2018 et notamment sur la notion de « système expert »

Le cabinet SELENE Avocats a eu le plaisir d’assister à la conférence « Intelligence artificielle et droit : les enjeux et les opportunités », présentée par Melik Boudemagh, Président de l’agence Hercule[1], à l’occasion des formations CAMPUS[2].

Melik Boudemagh a d’emblée rappelé les difficultés d’appréhension de la notion d’« intelligence artificielle », liées notamment au fait que le terme « intelligence » est souvent synonyme d’intelligence humaine. Ainsi, dans l’inconscient collectif, l’IA est une réplication de l’humain sur une chose inanimée, ce qui conduirait la machine à remplacer l’humain. On parle par exemple de « robot-avocat ». Or, ce n’est pas ce qu’il faut comprendre par intelligence artificielle, et l’homme est d’ailleurs aujourd’hui incapable de reproduire artificiellement l’intelligence humaine dans son ensemble.

En réalité, l’IA consiste à simuler une partie de l’intelligence, à savoir la capacité analytique. En conséquence, le Président d’Hercule estime qu’il est plus pertinent de parler de « Système Expert », défini comme un outil capable de reproduire les mécanismes cognitifs d’un expert, dans un domaine particulier. Par exemple, Siri n’est pas une « intelligence artificielle », mais un « système expert », dont l’expertise est circonscrite à un domaine particulier, l’assistance personnelle.

Il est possible de distinguer deux générations de systèmes experts : les modèles logiques, et les modèles statistiques et apprenants.

Les modèles logiques permettent de prendre en charge la part de l’intelligence des avocats qui est « automatisable ». A l’image de Deep Blue, vainqueur au jeu d’échec en 1997, les modèles logiques fonctionnent sur le système de l’optimisation sous contrainte (raisonnement si … alors …). Selon Melik Boudemagh, ces modèles vont bientôt être présents partout, et être utilisés quotidiennement au sein de la profession d’avocat. Ils peuvent prendre en charge les « diagnostics », des « bilans de santé juridiques », servir à automatiser des procédures juridiques et judiciaires, ou encore constituer un outil d’aide à la décision. Ces modèles ont pour avantage d’être fiables et faciles à implémenter. Toutefois, ils se limitent à une représentation « théorique », parfois éloignée du réel.

Les modèles statistiques et apprenants sont plus évolués, à l’image cette fois d’Alphago, vainqueur au jeu de go en 2017. Ils sont basés sur le machine learning, et permettent d’adopter une approche empirique beaucoup plus proche du réel. Ces modèles peuvent être utilisés pour exploiter des données historiques, intégrer des modules de langage naturel, ou encore extraire des informations de documents existants. Toutefois, pour fonctionner, ces modèles nécessitent un dataset très important, ainsi que des ressources conséquentes en temps et en argent. Melik Boudemagh considère que les modèles statistiques et « apprenants » ne sont pas encore tout à fait au point actuellement, bien que prometteurs pour l’avenir.

De manière générale, l’intervenant a souligné les nombreuses opportunités offertes par les systèmes experts. Il est revenu par exemple sur la possibilité de générer automatiquement des contrats et autres documents, qui permettent selon lui un gain de temps et de productivité considérable, et assure fiabilité et cohérence. Plus sophistiquée est l’extraction intelligente de données, basée sur la reconnaissance de patterns au sein des documents.

Melik Boudemagh a également évoqué l’exploitation de données historiques et les enjeux de la justice prédictive, sur lesquels le cabinet SELENE Avocats était revenu en février dernier[3].

Toutefois, ces évolutions ne sont pas sans risque, et il faudra notamment être attentif à la gestion de la gouvernance des données et de l’information, sujet au cœur de l’actualité d l’entrée en application du Règlement Général de Protection des Données (RGPD) en mai dernier. LZ

[1] Agence spécialisée dans le Legal Tech.

[2] Session de formation continue des avocats au barreau de Paris, dont SELENE tient à saluer la qualité des enseignements

[3] https://www.selene-avocats.fr/publications-activites/2075-justice-predictive-risque-opportunite-retour-colloque-organise-lordre-avocats-conseil-detat-a-cour-de-cassation/

Données personnelles : les adresses IP enfin qualifiées

Les adresses IP (Internet Protocol) sont des numéros d’identification permanents ou provisoires attribués individuellement aux appareils des utilisateurs connectés à un réseau. Jusqu’ici collectées sans autorisation, elles sont aujourd’hui doublement protégées par la Cour de justice européenne et par la Cour de cassation.

Désormais, les adresses IP dynamiques, enregistrées à chaque connexion sur un site web par le fournisseur d’accès à Internet, sont des données personnelles. Bien qu’elles n’identifient pas directement les utilisateurs, elles constituent des “moyens d’identification indirecte”. Elles font donc partie de notre identité numérique. Au même titre, les adresses statiques entrent dans cette catégorie, ce qui assure une véritable avancée dans la prise en compte de la sécurité des utilisateurs en ligne par les juges nationaux et européens.

Les décisions de la Cour de justice de l’Union européenne du 19 octobre 2016 et du 3 novembre 2016 ont attribué une définition juridique à une notion trop souvent concernée comme inconsistante mais qui revêt désormais un caractère bien réel.

Dès lors, la Cour impose, s’agissant des adresses IP, que le droit de l’Union européen s’oppose à “une réglementation d’un Etat membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur.

Autrement dit, l’Union européenne encadre la collecte et l’utilisation de telles données sans le consentement des utilisateurs. Avec cette décision, la CJUE garantit aux citoyens européens une connexion sereine et encadrée.

Etat d’urgence et Etat de droit : l’un ne va pas sans l’autre

Le Conseil d’Etat, dans une ordonnance en date du 5 septembre 2016, a refusé pour la première fois l’exploitation par le Ministère de l’Intérieure de données personnelles saisies sur des téléphones portables dans le cadre de l’état d’urgence.

Il était question en l’espèce d’une perquisition administrative menée au domicile d’un couple, à Lutterbach près de la ville de Mulhouse, dans le cadre de l’état d’urgence, au motif que ces personnes étaient suspectées d’appartenir à la mouvance radicale islamiste.

Le juge du référé du tribunal administratif de Strasbourg avait préalablement rejeté la demande du Préfet d’autoriser cette saisie.

Le Conseil d’Etat a suivi cette décision, en rejetant le recours du Ministère de l’Intérieur

En effet selon la haute juridiction administrative, le fait que les fichiers saisis, sur lesquels aucune précision n’a été par ailleurs apportée, soit en langue arabe ne permet pas de justifier que les comportements des personnes concernées constituent une potentielle menace pour la sécurité et l’ordre public.

Par cette ordonnance, le Conseil d’Etat vient rappeler que nous sommes avant tout dans un Etat de droit, et ce malgré l’état d’urgence déclaré depuis le  décret du 14 novembre 2015.

Les juges du Palais Royal avaient pourtant rejeté la demande faite par des associations de déclarer illégal le décret du 24 décembre 2014 relatif à  l’accès administratif aux données de connexion (CE 12 février 2016 n° 388134).

Dans cette affaire, les associations considéraient que ledit décret  portait atteinte au respect de la vie privée et familiale, au droit à la protection des données à caractère personnel et à la liberté d’expression, tels qu’ils sont garantis par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et la Charte des droits fondamentaux, mais le Conseil d’Etat n’avait pas donné droit à leur demande.

Pas de vie privée pour la personne morale

Le 17 mars 2016, la première chambre civile de la Cour de cassation (n°15-14072) a considéré qu’une personne morale ne peut se prévaloir d’une atteinte à sa vie privée au sens de l’article 9 du Code civil.  Elle vient ainsi limiter une évolution qui tendait à reconnaître un nombre croissant de droits aux personnes morales.

L’atteinte à la vie privée invoquée en raison de la présence de caméras de vidéo-surveillance

Une société reproche en l’espèce à une société voisine d’avoir installé un système de vidéo-surveillance dirigé sur un passage commun. Le juge des référés est saisi sur le fondement de l’article 809 du Code de procédure civile afin que soit ordonné le retrait de l’installation et fixée une provision à valoir sur le montant du préjudice résultant de l’atteinte à la vie privée de la personne morale.

Cette argumentation a connu un certain succès devant les juridictions du fond. La cour d’appel avait considéré qu’il existait bien un trouble manifestement illicite qu’il convenait de faire cesser. En effet, la caméra de vidéo-surveillance permettait d’enregistrer les mouvements des personnes se trouvant sur le passage commun et en particulier de filmer au niveau de l’entrée du personnel de la société. Dès lors, une atteinte au respect de la vie privée pouvait être caractérisée en l’espèce.

Le refus de reconnaître une vie privée au sens de l’article 9 du Code civil pour les personnes morales 

La Cour de cassation ne partage pas l’analyse de la juridiction d’appel. En effet après avoir rappelé que les personnes morales disposent, notamment d’un droit à la protection de leur nom, de leur domicile, de leurs correspondances, elle vient poser une limite à cet inventaire de droits : les personnes morales ne peuvent se prévaloir d’une atteinte à la vie privée au sens de l’article 9 du Code civil.

Cette décision semble respectueuse de la notion de vie privée, dont les contours ne sont pas toujours aisés à cerner. La vie privée est constituée par la sphère intime de chacun, ce qui ne peut être vu ou dit car il est choisi de le cacher ou de le taire. La personne morale, fiction juridique, ne peut donc se prévaloir de cette sphère intime. La Cour de cassation rappelle ainsi que si elle bénéficie de droits, la personne morale ne peut pas nécessairement se prévaloir de tous les droits de la personnalité conférés à la personne physique. La personne morale devra donc encore attendre avant de pouvoir s’inviter à déjeuner.