Certification, blockchain (chaîne de blocs) et IA : le CEPD adopte de nouveaux documents lors de sa dernière plénière
En avril, le Comité européen de la protection des données (CEPD) a rendu un avis sur une certification approuvée par la CNIL et adopté des lignes directrices sur les technologies de chaîne de blocs. Le CEPD s’est également dit prêt à coopérer étroitement avec le Bureau européen de l’IA.
Certification
Au cours de sa séance plénière du 8 avril, le CEPD a rendu un avis sur une certification nationale pour laquelle la CNIL est l’autorité compétente. Il s’agit d’une certification généraliste et à destination de responsables de traitement, portée par la société Lexing.
Cette certification devra être approuvée par la CNIL au titre de l'article 42 du RGPD. Elle est destinée à démontrer que des traitements de données personnelles mis en œuvre par un candidat sont effectués en conformité avec le RGPD.
L’avis du CEPD comporte 13 recommandations que la CNIL prendra en compte en vue d’approuver les critères de cette certification.
Chaîne de blocs (blockchain)
Compte tenu des difficultés que peuvent poser les technologies de chaîne de blocs en matière de protection des données personnelles, notamment concernant le droit de rectification et d’effacement, le CEPD a considéré important d’aider les organisations qui utilisent ces technologies à se conformer au RGPD. À cette fin, des lignes directrices ont été adoptées.
La chaîne de blocs est un système de base de données distribuée et cohérente, pouvant fonctionner sans gestion centralisée et dont le fonctionnement peut reposer sur un ensemble ouvert ou prédéfini de participants, selon des règles convenues. Une chaîne de blocs peut, par exemple, permettre des transactions financières sans intermédiaire financier tels que des banques en permettant de prouver la propriété d’un actif.
Dans ces lignes directrices, le CEPD explique le fonctionnement des chaînes de blocs, en évaluant les différentes architectures possibles et leurs implications pour le traitement des données personnelles.
Ces lignes directrices sont soumises à consultation publique jusqu’au 9 juin 2025.
Intelligence artificielle
La CNIL et ses homologues européens du CEPD ont décidé de coopérer étroitement avec le Bureau européen de l’IA, en ce qui concerne la rédaction des lignes directrices sur l’interaction entre le règlement européen sur l’IA et le droit européen en matière de protection des données (RGPD, directive police-justice et Règlement sur la protection des données pour les institutions, organes et organismes de l’UE).
En lien avec l’IA, le CEPD a également publié un rapport d’experts externes au comité portant sur les risques des modèles d’IA dit « Large Language Models ou LLM » (modèles de langage de grande taille), en matière de protection des données. Ce rapport fournit des informations et des outils pour aider les organismes à mener des évaluations de risques efficaces dans le contexte des LLMs.
