Partage et réutilisation des données personnelles avec Paul-Olivier Gibert, Président de l'AFCDP.
Category
🗞
NewsTranscription
00:00On poursuit ce LexInside et on va parler partage et réutilisation des données avec mon invité
00:16Paul-Olivier Gibert, président de l'AFCDP. Paul-Olivier Gibert, bonjour.
00:22Bonjour.
00:23Quel impact le RGPD a-t-il eu sur la protection des données personnelles du point de vue
00:28du citoyen ? Le RGPD a profondément renforcé les droits
00:34des citoyens.
00:35On peut véritablement parler d'une révolution avec le RGPD.
00:37Pour être plus concret, le RGPD a consacré un certain nombre de droits.
00:42Le premier, c'est le droit à l'oubli, c'est-à-dire de demander à un responsable
00:45de traitement d'oublier notre personne.
00:47Le deuxième, c'est le droit à la portabilité des données, c'est-à-dire de récupérer
00:51sous un format utilisable, lisible par une machine, des données nous concernant pour
00:56les confier à un autre responsable de traitement.
00:58La transparence est accrue, les entreprises sont tenues d'informer clairement les utilisateurs
01:05sur la manière dont les données sont collectées et l'utilisation qui en est faite et c'est
01:08des choses que l'on peut voir puisque maintenant on peut avoir une description beaucoup plus
01:11précise dans l'utilisation des cookies, des personnes qui sont destinataires de ces
01:16cookies et avec des listes qui parfois peuvent être très longues et très nombreuses.
01:20Le consentement maintenant doit être explicite, il n'est plus présumé, il n'est plus
01:27présumé, il doit être explicite, ce qui ne signifie pas que ce ne soit pas, c'est
01:31pas la seule source d'expression, de légitimité d'un traitement de données à caractère
01:37personnel, mais si elle est fondée sur le consentement, celui-ci doit être explicite.
01:43Et enfin, une responsabilité croissante des entreprises qui doivent mettre en place des
01:48dispositifs de protection des données à caractère personnel, de respect des souhaits des personnes
01:55au prix de sanctions qui sont très lourdes, 4% du chiffre d'affaires dans un régime
01:59précédent où on était dans une déclaration administrative des traitements.
02:03Alors vous évoquez justement l'impact du RGPD sur les entreprises, comment le RGPD
02:10a-t-il changé la façon dont les entreprises collectent et traitent les données personnelles?
02:15Alors c'est des choses qui sont visibles, c'est-à-dire qu'on voit que l'information
02:19est plus normalement plus précise, c'est ce que j'évoquais tout à l'heure avec
02:23la description de chacun des destinataires de cookies.
02:27On a sur la collecte des données plusieurs évolutions majeures.
02:32La première, c'est la logique de minimalisation des données.
02:34On utilise les seules données nécessaires au traitement et pas celles qui sont superflues.
02:39Ça peut poser parfois des problèmes, mais c'est quand même un principe de saine gestion.
02:44La deuxième chose, c'est la limitation de finalité.
02:47J'utilise des données, pas parce que ça peut être utile un jour peut-être, mais parce que
02:51j'en ai un besoin précis, déterminé et explicite à un instant donné.
02:55Et autre chose qui est très importante, c'est l'exactitude des données.
02:59Je dois raisonner avec des données qui correspondent à la réalité de la personne et non pas
03:04des données qui sont générées de manière aléatoire.
03:07Conservation limitée, on les conserve pour une durée qui doit être en cohérence avec
03:13la finalité du traitement et non pas indéfiniment.
03:16Et puis une obligation d'assurer l'intégrité et la confidentialité, et c'est tout ce que
03:20l'on peut voir, notamment avec les problématiques de fuite de données, où on a des entreprises
03:26qui sont sanctionnées parce qu'elles n'ont pas assuré de manière suffisante la protection
03:32des données des utilisateurs de leurs services.
03:34Et ça, c'est quand même une innovation importante apportée par le RGPD.
03:38Quelles sont les principales difficultés pour les entreprises pour se conformer au RGPD ?
03:46Je pense qu'on peut distinguer plusieurs types d'entreprises.
03:50Il y a les très grandes entreprises qui, depuis plusieurs années, en particulier dans le domaine financier,
03:56quelques décennies même, se sont habituées à avoir des obligations de conformité et donc
04:00à mettre en place des dispositifs de contrôle interne.
04:03Pour les entreprises de taille plus petite, des obligations de même nature sont issues du RGPD,
04:10mais elles n'ont pas forcément la culture qui leur a permis d'avancer là-dessus.
04:15Des points sur lesquels il faut faire attention.
04:17Premièrement, c'est ce qu'on appelle la cartographie des données,
04:20c'est-à-dire que l'entreprise doit savoir quels sont les types de données qu'elle utilise,
04:24à quelle finalité et quelles sont les logiques de traitement qui leur sont appliquées.
04:28La deuxième chose qui est un anglicisme, c'est le privacy by design,
04:32c'est-à-dire la protection de la vie privée par défaut.
04:34C'est-à-dire que dès que l'on conçoit un projet informatique,
04:37il faut intégrer cette problématique de protection des données de la vie des personnes,
04:42à la fois en termes de sécurité, mais aussi en termes de respect des droits des personnes,
04:46lorsque l'on conçoit le produit.
04:47Et donc ça, c'est une évolution qui est importante, mais qui est aussi une logique de bon sens.
04:52On n'avait pas cette préoccupation avant le RGPD ?
04:55Avant le RGPD, certains diront de manière cynique,
04:59avant les sanctions du RGPD,
05:01il était très difficile de faire prendre en compte les besoins de protection de la vie privée
05:06avant, dans le cadre du projet,
05:10et c'était bien souvent quelque chose qui arrivait en dernière minute,
05:13juste avant la livraison.
05:15Maintenant, c'est fini.
05:17Ensuite, il faut former le personnel,
05:19c'est-à-dire que le personnel doit être au courant de ses droits et de ses obligations
05:24en matière de protection des données,
05:26en tant que préposé de l'entreprise.
05:29La gestion des incidents est devenue un point qui est très important,
05:32c'est-à-dire que lorsqu'on a une data breach,
05:35une fuite de données, ou un accès illégitime, ou une indisponibilité des données,
05:39il faut prévenir les gens, il faut les informer,
05:41et il faut également prévenir le régulateur, qui est la CNIL.
05:45Ça veut dire un système d'alerte à mettre en place ?
05:47Ça veut dire un système de remontée et de gestion des incidents
05:51que l'on a dans les grandes structures,
05:53parce qu'il y a des problèmes d'indisposibilité qui ont des impacts très conséquents,
05:57mais c'est quelque chose qui redescend vers d'autres types d'acteurs
06:00que les très grands groupes ou les groupes du domaine
06:03dont les activités sont par elles-mêmes réglementées.
06:06Et puis, désignation d'un délégué à la protection des données à caractère personnel,
06:11un DPO, que je représente,
06:14et qui est une fonction non-exécutive,
06:17et qui a pour but d'assister le responsable de traitement,
06:21donc la direction de l'organisme,
06:23pour que la protection des données à caractère personnel soit bien intégrée
06:28et que la protection soit effective.
06:31En général, le profil des DPO, c'est des juristes ou pas forcément ?
06:36Alors, il y a une proportion importante de juristes parmi les DPO,
06:41mais c'est-à-dire qu'on a aussi des gens qui viennent de la sécurité des systèmes d'information,
06:45des gens qui sont ingénieurs et puis des gens qui viennent du métier.
06:47Alors, la difficulté du métier de DPO,
06:51c'est pas tellement la formation initiale, juriste, ingénieur ou autre,
06:54c'est d'être capable d'être quelqu'un de pertinent
06:57sur les domaines qui concernent le métier de l'organisation.
07:00Deuxièmement, sur la réglementation, sur la protection des données à caractère personnel,
07:04ça, c'est un petit peu obligatoire.
07:06Et puis, quelqu'un qui comprenne comment fonctionne un système d'information.
07:09Donc, c'est cet équilibre qu'il faut trouver.
07:12Et en fait, quand on se dit quelle est la bonne solution interne, externe,
07:17tel type de rattachement, tel type de formation,
07:19c'est difficile de la fournir.
07:23C'est-à-dire que c'est la personne qui sera la plus efficace
07:26à un instant donné dans une organisation donnée
07:29pour assurer la protection des données à caractère personnel.
07:33Quels sont les nouveaux défis en matière de protection des données personnelles
07:37avec, je pense, à l'intelligence artificielle ou l'Internet des objets ?
07:41Alors là, on a de nouveaux défis
07:45parce qu'on a quelque chose qui ressemble à une nouvelle vague
07:48d'innovation technologique qui est proche d'une révolution.
07:51L'IA est un enjeu tout à fait important pour les DPO
07:57et pour les personnes qui s'occupent de protection des données personnelles
08:01avec différents sujets.
08:03Premièrement, c'est la transparence et la loyauté des traitements.
08:06C'est-à-dire que les traitements doivent être visibles, expliqués
08:10et compréhensibles par les personnes qui en sont l'objet.
08:13La problématique aussi de la sécurité des données
08:18transférées, collectées et traitées par l'Internet des objets
08:22est un sujet qui n'est pas si simple que ça avec tous ces capteurs
08:25qui sont un petit peu partout.
08:27Et avec l'IA, on a la gestion des biais et des discriminations.
08:31Ce n'est pas toujours la faute de l'IA.
08:34C'est-à-dire que l'IA travaille par apprentissage
08:36et donc ce qu'elle projette, ce qu'elle produit
08:38est finalement le résultat d'une analyse du passé.
08:41Il faut reconnaître que si on regarde notre histoire
08:44en termes de misogynie, de discrimination,
08:47on n'est pas forcément totalement exemplaire.
08:49Donc ce n'est pas forcément la faute de l'IA.
08:51Mais il y a aussi des fois où l'IA produit des hallucinations.
08:54Les hallucinations, c'est un résultat qui est plausible
08:59mais qui est totalement faux.
09:01J'ai fait l'expérience à titre personnel
09:05et je me suis retrouvé beaucoup plus vieux
09:07et dans une spécialité qui n'était pas du tout la mienne.
09:09Mais il y a un exemple qui est beaucoup plus parlant,
09:11c'est qu'il y a des requêtes d'IA qui conseillent
09:13de manger des cailloux, parce que ça apporte des sels minéraux.
09:17Et il y a quand même une phrase un petit peu de doute à l'intérieur
09:21qui est que tout le monde n'est pas d'accord.
09:24Donc en fait, l'IA dit qu'il semblerait que ce soit intéressant
09:30de manger des cailloux, mais ce n'est pas l'unanimité
09:33qui est là-dessus.
09:34Donc à titre personnel, je ne recommande pas du tout
09:38la consommation de cailloux, même si certains animaux
09:43gèrent leur digestion de cette façon.
09:47Le consentement dans un environnement IoT,
09:50c'est un sujet qui est un petit peu complexe
09:52parce qu'on a beaucoup de capteurs.
09:54On ne sait pas exactement sur son téléphone ce qui est capté,
09:57mais si c'est des objets qui eux-mêmes ont leur vie autonome,
10:01on a aussi cette problématique de qu'est-ce qui va être capté
10:04sur moi à partir de ces objets.
10:11Deux choses importantes, le droit à l'explication.
10:14Il faut pouvoir justifier des résultats du traitement
10:17et de la manière dont il a fonctionné.
10:19Et puis un point qui est technique,
10:21est-ce qu'on a toujours besoin de données
10:23à caractère personnel pour un bon apprentissage
10:26en matière d'intelligence artificielle ?
10:29La réponse est non.
10:31Il peut y avoir des fois où l'apprentissage
10:33se fait avec des données anonymes ou des données pseudonymes.
10:36Et donc là, ça peut être un outil très intéressant.
10:38D'accord, on va suivre tout ça avec intérêt.
10:40Merci d'être venu sur notre plateau.