AfterMachine RAG

1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: a) le traitement est effectué par une autorité publique; b) les activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle; c) les activités de base consistent en un traitement à grande échelle de données sensibles.

Règles sur les catégories particulières de données (interdiction de principe + exceptions) — voir texte officiel.

Interdiction par principe + exceptions (ex : consentement explicite, droit du travail, intérêt public important, soins, etc.).

1. Les systèmes d’IA à haut risque qui utilisent des techniques impliquant l’entraînement de modèles avec des données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui répondent aux critères de qualité énoncés aux paragraphes 2 à 5. 2. Les jeux de données d’entraînement, de validation et de test font l’objet de pratiques de gouvernance et de gestion des données appropriées.

1. Lorsque des données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci, au moment où les données en question sont obtenues, toutes les informations suivantes: a) l'identité et les coordonnées du responsable du traitement; b) les coordonnées du délégué à la protection des données; c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement...

La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations sur les finalités du traitement, les catégories de données concernées, et les destinataires auxquels les données ont été communiquées.

La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou si la personne retire son consentement.

Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes de protection des données, tels que la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement.

1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée;
b) collectées pour des finalités déterminées, explicites et légitimes;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour...

1. Le Comité européen de la protection des données est institué en tant qu'organe de l'Union et possède la personnalité juridique. 2. Le Comité est composé du chef d'une autorité de contrôle par État membre et du Contrôleur européen de la protection des données (CEPD).

Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité. Le droit à la protection des données n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être équilibré par rapport à d'autres droits fondamentaux, conformément au principe de proportionnalité.

Entrée en vigueur en 2020, la LGPD s'inspire fortement du RGPD pour garantir les droits des citoyens brésiliens sur leurs données personnelles et encadrer les obligations des entreprises privées et publiques.

La PIPL encadre la collecte et le traitement des données personnelles en Chine, imposant des règles strictes sur le transfert de données transfrontalier et le consentement explicite, similaire au RGPD européen.

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation à l'autorité de contrôle compétente (CNIL) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

1. Les missions du délégué à la protection des données sont au moins les suivantes: a) informer et conseiller le responsable du traitement ou le sous-traitant; b) contrôler le respect du présent règlement; c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact (AIPD); d) coopérer avec l'autorité de contrôle.

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne.

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition.

Gouvernance des données, intermédiation, réutilisation des données du secteur public.

La CNIL recommande d’intégrer la sécurité dès la phase d’entraînement des modèles d’IA. Cela inclut la gestion des risques d'attaques par inversion ou par empoisonnement de données. Le principe de minimisation doit s'appliquer aux jeux de données d'apprentissage.

Le Japon a renforcé en 2024 les obligations de notification en cas de violation de données et a élargi les droits des individus à demander l'arrêt de l'utilisation de leurs données en cas de risque pour leurs droits ou intérêts légitimes, maintenant ainsi son adéquation avec l'UE.

La documentation technique visée à l'article 11, paragraphe 1, contient au moins :
1. Une description générale du système d'IA (finalité, concepteurs, date, version).
2. Une description détaillée des composants (méthodes d'entraînement, algorithmes, sources de données).
3. Des informations sur les capacités de contrôle humain.
4. Une évaluation des risques et des mesures d'atténuation.
5. Les résultats des tests et de la validation.

Portée et objet : cadre général de protection des données personnelles dans l’UE (voir texte officiel).

Traitement des données relatives aux condamnations et infractions — voir texte officiel.

Informations à fournir quand les données sont collectées auprès de la personne — voir texte officiel.

Informations à fournir quand les données ne proviennent pas de la personne — voir texte officiel.

Le droit d’obtenir confirmation, accès aux données et informations associées ; conditions et limites.

Recevoir les données dans un format structuré et transmettre à un autre responsable quand applicable.

Protection des données dès la conception et par défaut — voir texte officiel.

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes: a) le nom et les coordonnées du responsable du traitement; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel...

Notification à l’autorité d’une violation de données — voir texte officiel.

Communication d’une violation de données à la personne — voir texte officiel.

Analyse d’impact relative à la protection des données (AIPD/DPIA) — voir texte officiel.

Définitions clés : données personnelles, traitement, responsable, sous-traitant, etc. — voir texte officiel.

Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si le responsable du traitement et le sous-traitant respectent les conditions énoncées dans le présent chapitre. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter la libre circulation des données à caractère personnel au sein de l'Union.

1. Chaque autorité de contrôle dispose de pouvoirs d'enquête (accès aux données, aux locaux), de pouvoirs correcteurs (avertissement, rappel à l'ordre, limitation temporaire ou définitive du traitement, amende administrative) et de pouvoirs d'autorisation et d'avis.

1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis...

1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel en vertu du présent règlement avec le droit à la liberté d'expression et d'information, y compris le traitement à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire.

Les États membres peuvent prévoir, par la loi ou par des conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail (recrutement, exécution du contrat, gestion, égalité, santé et sécurité).

Exigences : gestion des risques, données, documentation, traçabilité/logs, transparence, supervision humaine, robustesse & cybersécurité.

Notification à l’autorité (et parfois aux personnes) selon le risque ; délais ; contenu.

Le Royaume-Uni a adopté le "UK GDPR" qui conserve l'essentiel des principes du règlement européen. Cependant, depuis 2025, le gouvernement britannique privilégie une approche plus flexible pour favoriser l'innovation technologique, tout en maintenant l'adéquation avec l'UE pour permettre la libre circulation des données.

La CNIL précise que la collecte de données sur le web pour entraîner une IA doit respecter la base légale du consentement ou de l'intérêt légitime, tout en garantissant un droit d'opposition effectif pour les personnes concernées.

Règles d’accès/partage des données (IoT, services cloud, portabilité).

Référentiel clé État de Californie : droits consommateurs, opt-out, catégories de données, etc.

Réforme majeure Québec : gouvernance, transparence, incidents, évaluations, etc.