Les 8 et 9 mai derniers s'est tenue la 8e conférence internationale des doctorants et des jeunes 
chercheurs sur la thématique « The future decade of the EU law », organisée par l’International Network of Doctoral Studies in Law. À cette occasion, Jonathan Keller a présenté le sujet « Digital ‘’Stakeholders’’ : towards an effective control of the personal data processing ? » qui se situait dans le prolongement des recherches entamées lors de la conférence Agoras[1].
La notion de « stakeholders » ou « parties prenantes » est un sujet peu étudié en droit des données personnelles. De notre point de vue, ces « parties prenantes » représentent les acteurs affectés par des projets industriels ou réglementaires, initiés unilatéralement et respectivement par une société en position dominante[2] ou par un régulateur[3], et dont la consultation préalable est nécessaire pour ajuster et atténuer les risques subséquents à la réalisation dudit projet. Cette notion purement fonctionnelle se distingue, officiellement tout du moins, de la notion de « parties intéressées » regroupant les défenseurs des intérêts de la « société civile ». Ces notions sont prima facie compatibles avec la vision initiale de Robert FREEMAN, le créateur de la notion de parties prenantes[4], qui visait alors la société civile. Cette dernière reste, en dehors de la voie contentieuse, exclue des problématiques relatives aux données personnelles.
Pourtant des liens existent. Ainsi par exemple, le Considérant 99 du Règlement 2016/679[5] impose une consultation des « parties intéressées ». Cette consultation doit avoir lieu lors de l’élaboration d’un code de conduite pour « tenir compte des contributions transmises et des opinions exprimées ». Cependant, pour mieux cerner cette notion, il convient de se référer à l’intégralité de la doctrine du Comité Européen pour la Protection des données pour appréhender les acteurs devant être consultés. Ainsi, cette notion de partie prenante peut être localisée dans 7 lignes directrices différentes[6]. Pour autant, elle n’est pas précisément définie. Elle est donc, à l’instar du principe de neutralité technologique sur lequel se fonde le RGPD, fonctionnelle, variant en fonction des contextes. Parfois cette notion est utilisée comme un mot valise, soit pour des raisons politiques[7], soit pour des raisons de simplification juridique[8]. La définition des parties prenantes trouve un intérêt pratique réel comme traduction d’un effort des responsables de traitement pour être conforme au principe de responsabilité[9] consacré par le RGPD. Cette consultation devient ainsi un élément documentable[10]. En effet, l’absence de consultation des parties prenantes risquera d’être analysée par les autorités nationales de protection des données comme un grief opposable au responsable[11].
Les parties prenantes, acteurs impliqués dans la sécurité informatique d’un traitement
Dans les Lignes Directrices sur l’analyse d’impact relative à la protection des données (AIPD), les parties prenantes sont comprises de façon restrictive : elles visent ici uniquement l’intégralité des acteurs professionnels de l’écosystème informationnel dans lequel est prévu le déploiement du traitement de données. Leur consultation porte en effet davantage sur la sécurité informatique du traitement[12] au sens de l’article 32 du RGPD. Cette position se retrouve également dans les Lignes Directrices Voitures Connectées[13] qui désigne comme parties prenantes tantôt l’intégralité de la filière automobile[14], tantôt les responsables de traitement[15]. Dans ce contexte précis, la consultation des parties prenantes doit donc être interprétée comme un moyen d’informer la filière des choix technologiques proposés par le responsable de traitement. Cette information offre à ladite filière la possibilité de faire part de leurs retours et d’émettre des réserves sur la sécurité des données personnelles pendant toute la durée de son cycle de vie du traitement. Toutefois, il doit être précisé que l’annexe 2 des Lignes Directrices AIPD préconise, à titre consultatif, la consultation des parties intéressées dans la dernière étape de la réalisation de l’AIPD[16], rejoignant ainsi les préconisations de Robert FREEMAN. Cette incitation ne s’accompagne pas pour autant de la définition des modalités de la consultation, ni des effets que les avis formulés par les parties prenantes ou les parties intéressées peuvent avoir sur la détermination des finalités et des moyens du traitement. Ainsi, ces lignes directrices n’offrent aucune possibilité aux parties prenantes d’intervenir réellement en amont du traitement dans la mesure où elles leur octroient un rôle purement consultatif. Il est possible de s’interroger sur l’opportunité de consulter les parties intéressées sans que ces dernières soient réellement associées au processus de décision.
Les parties prenantes, caution démocratique d’une norme privée
Les Lignes Directrices Certification conçoivent, pour leur part, largement la notion de parties prenantes en incluant les parties intéressées lors de l’élaboration des codes de conduite. Ces codes correspondent à des normes définies par des acteurs professionnels accréditées par une autorité de contrôle nationale et qui s’appliqueront soit au sein d’une entreprise, soit au sein un secteur industriel. La nature des codes de conduite convergent avec celles des normes techniques par l’édification normative purement privée et volontaire, mais divergent par la non-implication d’organisme de certification. Sans reconnaître officiellement sa descendance avec le Règlement n°1025/2012 relatif à la normalisation dans l’Union Européenne[17], les modalités d’adoption du code développé par les lignes directrices Certification assument néanmoins leur filiation avec la normalisation ISO[18]. Le Considérant 2 du Règlement 1025/2012 rappelle que la participation de toutes les parties impliqués conditionne les légitimités commerciale[19] et juridique[20] d’une norme technique. Dans cette configuration, les parties prenantes au sens large ont donc un droit d’accéder et d’amender la proposition de code de conduite afin que ce dernier soit conforme aux dispositions du RGPD ; leur consultation assure donc la légitimité dudit code. Cette condition de légitimité rend le projet de code éligible à un examen par l’Autorité Nationale de Contrôle statuant ainsi sur l’opportunité de sa codification.
Vers une implication accrue des parties prenantes
Ainsi et sans pour autant directement créer un nouveau droit en faveur des personnes intéressées, la notion de parties prenantes annonce les prémices d’une nouvelle forme de contrôle via une implication certes indirecte, mais active, dans la détermination de la finalité et des moyens du traitement de données personnelles. Une telle implication trouve un écho dans le livre blanc relatif à l’Intelligence Artificielle de la Commission européenne[21] dans lequel sont promues tant ces signes de confiance que constituent les codes de conduite[22] qu’une obligation d’information renforcée en ce qui concerne sur les traitements automatisés de données personnelles[1].
Jonathan Keller, Ingénieur de Recherche en Droit à Télécom Paris, membre associé de la Chaire VP-IP, en collaboration avec la Chaire Connected Car and Cybersecurity (C3S) de Télécom Paris
Claire Levallois-Barth, Maître de conférences en droit à Télécom Paris, Coordinatrice de la Chaire VP-IP
[1] Voir dans ce sens Commission Européenne, LIVRE BLANC, le paragraphe D, pp. 21-26, où sont explicitées les pistes d’information à produire par le « déployeur » de l’IA.
[1] https://cvpip.wp.imt.fr/2020/01/09/retours-sur-la-conference-agoras/
[2] Voir dans ce sens les lignes directrices on processing personal data in the context of connected vehicles and mobility related applications Version 1.0 adoptées le 28/01/2020 (ci-après les « Lignes directrices Voiture Connectées»), qui visent les constructeurs comme tête de filière.
[3] Dans ce sens voir, Commission Européenne, LIVRE BLANC, INTELLIGENCE ARTIFICIELLE, UNE APPROCHE EUROPEENNE AXEE SUR L’EXCELLENCE ET LA CONFIANCE, 19/02/2020, Com (2020) 65 final qui appelle à une consultation des parties prenantes sur la responsabilité de l’intelligence artificielle (ci-après « IA »).)
[4] In STRATEGIC MANAGEMENT : A STAKEHOLDER APPROACH, Cambridge university press, 1984; voir également R. FREEMAN et J. MCVEA, A Stakeholder Approach to Strategic Management, 2001, disponible sur 10.2139/ssrn.263511,
[5] Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) OJ L 119, 4.5.2016, p. 1–88
[6] Avant le RGPD, les lignes directrices sur les Data Protection Officers (‘DPOs’) adoptées le 13/12/2016, révisées le 05/04/2017 (ci-après « Lignes directrices DPOs »), les Lignes directrices concernant l’Analyse d’Impact relative à la Protection des Données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement adoptées le 04/04/2017 et modifiées le 04/10/2017 (ci-après « Lignes directrices AIPD »), après l’entrée en vigueur du RGPD, les lignes directrices 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) Version 3, adoptées le 04/06/2019 (ci-après « Lignes directrices Certification»), les lignes directrices 4/2019 sur Article 25 Data Protection by Design and by Default adoptées le 13/11/2019 (ci-après les « Lignes directrices DPbD »), les Lignes directrices Voiture Connectées, et enfin les lignes directrices 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak adopted on 21/04/2020, (ci-après « Lignes directrices COVID »).
[7] Voir ainsi les lignes directrices COVID p.1, les « parties prenantes » dissimulent diplomatiquement les partisans du déploiement de l’application de suivi des contacts, « In many Member States stakeholders are considering the use of contact tracing ».
[8] Voir par exemple les Lignes Directrices DPbD, §4 : « the Guidelines provide stakeholderswith recommendations on how to successfully implement DPbDD. ».
[9] Article 5§2 du RGPD : « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) »
[10] Voir dans ce sens les lignes Directrices AIPD et les Lignes directrices Certification.
[11] Voir dans ce sens K. DEMETZOU, Data protection impact assessment : a tool for accountability and the unclarified concept of « high risk » in the GDPR, Computer Law & Security 2019, où l’autrice définit comme un manquement à l’article 35 du RGPD le fait de mal réaliser l’analyse pour la protection des données en y incluant la mauvaise définition des risques.
[12] Voir Lignes Directrices AIPD, p. 15 qui octroie au Chief information security office (Responsable sécurité informatique) du responsable de traitement la direction de la consultation auprès des parties prenantes. Le DPO est tenu de l’assister. Cette même obligation se retrouve dans les Lignes directrices « voitures connectées »
[13] Voir note infra 2.
[14] Lignes Directrices voitures connectées § 29 « More precisely, it includes traditional actors of the automotive industry as well as emerging players from the digital industry. »,
[15] Lignes Directrices voitures connectées § 43 : « the EDPB wants to place particular emphasis and raise stakeholders awareness to the fact that the use of location technologies requires the implementation of specific safeguards in order to prevent surveillance of individuals and misuse of the data. »
[16] Voir Lignes directrices AIPD, Annexe 2 in fine.
[17] RÈGLEMENT (UE) No 1025/2012 DU PARLEMENT EUROPÉEN ET DU CONSEIL, du 25/10/2012, relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil qui mentionnent 25 fois les parties prenantes à même le texte.
[18] Voir dans ce sens, 52 renvois explicites des Lignes Directrices Certification à la norme ISO/IEC 17065/2012 Conformity assessment --Requirements for bodies certifying products, processes and services.
[19] Evitant ainsi les risques d’un abus de position dominante au travers d’une revendication d’un droit de propriété intellectuelle. Voir dans ce sens Comm. 09/12/2009 Comp/86.636 Rambus.
[20] « Selon les principes fondateurs, il est important que l'ensemble des parties intéressées, y compris les pouvoirs publics et les petites et moyennes entreprises (PME), soient associées de façon appropriée au processus de normalisation national et européen ».
[21] Note supra 3.
[22] Voir dans ce sens le paragraphe G, p.29 au sujet des labels sur les « IA qui ne sont pas considérées comme étant à haut risque », voir aussi Signes de confiance – L’impact des labels sur la gestion des données personnelles, sous la dir. de C. LEVALLOIS-BARTH, 03/2018, disponible sur https://cvpip.wp.imt.fr/2018/03/19/2018-01-signes-de-confiance-limpact-des-labels-sur-la-gestion-des-donnees-personnelles/