Titre : | Doctrine: L’articulation du RGPD avec l’EU Digital Package (DSA, DORA, DA et AIA) – Premiers enseignements dans le secteur des assurances (2024) |
Auteurs : | Chloé Antoine, Auteur ; Hervé Jacquemin, Auteur |
Type de document : | Article : texte imprimé |
Dans : | Bulletin des assurances (28, Dossier 2024) |
Article en page(s) : | p.255-291 |
Langues: | Français |
Sujets : |
IESN Assurances ; Jurisprudence (général) ; Règlement Général sur la Protection des Données |
Résumé : |
Au niveau de l’Union européenne, le droit du numérique est marqué par l’adoption sans cesse croissante de textes visant à encadrer des thématiques diverses telles que l’intelligence artificielle, la cybersécurité ou le partage de données. Dans de nombreuses situations, ces textes s’appliqueront en même temps que le règlement général sur la protection des données (RGPD) en raison de la place centrale qu’occupent les données à caractère personnel dans l’environnement numérique. L’articulation des dispositions contenues dans ces textes et des dispositions du RGPD pourrait, dans certains cas, poser des difficultés, y compris dans le domaine des assurances où les traitements de données à caractère personnel sont presque systématiques. La présente contribution examine certains de ces textes – le Digital Services Act (DSA), le Digital Operational Resilience Act (DORA), le Data Act (DA) et l’AI Act (AIA) – dans une optique de mise en lumière des enjeux qu’ils posent en cas d’application simultanée avec le RGPD, en particulier dans le domaine des assurances. Le DSA encadre l’activité des services intermédiaires et des plateformes. En matière d’assurances, les difficultés d’articulation devraient rester limitées. Les mesures prescrites par le DSA devraient en effet se révéler complémentaires à celles du RGPD, notamment en matière de publicité en ligne ou de profilage. S’agissant de DORA, dont l’objet est de garantir la résilience opérationnelle des entités financières (y compris, dès lors, les compagnies d’assurances et les intermédiaires), les points de convergence sont plus nombreux : dans DORA, on trouve ainsi des exigences similaires à celles du RGPD (garanties de résilience, disponibilité et confidentialité, procédure en cas de violation des données ou d’incident lié aux TICs, contenus des contrats strictement encadrés, etc.). Le DA a quant à lui notamment pour objectif de permettre et d’encadrer le partage de données dans le domaine de l’Internet des objets. Les obligations qu’il impose en la matière pourraient être perçues comme accordant aux utilisateurs de produits connectés et de services connexes un « droit d’accès » et un « droit à la portabilité des données » de portée spécifique. Dans le domaine des assurances, l’application du DA et du RGPD devrait, la plupart du temps, être simultanée. L’on ne présage pas de grandes difficultés d’articulation entre ces deux instruments en raison, d’une part, de la complémentarité des droits d’accès et à la portabilité des données prévus par le DA et le RGPD lorsque l’utilisateur est une « personne concernée » d’autre part, de la clause de hiérarchie, contenue dans le DA, faisant prévaloir les dispositions du RGPD en cas de conflit. Enfin, le RGPD et l’AI Act devraient régulièrement être appliqués de manière simultanée en matière d’assurances : les systèmes d’IA doivent en effet être entraînés sur des données (qui peuvent être à caractère personnel) et leur finalité est très souvent de produire du contenu ou de dégager des solutions en lien avec des personnes physiques identifiées ou identifiables, notamment dans le cadre de décisions automatisées. L’enjeu sera notamment de qualifier correctement le système d’IA utilisé, ainsi que les parties impliquées. Des difficultés ne sont pas exclues, pour les systèmes d’IA à haut risque, notamment, au moment d’articuler l’article 22 du RGPD et les obligations correspondantes de l’AI Act. (extrait de Bulletin des assurances, dossier 8, p.255) |
Note de contenu : |
Droit de ne pas être soumis à une décision individuelle automatisée (traitement des données à caractère personnel) Services de la société de l'information - Commerce électronique, généralités Sécurité des réseaux et des systèmes d'information - cybersécurité, généralités Traitement des données à caractère personnel, généralités |
Exemplaires (1)
Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
---|---|---|---|---|---|
Bibliothèque IESN | _Périodiques | Périodique | 34 BA 28 | Non empruntable | Exclu du prêt |