LEX INSIDE - Partage et réutilisation des données personnelles à l'ère du numérique

B SMART

30/10/2024

Partage et réutilisation des données personnelles avec Paul-Olivier Gibert, Président de l'AFCDP.

Catégorie

🗞

News

Transcription

Afficher la transcription complète de la vidéo

00:00On poursuit ce LexInside et on va parler partage et réutilisation des données avec mon invité

00:16Paul-Olivier Gibert, président de l'AFCDP. Paul-Olivier Gibert, bonjour.

00:22Bonjour.

00:23Quel impact le RGPD a-t-il eu sur la protection des données personnelles du point de vue

00:28du citoyen ? Le RGPD a profondément renforcé les droits

00:34des citoyens.

00:35On peut véritablement parler d'une révolution avec le RGPD.

00:37Pour être plus concret, le RGPD a consacré un certain nombre de droits.

00:42Le premier, c'est le droit à l'oubli, c'est-à-dire de demander à un responsable

00:45de traitement d'oublier notre personne.

00:47Le deuxième, c'est le droit à la portabilité des données, c'est-à-dire de récupérer

00:51sous un format utilisable, lisible par une machine, des données nous concernant pour

00:56les confier à un autre responsable de traitement.

00:58La transparence est accrue, les entreprises sont tenues d'informer clairement les utilisateurs

01:05sur la manière dont les données sont collectées et l'utilisation qui en est faite et c'est

01:08des choses que l'on peut voir puisque maintenant on peut avoir une description beaucoup plus

01:11précise dans l'utilisation des cookies, des personnes qui sont destinataires de ces

01:16cookies et avec des listes qui parfois peuvent être très longues et très nombreuses.

01:20Le consentement maintenant doit être explicite, il n'est plus présumé, il n'est plus

01:27présumé, il doit être explicite, ce qui ne signifie pas que ce ne soit pas, c'est

01:31pas la seule source d'expression, de légitimité d'un traitement de données à caractère

01:37personnel, mais si elle est fondée sur le consentement, celui-ci doit être explicite.

01:43Et enfin, une responsabilité croissante des entreprises qui doivent mettre en place des

01:48dispositifs de protection des données à caractère personnel, de respect des souhaits des personnes

01:55au prix de sanctions qui sont très lourdes, 4% du chiffre d'affaires dans un régime

01:59précédent où on était dans une déclaration administrative des traitements.

02:03Alors vous évoquez justement l'impact du RGPD sur les entreprises, comment le RGPD

02:10a-t-il changé la façon dont les entreprises collectent et traitent les données personnelles?

02:15Alors c'est des choses qui sont visibles, c'est-à-dire qu'on voit que l'information

02:19est plus normalement plus précise, c'est ce que j'évoquais tout à l'heure avec

02:23la description de chacun des destinataires de cookies.

02:27On a sur la collecte des données plusieurs évolutions majeures.

02:32La première, c'est la logique de minimalisation des données.

02:34On utilise les seules données nécessaires au traitement et pas celles qui sont superflues.

02:39Ça peut poser parfois des problèmes, mais c'est quand même un principe de saine gestion.

02:44La deuxième chose, c'est la limitation de finalité.

02:47J'utilise des données, pas parce que ça peut être utile un jour peut-être, mais parce que

02:51j'en ai un besoin précis, déterminé et explicite à un instant donné.

02:55Et autre chose qui est très importante, c'est l'exactitude des données.

02:59Je dois raisonner avec des données qui correspondent à la réalité de la personne et non pas

03:04des données qui sont générées de manière aléatoire.

03:07Conservation limitée, on les conserve pour une durée qui doit être en cohérence avec

03:13la finalité du traitement et non pas indéfiniment.

03:16Et puis une obligation d'assurer l'intégrité et la confidentialité, et c'est tout ce que

03:20l'on peut voir, notamment avec les problématiques de fuite de données, où on a des entreprises

03:26qui sont sanctionnées parce qu'elles n'ont pas assuré de manière suffisante la protection

03:32des données des utilisateurs de leurs services.

03:34Et ça, c'est quand même une innovation importante apportée par le RGPD.

03:38Quelles sont les principales difficultés pour les entreprises pour se conformer au RGPD ?

03:46Je pense qu'on peut distinguer plusieurs types d'entreprises.

03:50Il y a les très grandes entreprises qui, depuis plusieurs années, en particulier dans le domaine financier,

03:56quelques décennies même, se sont habituées à avoir des obligations de conformité et donc

04:00à mettre en place des dispositifs de contrôle interne.

04:03Pour les entreprises de taille plus petite, des obligations de même nature sont issues du RGPD,

04:10mais elles n'ont pas forcément la culture qui leur a permis d'avancer là-dessus.

04:15Des points sur lesquels il faut faire attention.

04:17Premièrement, c'est ce qu'on appelle la cartographie des données,

04:20c'est-à-dire que l'entreprise doit savoir quels sont les types de données qu'elle utilise,

04:24à quelle finalité et quelles sont les logiques de traitement qui leur sont appliquées.

04:28La deuxième chose qui est un anglicisme, c'est le privacy by design,

04:32c'est-à-dire la protection de la vie privée par défaut.

04:34C'est-à-dire que dès que l'on conçoit un projet informatique,

04:37il faut intégrer cette problématique de protection des données de la vie des personnes,

04:42à la fois en termes de sécurité, mais aussi en termes de respect des droits des personnes,

04:46lorsque l'on conçoit le produit.

04:47Et donc ça, c'est une évolution qui est importante, mais qui est aussi une logique de bon sens.

04:52On n'avait pas cette préoccupation avant le RGPD ?

04:55Avant le RGPD, certains diront de manière cynique,

04:59avant les sanctions du RGPD,

05:01il était très difficile de faire prendre en compte les besoins de protection de la vie privée

05:06avant, dans le cadre du projet,

05:10et c'était bien souvent quelque chose qui arrivait en dernière minute,

05:13juste avant la livraison.

05:15Maintenant, c'est fini.

05:17Ensuite, il faut former le personnel,

05:19c'est-à-dire que le personnel doit être au courant de ses droits et de ses obligations

05:24en matière de protection des données,

05:26en tant que préposé de l'entreprise.

05:29La gestion des incidents est devenue un point qui est très important,

05:32c'est-à-dire que lorsqu'on a une data breach,

05:35une fuite de données, ou un accès illégitime, ou une indisponibilité des données,

05:39il faut prévenir les gens, il faut les informer,

05:41et il faut également prévenir le régulateur, qui est la CNIL.

05:45Ça veut dire un système d'alerte à mettre en place ?

05:47Ça veut dire un système de remontée et de gestion des incidents

05:51que l'on a dans les grandes structures,

05:53parce qu'il y a des problèmes d'indisposibilité qui ont des impacts très conséquents,

05:57mais c'est quelque chose qui redescend vers d'autres types d'acteurs

06:00que les très grands groupes ou les groupes du domaine

06:03dont les activités sont par elles-mêmes réglementées.

06:06Et puis, désignation d'un délégué à la protection des données à caractère personnel,

06:11un DPO, que je représente,

06:14et qui est une fonction non-exécutive,

06:17et qui a pour but d'assister le responsable de traitement,

06:21donc la direction de l'organisme,

06:23pour que la protection des données à caractère personnel soit bien intégrée

06:28et que la protection soit effective.

06:31En général, le profil des DPO, c'est des juristes ou pas forcément ?

06:36Alors, il y a une proportion importante de juristes parmi les DPO,

06:41mais c'est-à-dire qu'on a aussi des gens qui viennent de la sécurité des systèmes d'information,

06:45des gens qui sont ingénieurs et puis des gens qui viennent du métier.

06:47Alors, la difficulté du métier de DPO,

06:51c'est pas tellement la formation initiale, juriste, ingénieur ou autre,

06:54c'est d'être capable d'être quelqu'un de pertinent

06:57sur les domaines qui concernent le métier de l'organisation.

07:00Deuxièmement, sur la réglementation, sur la protection des données à caractère personnel,

07:04ça, c'est un petit peu obligatoire.

07:06Et puis, quelqu'un qui comprenne comment fonctionne un système d'information.

07:09Donc, c'est cet équilibre qu'il faut trouver.

07:12Et en fait, quand on se dit quelle est la bonne solution interne, externe,

07:17tel type de rattachement, tel type de formation,

07:19c'est difficile de la fournir.

07:23C'est-à-dire que c'est la personne qui sera la plus efficace

07:26à un instant donné dans une organisation donnée

07:29pour assurer la protection des données à caractère personnel.

07:33Quels sont les nouveaux défis en matière de protection des données personnelles

07:37avec, je pense, à l'intelligence artificielle ou l'Internet des objets ?

07:41Alors là, on a de nouveaux défis

07:45parce qu'on a quelque chose qui ressemble à une nouvelle vague

07:48d'innovation technologique qui est proche d'une révolution.

07:51L'IA est un enjeu tout à fait important pour les DPO

07:57et pour les personnes qui s'occupent de protection des données personnelles

08:01avec différents sujets.

08:03Premièrement, c'est la transparence et la loyauté des traitements.

08:06C'est-à-dire que les traitements doivent être visibles, expliqués

08:10et compréhensibles par les personnes qui en sont l'objet.

08:13La problématique aussi de la sécurité des données

08:18transférées, collectées et traitées par l'Internet des objets

08:22est un sujet qui n'est pas si simple que ça avec tous ces capteurs

08:25qui sont un petit peu partout.

08:27Et avec l'IA, on a la gestion des biais et des discriminations.

08:31Ce n'est pas toujours la faute de l'IA.

08:34C'est-à-dire que l'IA travaille par apprentissage

08:36et donc ce qu'elle projette, ce qu'elle produit

08:38est finalement le résultat d'une analyse du passé.

08:41Il faut reconnaître que si on regarde notre histoire

08:44en termes de misogynie, de discrimination,

08:47on n'est pas forcément totalement exemplaire.

08:49Donc ce n'est pas forcément la faute de l'IA.

08:51Mais il y a aussi des fois où l'IA produit des hallucinations.

08:54Les hallucinations, c'est un résultat qui est plausible

08:59mais qui est totalement faux.

09:01J'ai fait l'expérience à titre personnel

09:05et je me suis retrouvé beaucoup plus vieux

09:07et dans une spécialité qui n'était pas du tout la mienne.

09:09Mais il y a un exemple qui est beaucoup plus parlant,

09:11c'est qu'il y a des requêtes d'IA qui conseillent

09:13de manger des cailloux, parce que ça apporte des sels minéraux.

09:17Et il y a quand même une phrase un petit peu de doute à l'intérieur

09:21qui est que tout le monde n'est pas d'accord.

09:24Donc en fait, l'IA dit qu'il semblerait que ce soit intéressant

09:30de manger des cailloux, mais ce n'est pas l'unanimité

09:33qui est là-dessus.

09:34Donc à titre personnel, je ne recommande pas du tout

09:38la consommation de cailloux, même si certains animaux

09:43gèrent leur digestion de cette façon.

09:47Le consentement dans un environnement IoT,

09:50c'est un sujet qui est un petit peu complexe

09:52parce qu'on a beaucoup de capteurs.

09:54On ne sait pas exactement sur son téléphone ce qui est capté,

09:57mais si c'est des objets qui eux-mêmes ont leur vie autonome,

10:01on a aussi cette problématique de qu'est-ce qui va être capté

10:04sur moi à partir de ces objets.

10:11Deux choses importantes, le droit à l'explication.

10:14Il faut pouvoir justifier des résultats du traitement

10:17et de la manière dont il a fonctionné.

10:19Et puis un point qui est technique,

10:21est-ce qu'on a toujours besoin de données

10:23à caractère personnel pour un bon apprentissage

10:26en matière d'intelligence artificielle ?

10:29La réponse est non.

10:31Il peut y avoir des fois où l'apprentissage

10:33se fait avec des données anonymes ou des données pseudonymes.

10:36Et donc là, ça peut être un outil très intéressant.

10:38D'accord, on va suivre tout ça avec intérêt.

10:40Merci d'être venu sur notre plateau.

Recommandations