Suite au référendum britannique du 23 juin 2016 où une majorité des électeurs se sont prononcés pour un retrait du Royaume-Uni de l’Union européenne, le pays ne fait plus partie de l’UE depuis le 31 janvier 2020. Souhaitant accentuer son détachement de l’organe politico-économique européen et relancer l’économie de la nation, le gouvernement britannique a présenté son projet de réforme de sa réglementation sur la protection des données personnelles. Contrairement au RGPD qui régit dans l’UE, le texte britannique considère que la gestion de ces données concerne davantage la gestion d’un risque qui ne doit pas se matérialiser plus que sous la forme d’un ensemble de règles à suivre.
Voici les quatre champs d’action sur lesquelles le nouveau texte régissant la protection des données au Royaume-Uni devrait être plus souple :
La supervision humaine : une pratique disproportionnée pour le gouvernement britannique
Le droit à l’intervention humaine dans une décision automatisée est défini par l’article 22 du RGPD. Contrairement au règlement de l’UE, le nouveau texte britannique souhaite ne plus imposer de supervision humaine sur les algorithmes d’IA dont les analyses peuvent affecter la vie des individus d’une manière ou d’une autre.
À l’heure actuelle, la plupart des décisions automatiques de l’IA impliquent déjà une intervention humaine à un certain moment. Selon le gouvernement britannique, cette supervision humaine est disproportionnée et tend à l’être de plus en plus en fonction de l’augmentation de la présence de l’IA au sein de notre société.
En parallèle, les Britanniques étudient le fait de créer des passeurs de données qui faciliteraient les échanges afin de booster l’innovation. Ainsi, les organisations pourraient partager leurs données plus facilement sans qu’elles se sentent épiées et tétanisées par une réglementation stricte, avec l’aide de spécialistes qui sont au point sur la gestion de la data. Il s’agirait ainsi d’une troisième partie, d’une sorte d’arbitre impartial qui viendrait aider les structures dans l’échange, la gestion, le partage des données confidentielles.
Un des axes forts du texte proposé : revisiter l’intérêt légitime
Ce que l’on appelle intérêt légitime concerne les cas où il n’est pas nécessaire de demander le consentement de la personne afin d’utiliser ou d’exploiter certaines choses en lien avec cette personne. Par exemple, en matière de données, on pense au traitement des données utile pour exécuter un service auquel une personne a souscrit ou répondre à une requête légale.
Pour le Royaume-Uni, l’intérêt légitime reste un concept vague et souhaite limiter ce flou. Ainsi, le gouvernement veut concevoir une liste exhaustive où l’intérêt légitime est de mise pour éviter de demander des consentements supplémentaires qu’il considère inutiles. En gros, lorsqu’une IA traitera des données personnelles, le consentement des personnes impliquées ne sera pas forcément demandé hormis si le contexte le demande, car présent dans la liste du gouvernement.
La question de l’équité : la réponse transparente du gouvernement britannique
Dans l’article 15 et 22 du RGPD, la notion d’équité est évoquée. Ce concept implique que les données personnelles des individus doivent être exploitées dans le sens où les gens s’y attendent. De plus, le résultat de toute application de l’IA doit être équitable, c’est-à-dire ne pas être discriminant vis-à-vis d’un individu ou d’un groupe d’individu sur la base de critères externes (démographiques, géographiques, ethniques, etc.).
Les décideurs politiques britanniques estiment que ce concept est flou en matière d’application pure et simple. En matière de protection des données, ils considèrent qu’il suffit que le processus de traitement des données ainsi que les buts de leur usage doive être transparent.
Une meilleure définition de ce qu’est la recherche dans l’IA et la data
Le dernier point concerne la recherche : le gouvernement souhaite faciliter l’utilisation de données personnelles dès lors que ces datas serviront pour la recherche. Il est donc important et nécessaire selon le Royaume-Uni de mieux définir ce qu’est la recherche en IA afin de donner un cadre concret à une utilisation légale des données personnelles.
En soi, la gestion des données personnelles est désormais vue par le gouvernement britannique comme la gestion d’un risque qui ne doit pas se matérialiser et non pas comme un ensemble de règles à suivre. Une des questions qu’il est désormais légitime de se poser est de savoir si le le Royaume-Uni restera-t-il dans l’accord d’équivalence avec l’Union européenne qui autorise des transferts de données personnelles sans restriction ?