La période de participation est maintenant fermée. Merci à tous d'avoir participé.
sam, 04/10/2014 - 09:00 La concertation est terminée. Les débats en ligne ainsi que les commentaires sur les synthèses ont été à la base du travail des membres du Conseil national du numérique, qui préparent actuellement les recommandations au gouvernement. Les synthèses des débats, enrichies des commentaires, seront publiées en annexe du rapport.

De quoi parle-t-on ? Présentation des enjeux

Propositions dans le débat public
le 25/09/2014 - 19:21

Données, traces et algorithmes

Collecte de données personnelles sur les internautes, géolocalisation en continu des usagers d’applications mobiles, IP Tracking, manipulation de flux d’actualités sur Facebook, référencement d’informations personnelles dans des moteurs de recherche, révélations sur la collaboration d’acteurs du numérique à des programmes de surveillance massifs, etc. : les nombreuses controverses autour des pratiques de collecte et d’exploitation de données personnelles amènent parfois à un constat d’impuissance pour les usagers. Leurs formes d’exploitations très diverses peuvent provoquer des effets indésirables : de la personnalisation discriminante des tarifs en fonction du profil de la personne ciblée, à la révélation d’informations personnelles sensibles.

Mais les traces collectées sur les activités des internautes peuvent également être utilisées par de nombreux acteurs, entreprises, administrations, etc. pour proposer de meilleurs services, devenir plus performants, innover. Elles sont devenues un pilier de l’économie numérique et un atout majeur pour la qualité des politiques publiques. En 2015, l’Europe va se doter d’un nouveau cadre pour la protection des données personnelles. Il s’agit de garantir une meilleure protection de la vie privée des citoyens, tout en soutenant le potentiel d’innovation et de compétitivité qu’apportent les données aux acteurs européens. Comment s’adapter à un contexte technologique et des usages qui évoluent chaque jour ? Comment ce cadre peut-il s’appliquer à des opérateurs qui ne sont pas soumis aux frontières physiques ?

Comment donner aux internautes la maîtrise de  leurs usages et de leur identité numériques ?

Quels problèmes, quels défis ? Diagnostic

Proposer un problème/défi
Orange  Compte vérifié
#2783, le 16/01/2015 - 19:17

données traces algorythmes

Exclusion des URLs du régime juridique des données de trafic
Il n’existe pas de régime juridique particulier relatif aux URLs, à la différence des données de trafic réglementées par la directive dite « vie privée et communications électroniques » et l’article L.34-1 du CPCE en France. Cet article prévoit que les données de trafic « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications », disposition qui n’existe pas dans la directive.
Des divergences d’interprétation sur ce dernier texte sont apparues à propos de l’URL qui a été considérée par certains, à un moment donné, comme étant une donnée portant sur des informations consultées que les opérateurs n’auraient pas le droit de collecter. Afin d’éviter une telle interprétation, qui interpelle au regard des pratiques courantes et généralisées liées à l’usage des URL par les OTT, il est proposé de supprimer de ce texte les mots « ou des informations consultées » qui apportent la confusion et dont il est difficile de mesurer la portée, à défaut d’une réflexion généralisée tous acteurs confondus de l’internet.

« Mêmes services, mêmes règles » : ouvrir le champ d’application territorial de la loi française et mettre tous les acteurs du numérique sur un pied d’égalité
Protéger les données personnelles de manière effective et efficace, c’est assurer un même niveau de protection, quel que soit le type d’acteur qui traite les données : « même service, mêmes règles ». Les acteurs du secteur des télécoms sont toujours soumis à des règles spécifiques, ce qui n’est plus aujourd’hui justifié dès lors que de nombreux acteurs hors secteur télécoms traitent massivement des données personnelles et qui plus est en ont fait de cette exploitation à visée commerciale, un métier.
Par ailleurs, il convient d’en finir avec les batailles juridiques sur l’application de la loi française aux acteurs planétaires sous l’angle très classique de la notion de traitement et de moyens de traitement. L’actuel article 5 de la loi Informatique et libertés ne donne pasun panel de critères suffisants.
Les acteurs de l’Internet ont un dénominateur commun : ils collectent des données d’origine française / européenne qu’ils soient établis ou pas sur ce territoire, ou qu’ils y ont ou non des moyens de collecte en propre. Dès lors, il convient peut être d’avoir une ambition : si le droit de protection des données personnelles est rattachable à un individu lui-même rattachable à un territoire, la loi de ce territoire devrait s’appliquer. Tout comme le consommateur en droit de la consommation est protégé par sa loi locale , l’individu lorsqu’il s’agit de sa vie privée et de ses données doit pouvoir être protégé par la loi française / européenne, dès lors qu’un prestataire non établi en France ou dans l’Union européenne collecte des données le concernant dans le cadre d’une offre de service – même gratuite – accessible en ligne.
La réforme européenne va dans ce sens, mais le texte n’est pas encore stabilisé car encore soumis au scrutin des institutions. La Commission européenne dans son projet de règlement propose en effet de nouveaux critères d’applicabilité. Il s’agit de « l’offre de biens ou de services aux personnes concernées » ou de « l’observation de leur comportement ». Le Parlement européen propose de renforcer et de préciser encore ces dispositions. Il est malheureusement permis de penser que ces dispositions entraîneront comme à l’accoutumée, une multitude de combats judiciaires (y compris devant la CJUE) menés par les grands acteurs mondiaux.
Ne faudrait donc-t-il pas aller plus loin? A minima, il paraît indispensable d’agir en anticipation et de reprendre les deux critères supplémentaires du projet de règlement, avec les améliorations que le Parlement européen a apportées, en précisant que les services gratuits sont également couverts . Mais il semble aussi intéressant de conserver une piste qui ne permette pas de contester que c’est bien l’origine des données collectées, c'est-à-dire le lieu de résidence des personnes à protéger, qui détermine la loi applicable. Dans son projet de règlement, la Commission européenne a fait référence au concept de résidence, mais le Parlement l’a malheureusement supprimé. Des lois tendent à aller dans ce sens (par exemple les lois californiennes de protection relatives aux services online) et le Conseil d’Etat a déjà validé la compétence de l’Arcep pour recueillir des données sur le trafic IP d’opérateurs américains du fait que ce trafic visait des internautes français.
Ces incohérences vont s’accroitre avec l’entrée en vigueur du règlement européen sur la protection des données personnelles, dont le contenu est partiellement inspiré des règles spécifiques imposées aux opérateurs télécoms via la directive vie privée et communications électroniques. Ce doublon risque de à soumettre les opérateurs à un double système de conformité. En effet, cette directive contient des définitions et des obligations qui divergent des règles introduites par le Règlement (données de trafic, données de localisation, violation de données personnelles).

Intégration des nouveaux enjeux : Big data, internet des objets etc
Les réflexions actuelles passent largement à côté de ce qui se développe à très grande vitesse : le Big data et l'internet des objets.
Pour contrebalancer un principe répressif qui tend à se développer, il est possible de réfléchir à une démarche volontaire dans un cadre incitatif auprès de l’Autorité. Elle s’inscrirait dans un volet coopératif face à ces nouveaux enjeux. Ceci n’a bien sûr de sens que si l’avis formulé par l’Autorité intervient dans des délais compatibles avec les réalités des marchés innovants.
L'anonymisation et la pseudonymisation devraient pleinement trouver leur place dans la loi et permettre une ouverture vers de nouveaux champs d'exploitation de données en grande quantité, dans le cadre d’une approche basée sur les risques contribuant à une protection effective des données. Le recours à de tels mécanismes doit être assorti de garanties aux autorités mais aussi permettre d’alléger les contraintes, notamment administratives, qui portent sur ces traitements. Le rapport du Parlement européen sur la proposition de règlement va d’ailleurs dans ce sens en incluant le concept de pseudonymisation dans le règlement et en allégeant certaines obligations à la charge du responsable de traitement.
Enfin, les réflexions pourraient porter sur un distinguo à mener entre deux situations. Lorsque l’on brasse selon des technologies Big data des données (non exclusivement) à caractère personnel, le caractère légitime d’une telle exploitation pourrait être reconnu compte tenu des intérêts économiques et sociétaux que cela peut servir. En revanche, dès lors que l’exploitation de ce « brassage » a une vocation « personnelle » pour des finalités pouvant impacter les droits et libertés soit d’individus en tant que tels ou rattachables à un groupe suffisamment précis, ou lorsque le degré de sensibilité des données est trop important, la réglementation et la protection des données prennent tout leur sens. Le passage du Big data au Nano data est clé pour la protection de demain.

Simplifier en supprimant par anticipation des formalités préalables à la mise en œuvre des traitements
Les formalités préalables ne sont pas la voie idoine pour favoriser l’innovation dans le respect de la protection des données personnelles. Nul ne peut nier aujourd’hui que ce mode de régulation n’est plus adapté à la réalité, notamment en raison de l’explosion des traitements. Le nombre de dossiers que doit traiter la CNIL est en croissance exponentielle, ce qui conduit à des délais toujours plus longs pour avoir un retour officiel et formalisé. Cela ne contribue nullement à renforcer la protection des données. Cette situation de fait engendre un blocage des projets dans les entreprises françaises et l’incompréhension des opérationnels sur ce mode opératoire dont l’intérêt protecteur de l’individu n’est pas perçu. En outre, les formulaires recèlent des ambiguïtés sur la position de la CNIL et créent en eux-mêmes de l’insécurité juridique.
La tendance générale (d’inspiration anglo-saxonne) de « l’accountability » pourrait être anticipée dans le texte français afin d’atteindre l’objectif de simplification. La loi pourrait envisager d'indiquer qu'au minimum l'entreprise doit avoir organisé « sa mémoire » des traitements pour lesquels sa responsabilité pourrait être engagée, les modalités pratiques relevant quant à elles de son organisation interne. En outre, en cas de demande de l’Autorité, l’entreprise doit pouvoir y répondre aidée en cela par exemple de sa documentation, de règles contraignantes pour les flux transfrontières (que cela soit côté responsable de traitement ou sous-traitant), de politique de clauses contractuelles reposant par exemple sur les clauses types de la Commission, de l’instauration d’un réseau interne de délégués à la protection des données dans l’entreprise ou le groupe, ou d’une politique d’analyses d’impact adaptée à ses activités. Dans le cas où des modalités d’autorisation subsisteraient, notamment dans le domaine des données sensibles, il conviendrait pour accroître réactivité et sécurité juridique de renverser la règle actuelle selon laquelle l’absence de réponse dans les deux mois vaut refus d’autorisation.
La nécessité d’introduire le concept d’accountability dans la gestion du traitement des données personnelles est d’ailleurs confirmée au niveau européen. Dans sa proposition de règlement sur la protection des données personnelles, la documentation des processus de traitement destinée à alimenter les contrôles a posteriori de l’autorité de contrôle est la règle par défaut. Seuls les traitements présentant un haut niveau de risques seraient désormais soumis à une autorisation préalable de l’autorité de contrôle. Un tel système impose cependant de trouver un juste équilibre afin que l’ « accountability » ne représente une charge excessives pour les responsables de traitement et leurs sous-traitants, ce qui n’est pas le cas de la proposition de règlement en cours. Les formalités administratives imposées sont extrêmement détaillées et s’imposent tant au responsable de traitement qu’au sous-traitant, est de nature à considérablement d’accroitre la lourdeur administrative qui pèse sur les entreprises sans pour autant conduire à une meilleure protection des données dans les faits. Orange plaide pour une application raisonnable de ces mesures dont certaines d’entre elles ne devraient être réservées qu’au traitement des données les plus sensibles.

Sanctions applicables dans le cadre de la notification d’une violation de données à caractère personnel par les fournisseurs de services de communications électroniques (seuls acteurs économiques soumis actuellement à cette obligation): interdiction d’utiliser les faits révélés dans le cadre de la notification à des fins de sanction
Les textes européens et français prévoient que le défaut de notification d’une violation de données à caractère personnel par les opérateurs de communications électroniques est susceptible de faire l’objet d’une sanction administrative de la part des autorités compétentes, sans préjudice de sanctions pénales en France. Or une violation de données à caractère personnel constitue généralement une violation de l’obligation de sécurité d’un traitement de données à caractère personnel, elle-même passible de sanctions administratives et pénales.
Il apparaît logique dans l’esprit des textes que le fournisseur qui a satisfait à son obligation de notification, a mis en place des moyens de faire cesser le défaut de sécurité en cause et à assurer la pleine transparence aux personnes impactées en vue de leur protection ne puisse être sanctionné du fait des manquements à son obligation de sécurité révélés dans le cadre de la notification. L’impact médiatique certain de ces violations est en soi une sanction pour l’entreprise qui y joue sa réputation et la contraint d’emblée à porter des efforts redoublés sur la protection des données. Or, dans la pratique, on s’achemine vers le prononcé de sanctions administratives publiques non exclusives de poursuites pénales.. Il est donc nécessaire de mentionner clairement dans les textes l’interdiction pour une autorité d’utiliser à l’encontre d’un opérateur les faits dont elle a eu à connaître dans le cadre de la notification afin de le sanctionner (cette interdiction existe déjà dans la loi allemande de protection des données personnelles).
Les opérateurs télécoms ne sont plus les seuls à traiter massivement des données personnelles. Les acteurs de l’internet sont également concernés et peuvent tout autant être l’origine de violations. Dans la droite ligne du principe « même service, même règles » il fait sens d’élargir l’obligation de notification à tous les acteurs auteurs de traitement de données personnelles. C’est d’ailleurs, l’un des objets du projet de règlement qui applique à tous les secteurs le système de notification de violation de données personnelles et qui harmonise les sanctions dans cette hypothèse. De 2% du chiffre d’affaires mondial et annuel dans la version du texte de la Commission, le Parlement a fixé un plafond pouvant aller jusqu’à 5%, un plafond très haut qui fait encourir le risque de sanctions disproportionnées.

Par ailleurs, Orange se positionne sur la mise en capacité (empowerment en anglais) de ses clients sur le contrôle de leurs données, notamment au travers du tableau de bord des données personnelles. Ce tableau concrétise la prise de connaissance de données partagées avec l’opérateur et son contrôle . Ce contrôle peut permettre la modification, la suppression des données, voire la modification de la politique de diffusion ou d’usage.
Enfin, Orange, par sa présence dans les territoires, son implication économique et sociétale dans les pays dans lesquels elle est implantée, est proche des préoccupations de ses clients. En Europe, la protection des données personnelles est une demande récurrente des clients. Cette tendance qu’Orange a détecté depuis quelques années a permis de mettre en place une politique interne en cohérence avec la résolution sur des normes internationales de vie privée adoptée par la 31e conférence mondiale des commissaires à la protection des données personnelles et de la vie privée dite «résolution de Madrid». Cette politique implique de transformer le client en acteur conscient des enjeux – y compris ceux relatifs à sa propre sécurité sur la Toile - et ayant la maîtrise explicite de l’utilisation de ses données, politique qui s’est traduite par la charte de protection des données personnelles publiée en 2013. L’objectif est bien de donner confiance au client en lui assurant une transparence sur la nature des données que nous lui demandons de nous confier.
De même, Orange participe activement au débat avec le législateur et les acteurs du domaine sur l’utilité de certaines mesures de contrôle relatives à la lutte contre la cybercriminalité ou le terrorisme.
L’agressivité croissante de la cyber criminalité organisée impose à Orange d’adopter des standards élevés de protection et d’investir dans les hommes et les outils nécessaires pour détecter et neutraliser les attaques que nous sommes amenés à subir afin de garantir l’intégrité de ses systemes.

Orange  Compte vérifié
#2782, le 16/01/2015 - 19:14

Données, traces et algorithmes

La proposition de loi du 16/12/2014

Le 16 décembre 2014, une proposition de loi a été déposée à l’assemblée nationale pour « renforcer la protection des données à caractère personnel sur internet ». Orange s’interroge quant à cette initiative. En effet, un projet de règlement est actuellement en cours au niveau européen et vise à réformer les règles en matière de protection des données personnelles afin de les adapter aux enjeux de l’internet. Soumis au scrutin du Parlement, ce texte est actuellement au cours d’examen auprès du Conseil de l’Union européenne et n’est donc pas stabilisé. La proposition de loi souhaite imposer un consentement explicite, à l’image de la proposition initiale de règlement européen. Or, le texte européen n’a pas été définitivement adopté et est encore susceptible d’évolution. D’un point de vue chronologique également, Orange s’interroge sur l’opportunité de ce texte au niveau national, étant donné que le règlement européen entrera directement en vigueur dans l’ordre juridique interne des Etats Membres et se substituera donc aux règlementations nationales.

Sncd
#2772, le 16/01/2015 - 18:02

Protection des données personnelles à l’ère du numérique

Convaincu de la nécessité d’un juste équilibre entre la protection des données à caractères personnel des citoyens d’une part et, tant des intérêts légitimes des entreprises que de l’évolution des technologies numériques d’autre part, le Sncd, Syndicat national de la communication directe, de la data à la logistique, est directement concerné par la construction de la stratégie numérique en France et en Europe.

Depuis toujours sensibilisés à la protection des données personnelles à travers les codes de conduite du Sncd[1], les professionnels estiment que les grands principes qui régissaient les traitements de données à caractère personnel bien avant l’ère du numérique doivent plus que jamais s’appliquer, notamment :

  • la transparence quant à l’utilisation des données par une information adaptée,
  • la loyauté par le respect des engagements annoncés,
  • le respect des choix des personnes par l’offre systématique d’un droit d’opposition,
  • le droit à l’oubli.

En effet, si les techniques liées au numérique repoussent sans cesse les frontières de l’utilisation des données, ce socle déontologique reconnu et respecté par les professionnels demeure un prérequis. Ces principes sont actuellement régis par le Directive 95/46 CE et par la loi Informatique et libertés, en cours de révision à travers le projet de Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il n’y a donc pas lieu de légiférer sur ces sujets sur le plan national aujourd’hui, une telle approche serait en effet contraire à la volonté et à la nécessité d’harmonisation européenne.

Mais face à l’accélération des avancées technologiques et à l’éventail de possibles qu’elles engendrent, il est bien entendu nécessaire d’apporter aujourd’hui une réponse spécifique aux nouvelles techniques.

Les professionnels constatent que le temps législatif est difficilement compatible avec le temps technologique. L’apparition d’une nouvelle technologie entraine immédiatement l’apparition d’un nouveau comportement, d’un nouveau type de traitement par les acteurs. Durant le temps nécessaire à sa détection, à sa compréhension, à la rédaction et à l’adoption d’un texte législatif, le comportement se sera solidement installé, sans encadrement et sans protection adaptée des personnes. De plus, la mise en place d’une nouvelle loi poserait alors des difficultés évidentes d’application en remettant en cause a posteriori des modèles économiques installés. Elle pourrait également impacter la valorisation des actifs immatériels que constituent les bases de données pour les entreprises et être ainsi contre-productive par rapport aux intérêts économiques de la nation. Enfin, une loi nationale risquerait d’amplifier les disparités entre les différents états de l’Union.

C’est pourquoi les professionnels proposent en lieu et place de favoriser une autorégulation concertée et contrôlée, impliquant à la fois les prestataires, les annonceurs et les pouvoirs publics au travers d’une charte tripartite, évolutive et didactique. Cette charte serait accompagnée d’exemples factuels, de conseils de mises en œuvre permettant aux entreprises de mieux comprendre comment concrètement appliquer la charte et les bonnes pratiques dans le respect la législation.

Placer tous les acteurs au cœur du système nous semble la meilleure assurance de détecter les nouvelles pratiques dès leur émergence. Impliquer les annonceurs et les prestataires dans la régulation de leurs métiers permettrait naturellement de mieux les sensibiliser sur les impacts liés aux dérives éventuelles de ces pratiques et donc d’assurer leur adhésion à cette charte. Engager l’ensemble des acteurs publics à faire de cette charte un critère discriminant tant dans l’ensemble des dispositifs d’appuis et d’aides aux entreprises que dans les appels d’offres publics permettrait également de mieux sensibiliser l’ensemble des acteurs de la chaîne.

 

[1] Code général de déontologie de la communication directe du Sncd – dernière mise à jour avril 2011

  Code de déontologie de la communication directe électronique du Sncd – mars 2005

  Charte de l’Ufmd sur la publicité ciblée et la protection des internautes – septembre 2010

  Guide de bonnes pratiques de l’Ufmd concernant l’usage des cookies publicitaires – avril 2012

Propositions dans le débat public  Compte vérifié
#169, le 01/10/2014 - 21:58

Le pouvoir trop faible laissé aux utilisateurs sur l’utilisation et le contrôle de leurs données

Dans la majorité des cas, les usagers acceptent les conditions d’utilisation des services numériques sans les lire et renoncent à modifier les paramètres de confidentialité fixés par défaut. Et pour cause, ces conditions sont souvent inintelligibles et la situation ne leur laisse que très peu de marge d’action : adhérer aux conditions posées unilatéralement, ne pas utiliser le service, ou se reporter sur un service concurrent dans les mêmes conditions.

 

Propositions dans le débat public  Compte vérifié
#168, le 01/10/2014 - 21:58

L’opacité sur les pratiques des acteurs, du point de vue d’un utilisateur

Les utilisateurs déversent leurs données dans un grand nombre de systèmes sur lesquels ils n’ont pas de visibilité au-delà du stade de la collecte, ce qui renforce un sentiment de perte de contrôle : où vont mes données ? Par qui seront-elles utilisées ? Comment m’assurer qu’elles ne seront pas utilisées à des fins qui me desservent ?

Propositions dans le débat public  Compte vérifié
#70, le 26/09/2014 - 15:48

Des moyens d’action limités en cas de problème pour les internautes

L’internaute peut se sentir démuni lorsqu’une pratique d’un acteur sur ses données l’atteint personnellement : prix plus élevé, difficulté d’accès au crédit, à un emploi, etc. Cela a fortiori lorsque cet acteur est situé en hors de l’Union européenne. Comment m’assurer que ma demande sera prise en compte ? En fonction de quels critères ? En combien de temps sera-t-elle traitée ? Comment obtenir réparation ? En fin de compte, lorsque l’enjeu est faible, les personnes peuvent être contraintes - de fait - à une forme de résignation.

Adrien Fabre
#495, le 08/10/2014 - 22:24

Construire une architecture distribuée

La France, ou l'UE, pourrait devenir le leader technologique du web 3.0, si elle développait un programme d'investissement cohérent afin d'offrir de manière simple et groupée tous les outils du web de demain.

Pour protéger la sécurité de ses informations personnelles, le mieux est de les conserver soi-même, et de choisir à qui on donne les droits d'accès. Cela peut être fait en ayant un serveur personnel chez soi, mais personne ne veut de ça. Par contre, si on développait une box qui comprend des fonctions de stockage, avec une sécurité exemplaire pour se connecter à la box et partager les données qu'on souhaite, chacun pourrait conserver ses données personnelles loin des serveurs centralisés de telle ou telle entreprise.

Il faudrait donc développer une nouvelle box, associée à un logique permettant d'accéder aux contenus de celle-ci et de gérer les droits d'accès. Développé de concert avec une gestion de l'identité sécurisée (type Web ID + tiers de confiance institutionnel), une interface utilisateur à la fois simple et riche en fonctionnalités (grâce à des plugins notamment), tout ceci en logiciel libre et en respectant les exigences du web sémantique évidemment, nous aurions un nouvel usage d'internet : les recherches seraient améliorées grâce aux classements sémantiques effectués collaborativement, les données sécurisées dans un immense cloud collectif, le système résilient aux attaques par déni de service puisque les informations seraient décentralisées, la possibilité de se connecter aux sites en un seul clic - pas la peine de retaper mille fois ses mail, adresse, etc. (avec la possibilité offerte d'une sécurité totale grâce aux empreinte digitales par exemple).

La raison pour laquelle ce que j'ai décrit n'existe pas est simple : elle suppose le support d'une organisation importante, comme une grande entreprise ou un État. Or les géants du web n'ont pas du tout intérêt à construire un web décentralisé en logiciel libre, puisqu'ils tirent leur richesse de la main-mise sur l'information ; et les États sont trop timorés ou ignorants des enjeux informatiques pour entreprendre une telle aventure. Aussi, je pense que l'UE devrait financer un tel programme.

Ixtapa
#474, le 08/10/2014 - 09:55

Accès par chaque utilisateur à ses données par API

Si chaque utilisateur pouvait accéder à ses données non pas sous forme d'interface ou d'outil d'export (ou pire: en demandant par e-mail), mais au moyen d'une API, cela ouvrirait de nombreuses possibilités:

  • Réel droit d'accès/modification effacement des données personnelles
  • L'utilisateur peut décider de donner accès à ses données à un autre acteur ou service numérique: c'est l'utilisateur qui choisit et cela ne fait plus l'objet d'une négotiation entre les acteurs numériques -> on évite la marchandisation des données personnelles, et de nouveaux acteurs peuvent avoir accès aux plateformes des acteurs établis grâce au consentement de chaque utilisateur.
  • Développement d'outils open-source permettant de gérer les données personnelles sur les services numériques: par exemple, je change de numéro de téléphone, l'outil met à jour tous les services numériques que j'utilise.
Conseil d'Etat  Compte vérifié
#842, le 03/11/2014 - 15:18

Donner à la CNIL et aux autorités de protection des données européennes une mission explicite de promotion des technologies renforçant la maîtrise des personnes sur l'utilisation de leurs données

Le Conseil d'Etat recommande notamment de :
- Lancer au niveau européen une concertation multi-acteurs dans le but de susciter l'émergence des solutions technologiques les plus prometteuses en termes de renforcement de la vie privée
- Promouvoir la diffusion gratuite d'outils de renforcement de la vie privée par les FAI, soit dans un cadre volontaire soit en l'imposant par la loi comme c'est le cas pour les logiciels de contrôle parental
- Dans le cadre de la standardisation des politiques d'utilisation des données personnelles prévue par le projet de règlement européen, susciter le développement de règlement-type définissant des polices d'utilisation
- Développer l'intervention de prestataires "tiers de confiance" afin de garantir que seules les données dont la personne a autorisé la divulgation sont diffusées.
(Cf Proposition n°4 du Rapport annuel du Conseil d'Etat sur le numérique et les droits fondamentaux, 2014)

spectre3brad
#458, le 07/10/2014 - 22:40

Vols et pertes.

J'ai appris il y a peu qu'une personne sait fait voler son Iphone et que la Gendarmerie menait une enquete pour trouver le voleur. L’enquêteur a donc contacté Apple afin de retrouver l'Iphone sachant que les coordonnées des Iphones sont connues de Apple. Oui sauf que Apple a refusé de donner le renseignement à la Gendarmerie.

Ma question posée est donc la suivante: Pourquoi des sociétés étrangères vendent des produits en masse sur notre territoire national en rapatriant un maximum d'argent vers l’étranger avec optimisation fiscale et que en plus nos services de Police/Gendarmerie se voient interdire l'accès aux information dans le cadre d'un vol ! Il faut absolument changer cela en forçant les sociétés à coopérer lorsque elles vendent sur notre territoire ou sinon les interdire de vente jusqu'à ce qu'elle plient. Il est pas normal que les sociétés françaises doivent se plier à tout et que les étrangères non !

FEVeM
#1339, le 21/11/2014 - 15:07

Données, traces et algorithmes-FEVeM-1416579435

Dans le secteur de la veille médias, l’amélioration et le caractère innovant des services de veilles médias du futur passeront par la finesse d’analyse des traces et des données sur Internet.

De très nombreuses institutions et entreprises utilisent des services de veille médias. Rassemblées au sein de la FEVeM, les sociétés de veille médias telles que L’Argus de la Presse ou Kantar Media, fournissent à leurs clients une information utile, triée et contextualisée. C’est sur la base de cette veille que les institutions et entreprises prennent des décisions stratégiques. Elle constitue un outil économique d’intérêt général.

Plus encore que dans tout autre secteur, les prestations de veille médias (panoramas de presse et clipping), d’e-reputation, d’analyses médias (quantitatives, qualitatives, etc…) seront plus innovantes et plus performantes grâce à la collecte et l’analyse des données des internautes. Ces innovations sont toutefois freinées par la complexité des démarches à accomplir pour respecter la loi Informatique et Libertés. Il conviendrait de rééquilibrer les intérêts entre la protection des personnes et de leur vie privée et ceux des entreprises qui souhaitent proposer des services utiles et innovants, en distinguant par exemple le degré de protection des données en fonction de leur caractère privé ou professionnel ou de leur caractère public ou « semi-public » ou encore en réduisant les obligations d’information et de recueil du consentement des personnes concernées lorsque les données sont anonymisées ou fournies à des tiers que sous formes agrégées ne permettant pas l’identification directe des personnes.

BDL78
#618, le 18/10/2014 - 17:48

Utiliser ce qui existe déjà !

Il y a un existant en matière de numérique mais souvent sous utilisé ou pas utilisé.

Quelques exemples :

  • Essayez de produire un bulletin de paie électronique (conforme à la loi et aux normes Afnor) pour des dossiers comme : liquidation de retraite, location d'un logement, justificatif pour un prêt bancaire ....ou une facture électronique pour justificatif de domicile (infalsifiable alors que le papier ???).
  • Qui utilise la facture électronique "légale" (doit être signée électroniquement) ? C'est pourtant pratique, économique et écologique !
  • Qui signe électroniquement ses messages, ses couriers ...On pourrait ainsi éviter des usurpations d'identités, du phising et assurer la confidentialité.
  • Qui utilise la lettre recommandée électronique ?
  • Pourquoi pour des documents dématérialisés comme les déclarations d'impôts, les déclarations de TVA ...l'Etat ne respecte t il  pas la loi sur la signature électronique ?
  • Il est possible de signer en ligne un contrat (crédit, assurance ...). ..pourtant c'est souvent doublé par l'envoi de la version papier pour signature. (compliqué, couteux, falsifiable, lent, difficile à conserver).
  • Le vote électronique est maintenant bien encadré par la CNIL. Pourquoi ne pas l'utiser plus souvent ?
    Et pourquoi c'est montagnes de papiers reçus dans vos boites à lettres lors des campagnes électorale ?
  • Pourquoi le médecin ne délivre t il pas des ordonances électroniques ? (infalsifiables) ce qui serait une simplification de la chaine de traitement (le médecin imprime ce qu'il a rédigé sur son ordinateur, le pharmacien photocopie ou scanne pour l'envoi à la sécu en cas de tiers payant...).

Il serait bon d'éduquer et d'informer  les utilisateurs dans le sens le plus large (du citoyen à l'entreprise) et imposer l'acceptation des pièces et signature électroniques. Réserver le papier pour des cas trop complexes dans le contexte actuel.

Il faudrait également disposer :

  • d'une identité numérique,
  • de dispositifs de signature électronique.
  • d'une adresse de "domicile électronique" (pour la remise des lettres recommandées, des bulletins de paie, des notifications de huissiers ...).

On doit pouvoir compléter ces exemples avec d'autres cas....mais soyons pragmatiques, utilisons le numérique si c'est utile, économique, d'utilisation facile !

BDL78

Propositions dans le débat public  Compte vérifié
#69, le 26/09/2014 - 15:48

La difficulté d’accès aux informations pour le contrôle des autorités

Il est difficile de déceler les manquements aux obligations : complexité technique, non dits sur les traitements de données réalisés, sur les chaînes d’acteurs impliqués, etc. et les acteurs sont souvent situés dans des pays avec des lois différentes.

Julien Ente
#398, le 06/10/2014 - 18:59

Un format libre et interopérable pour les profils sociaux.

Facebook - et dans une moindre mesure ses divers concurrents - disposent d'un accès très importants à nos données personnelles.
Il est presque illusoire de remplacer Facebook par un autre réseau vu la place qu'il occupe déjà. Il est trop gros pour être remplacé.
On ne peut pas vraiment organiser une possession publique de ce réseau car il faudrait une gouvernance internationale.
La solution serait de rendre les réseaux sociaux interopérables par l'établissement d'un format social libre au niveau européen et d'interdire tout réseau social non-libre sur les réseaux européens. Ainsi un utilisateurs de Facebook pourra aller consulter un profil google+ ou Vkontakte ou n'importe quel nouvel opérateur offrant les conditions de vie privée que l'utilisateur veut se voir garantir.

CNIL
#2649, le 14/01/2015 - 09:15

Propositions de la CNIL sur les évolutions de la loi informatique et libertés

Le Gouvernement avait annoncé, au mois de février 2013, à l’occasion d’un séminaire sur le numérique, son intention de déposer un projet de loi au cours de la législature. La CNIL a alors engagé une réflexion qui l’a conduite, en mars 2014, à présenter plusieurs propositions d’évolution législative au Gouvernement. Plusieurs rapports ont depuis contribué à enrichir le débat, parmi lesquels l’étude annuelle 2014 du Conseil d’Etat sur le numérique et les droits fondamentaux. Dans le cadre de la consultation confiée au Conseil national du numérique, la CNIL verse au débat public les propositions qu’elle avait présentées au Gouvernement. Elle s’est en outre fortement engagée dans la journée contributive du 9 janvier, à Strasbourg. La Présidente de la CNIL, Isabelle Falque-Pierrotin y a notamment rappelé les principes fondamentaux qui doivent structurer les réflexions et actions concrètes en matière de protection des données, tandis que deux agents de la CNIL ont animé des ateliers participatifs.

Ces propositions concernent les quatre principaux acteurs de l’écosystème « informatique et libertés » : la personne, les entreprises, les pouvoirs publics et la CNIL.

Concrètement, cinq axes peuvent se dégager :

  1. Le renforcement de l’effectivité des droits pour les personnes
  2. La simplification des formalités et des règles applicables pour les entreprises
  3. L’amélioration du cadre juridique de certains traitements publics
  4. Le renforcement des relations entre la CNIL et les pouvoirs publics 
  5. L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanction

Les propositions de modifications législatives doivent être combinées avec trois exigences qu’il convient de garder à l’esprit. La première est la discussion actuelle sur le projet de règlement européen ; les modifications éventuelles de la loi informatique et libertés devront naturellement être compatibles avec le règlement à venir dont l’adoption définitive est attendue au cours de l’année 2015. La deuxième tient au cadre juridique actuel, issu de la directive de 1995, que les modifications ne sauraient contredire. La troisième tient à la portée économique croissante de la législation sur les données personnelles, qui conduit à veiller à la cohérence des dispositions envisagées par rapport aux dispositions applicables dans les autres pays de l’Union. En revanche, ces mêmes modifications peuvent être l’occasion de valoriser les bonnes pratiques en la matière, qui constituent, dans l’univers numérique, un élément de compétitivité.

Enfin, la discussion autour d’une réforme du cadre juridique prescrit par loi ordinaire pourrait être utilement complétée par une réflexion sur la constitutionnalisation du droit à la protection des données personnelles.

 

Proposition : L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanction 

 

Face à certaines faiblesses et difficultés constatées, plusieurs modifications pourraient permettre de rendre la politique de contrôle et de sanction de la Commission plus crédible, efficace et rapide, et ainsi plus adaptée à la nouvelle réalité de son activité.

La coopération internationale

  • L’échange d’informations confidentielles entre la Commission et ses homologues non européens : il est proposé que la Commission soit désormais autorisée à échanger des informations confidentielles, diligenter des contrôles ou initier des procédures coercitives dans le cadre de ses actions de coopération avec ses homologues non européens, comme elle peut d’ores et déjà le faire avec ses partenaires des Etats membres de l’Union européenne en vertu de l’article 49 de la loi du 6 janvier 1978. En effet, l’habilitation actuelle est limitée à ces seuls pays, interdisant ainsi une coopération administrative sur des dossiers particuliers avec des autorités tierces, y compris pour les pays reconnus comme offrant une protection adéquate au sens de l’article 25 de la Directive 95/46/CE. Une telle coopération serait subordonnée à des conditions strictes fixées par la loi, et à la conclusion d’une convention bilatérale entre autorités. L’Autorité des marchés financiers, l’autorité de contrôle prudentiel ou l’autorité de la concurrence disposent d’ores et déjà de ce pouvoir de coopération internationale dans des conditions similaires (article L632-7 du CMF ; article L462-9 du Code de commerce, modifié par Ordonnance n°2008-1161 du 13 novembre 2008).

Le renforcement de l’efficacité et de la crédibilité des pouvoirs répressifs

La procédure retenue pour la CNIL, qui distingue les pouvoirs d’instruction (contrôle, mise en demeure, désignation d’un rapporteur pour saisine de la formation restreinte), relevant des pouvoirs propres du président, et les pouvoirs de sanction, relevant de la seule formation restreinte, ont été regardés par le Conseil d’Etat comme conformes aux exigences constitutionnelles par une décision de mars 2012. Cette procédure est d’ailleurs l’une des références dans les réflexions qui ont conduit à l’évolution des procédures devant d’autres autorités. Elle n’a donc pas vocation à évoluer sur un plan procédural.

En revanche, quelques adaptations de fond pourraient être envisagées :

  • La possibilité, lorsque l’urgence et la gravité particulière des faits le justifient, d’ordonner la suspension du traitement le temps de la mise en demeure pourrait être mise à l’étude: actuellement, lorsqu’un traitement est mis en œuvre illégalement ou porte une atteinte grave à la vie privée, seule la formation restreinte peut ordonner la cessation de celui-ci, au terme d’une procédure de mise en demeure puis sanction. Le président de la CNIL peut donc mettre en demeure un responsable de traitement de se mettre en conformité, tout en laissant « vivre » un traitement illégal pendant ce temps. Il est donc proposé d’engager une étude juridique approfondie sur la possibilité pour le bureau, soit d’ordonner la suspension du traitement litigieux jusqu’à ce que la mise en conformité soit effective ou que la formation restreinte se soit prononcée, soit de saisir le juge en référé.
  • Elargir le champ du référé judiciaire : actuellement la CNIL a la possibilité de saisir le juge des référés, mais uniquement pour que soient mises en œuvre, sous astreinte, les « mesures de sécurité » nécessaires. Il est proposé de supprimer les mots « de sécurité » pour que la CNIL puisse, de manière générale, saisir le juge des référés de toute demande tendant, notamment, à l’exécution de ses décisions de sanctions ou à la suspension d’un traitement (cf. § précédent).
  • L’hypothèse de la création d’une action collective en matière de protection des données personnelles est également régulièrement évoquée : la CNIL soutient une telle création. Toutefois, la question se pose de savoir si une telle action spécifique doit être introduite à l’occasion du projet de loi numérique, ou si elle a vocation à constituer une déclinaison d’une action collective qui serait inscrite dans un cadre plus général, appréciation qui relève du Parlement.
  • L’augmentation du montant maximal des sanctions, qui est de 150 000 euros maximum aujourd’hui, a fait l’objet de plusieurs propositions. soutenues par la CNIL.  Le projet de règlement à venir est en ce sens, puisqu’il prévoit une augmentation substantielle du niveau de sanction (5% du chiffre d’affaires mondial dans la limite d’un milliard d’euros dans la version de compromis adoptée par le Parlement européen), mais il n’entrera pas en vigueur, en tout état de cause, avant deux ans. Une modification du montant de sanction est donc envisageable dans cette attente. Un tel montant pourrait utilement être exprimé en valeur absolue et en pourcentage du chiffre d’affaires, ce double plafond étant de nature à couvrir les hypothèses où il n’y a pas de chiffre d’affaires (associations, par exemple) et à garantir, dans les autres cas, la proportionnalité du dispositif par rapport à la capacité financière de l’entité sanctionnée.
  • Il est également proposé d’accélérer le possible déclenchement d’une procédure de sanction pécuniaire : actuellement, lorsque la situation est particulièrement urgente ou que le manquement n’appelle plus de correction, le président de la CNIL peut décider de saisir directement la formation restreinte, sans mise en demeure préalable. Toutefois, cette formation ne peut alors prononcer qu’un avertissement, le cas échéant public, alors même qu’il s’agit souvent de cas graves mais limités dans le temps (comme, par exemple, une faille de sécurité ponctuelle qui n’appelle plus de mise en conformité – donc de mise en demeure – mais qui, pour autant,  a effectivement causé un préjudice). Pourrait donc être introduite la possibilité, pour le président, de désigner directement, sans mise en demeure préalable, un rapporteur aux fins de proposer à la formation restreinte le prononcé d’une sanction pécuniaire, le cas échéant publique, notamment lorsque le manquement constaté n’appelle plus, à la date de décision, de mesure de correction.
  • Coresponsabilité et coresponsable de traitement : actuellement, la reconnaissance d’une éventuelle coresponsabilité, si elle est admise par la directive 95/46, n’a jamais été transposée explicitement en droit interne. Pourtant, elle constituerait une réponse juridique pertinente face à certaines incohérences révélées par l’articulation entre responsables de traitements et sous traitants. La consécration d’un statut de coresponsabilité permettrait ainsi de mieux refléter la réalité de l’implication de différents organismes dans la mise en œuvre d’un traitement « en chaîne ».

Retrouvez les autres propositions de la CNIL :

Proposition : Renforcer l’effectivité des droits pour les personnes

La simplification des formalités et des règles applicables pour les entreprises

L’amélioration du cadre juridique de certains traitements publics

Le renforcement des relations entre la CNIL et les pouvoirs publics 

Groupe La Poste  Compte vérifié
#2411, le 19/12/2014 - 15:50

Données, traces et algorithmes-Groupe La Poste-1419000682

 

  1. Développer les usages autour des solutions de gestion de données personnelles (Personal data manager) et permettre aux citoyens de mieux maitriser leurs données personnelles
  • Proposition : Garantir un droit à la portabilité des données personnelles via l’édiction de normes d’interopérabilité pour les prestataires de services.
  • Proposition : Garantir aux citoyens un droit à la restitution des données personnelles auprès des organisations qui les détiennent.

 

  1. Favoriser l’usage d’une identité numérique pour une confiance plus forte des citoyens dans les échanges et les transactions en ligne. Souvent identifié comme un espace de « mi-droit », Internet a achevé de transposer la vie physique dans l’environnement numérique.
  • Proposition : Fixer un cadre juridique pour la fourniture et l’usage des identités numériques définissant un niveau de sécurité et de confidentialité des données (niveau d’identification et d’authentification). Développer la pédagogie autour de ce concept et encourager les usages en s’assurant de la compatibilité de ces identités numériques avec les télé-services de l’administration.

 

  1. Outiller tous les citoyens et développer la littératie numérique pour tous. Il s’agit d’accompagner les citoyens pour qu’ils puissent saisir les opportunités du numérique et limiter les risques liés à la méconnaissance de ses enjeux. Aujourd’hui des « formations » sont pour la plupart assurées par des organismes associatifs.
  • Proposition : Mettre en œuvre, dans le cadre scolaire, un plan national de conduite du changement sur l’ensemble des usages du numérique et de leurs impacts.

 

  1. Passer de la protection à l’information. Les CGV/CGU sont aujourd’hui difficilement intelligibles. Il s’agit donc de faire émerger un progrès technologique et sociétal en offrant aux utilisateurs la capacité de faire un choix sur ses propres données, en toute connaissance, et envisager une traduction simple des dispositions les plus courantes s’agissant des CGU.
  • Proposition : Proposer des formats pédagogiques pour clarifier l’information des CGU via par exemple des  « Privacy icons » (Pictogrammes, logos, infographies…)
Frank Guisnet
#629, le 19/10/2014 - 09:34

Aspect juridique sur le lieu d'hébergement des données

La réglementation juridique s'applique dans le pays où sont hébergées les données.   Définir un label obligatoire comme dans l'alimentaire précisant le lieu d'hébergement des données lors de l'utilisation d'un service particulièrement pour le Cloud.

spectre3brad
#441, le 07/10/2014 - 13:25

Chiffrement des données personnelles.

Il faudrait obliger par la loi tout les hébergeurs à chiffrer automatiquement les données privées des clients.

Exemple: J'ai des données chez un hébergeur X qui sont automatiquement chiffrées via une clé inconnue de l'hébergeur et quiconque hormis moi-même le client propriétaire de ces données. Le chiffrement/déchiffrement se fait seulement depuis mon poste client pour que tout se qui se trouve sur le serveur et le lien réseau entre le client/serveur soit lui aussi chiffré et donc sécurisé.

Inria  Compte vérifié
#2660, le 14/01/2015 - 16:55

MOOC et souveraineté numérique

Lorsqu’on réalise un enseignement en ligne, typiquement le cas d'un MOOC, le professeur ou l'équipe pédagogique qui le réalise va utiliser une plateforme numérique de mise en ligne lui permettant de publier l'accès à la connaissance et l'entrainement à l'utiliser. Des vidéos, des exercices, des échanges sur des réseaux sociaux, des problèmes plus ou moins complexes vont être publiés à destination des apprenants. Suivre de tels cours va demander à l'apprenant de s'inscrire sur la plateforme qui va ensuite lui permettre d'accéder à ces contenus. Pour mieux aider l'apprenant, l'ensemble de ses actions est enregistré : la vitesse à laquelle il regarde les vidéos, ses essais erreurs dans les quizz proposés, ses manières de se comporter dans les réseaux sociaux, ses heures de connexion, la vitesse de déplacement de la souris, la qualité de ses résultats, etc. Ces informations sont précieuses pour pouvoir adapter au mieux le cours aux besoins, aux connaissances, aux compétences et aux difficultés de chaque apprenant. Suivre une publication MOOC s'accompagne donc de l'acquisition par la plateforme de profils profonds concernant chaque apprenant.

Le choix de la plateforme (eg Coursera, FUN, EdX, etc.) par l'auteur d'un MOOC est souvent déterminé par des sollicitations extérieures ou bien résulte du prestige afférent au site de publication (réputation, facteur d’impact, …).  Ce choix est souvent considéré comme anodin pour les apprenants. Or il les contraint de livrer leur profil profond à l'entité qui maitrise la plateforme.

Ces profils profonds donnent des informations sur les personnes qui sont extrêmement précises et qui peuvent être utilisées à des fins toutes autres que pédagogiques. Par exemple pour du recrutement, mais aussi à des fins commerciales utilisant la connaissance du niveau intellectuel ou de compétence ou de comportement ; les applications sont multiples. Ces profils profonds constituent donc des ressources cruciales qui décrivent non plus de données factuelles (nom, âge, etc.) mais la richesse humaine précise d’une personne, d'une classe, d'une école, d'une université,  d’une entreprise, d'une population, d'une culture ou d'un pays.

Les plateformes d'enseignement en ligne peuvent être de type MOOC ou de type plus ciblé à l'échelle d'une université ou d'une école comme Moodle ou encore des initiatives destinées à la formation continue développée par Pearson, Orange et bien d'autres. Les cours proviennent souvent du milieu académique mais aussi des milieux économiques ou industriels. Dans tous les cas la décision de publier un cours sur tel ou tel média reste la décision du concepteur en particulier dans le droit actuel français. Les apprenants, utilisateurs principaux des plateformes, sont nombreux : FUN a enregistré 400 000 inscriptions depuis janvier 2014, un véritable succès ; Coursera dit avoir plus de 10 millions de ``Courserians'' et EdX au moins 5 millions d'apprenants sur ses MOOCs. Les plateformes destinées à la formation continue sont plus discrètes sur leur performance, mais on parle de plus de 50 millions d'apprenants.

Pallier la perte de souveraineté que représente l’acquisition par des plateformes non maitrisées des profils profonds de millions d’apprenants, nécessite une prise de conscience politique des enjeux sous-jacents et à minima les dispositions suivantes:

 - Donner aux apprenants les informations leur permettant de prendre la décision de livrer ou non leur profil profond en échange de l'accès à des connaissances et des savoir-faire;

  - Statuer précisément en France et en Europe sur la responsabilité des auteurs (ou de leur établissement) relative au choix de leur plateforme d’enseignement en ligne;

  - Permettre aux auteurs du système académique français d’utiliser des plateformes dont l'éthique concernant l’utilisation des profils profonds soit certifiée sous la responsabilité de l’autorité publique ;

Une action plus radicale pourrait conduire à décourager ou interdire l’utilisation de plateformes non maitrisées en formation initiale ou continue.

Inria  Compte vérifié
#2657, le 14/01/2015 - 16:48

Données, Traces et algorithmes

Les internautes et les utilisateurs de mobiles sont tracés et profilés de plus en plus par les sites ou les applications qu’ils utilisent - voir les résultats du projet Mobilitics [Mobilitics]. Même si la plupart des acteurs prétendent que ces données sont anonymes, ce n’est souvent pas le cas car elles sont très souvent identifiantes, car uniques [UniquelyMe].

 De plus en plus d’entreprises ou start-up agrègent les données personnelles pour les revendre (voir http://www.axciom.fr ). Ces données sont utilisées pour personnaliser les services offerts aux Internautes (par exemple les publicités), mais constituent un danger sur la vie privée de plus en plus important.

Les dangers de cette surveillance omniprésente sont multiples : perte de liberté, ciblage, discrimination (par exemple sur l’accès à des postes ou à des services, ou sur leur prix, une assurance pouvant proposer des prix différents en fonction des profils, et potentiellement tout vendeur pourrait adapter le prix d’un bien en fonction du profil des acheteurs, de leur pouvoir d’achat supposé par exemple), voire manipulation (cette surveillance crée une asymétrie de pouvoir qui peut être exploitée à des fins de manipulations/contrôles avec des intentions variées, par exemple commerciales ou politiques).

Il devient donc urgent de se pencher sur ce problème. Il faut, entres autres, développer des systèmes/outils qui instaurent plus de transparence et informent les utilisateurs de l’étendue de cette surveillance. Il est aussi important de développer des systèmes qui « surveillent les surveillants » (comme le projet Mobilitics).

[Mobilitics] Voyage au cœur des smartphones et des applications mobiles avec la CNIL et Inria,  http://www.cnil.fr/linstitution/actualite/article/article/voyage-au-coeur-des-smartphones-et-des-applications-mobiles-avec-la-cnil-et-inria/

[UniquelyMe] Brian Hayes, Uniquely Me !, American Scientist, 2014.

  • Protection par défaut des Internautes.

La loi informatique et liberté repose souvent sur le principe de consentement (un service peut utiliser les données personnelles d’un utilisateur s’il obtient son consentement).

Nous pensons que ce principe n’est pas suffisant pour au moins trois raisons.

  1. Les systèmes  de consentement utilisés sont souvent inadéquats : la plupart des utilisateurs cliquent sans vraiment  lire à quoi ils s’engagent.
  2. Pour prendre une décision éclairée, il faudrait lire l’ensemble des politiques de vie privée des services que l’on utilise. Il a été montré que cette tâche nécessiterait plus d’un mois de travail par an pour un internaute moyen !
  3. La plupart des utilisateurs ne comprennent pas les implications d’accepter une certaine politique de protection des données, et sont souvent prêts à cliquer sur tout pour avoir accès à certains services. Il faut donc développer des solutions qui sont plus protectrices par défaut.

Les internautes commencent à disposer d’outils pour s’informer (Lightbeam, Panopticlick, TaintDroid, Mobilitics, etc.) mais il serait dangereux de faire reposer leur propre protection sur leurs seules épaules.

Il convient d’être très prudent sur les questions de protection de la vie privée et d’information et de responsabilisation de l’utilisateur. Nous pensons que comme pour la sécurité alimentaire, ou celle du médicament, c’est à l’Etat de mettre en place un cadre dans lequel les citoyens peuvent avoir pleinement confiance, même s’il y a toujours place pour le débat et la contradiction, et non aux citoyens de devoir s’informer et opter pour des options pour lesquelles ils n’ont en réalité pas vraiment de choix. En ce qui concerne les données, il faut donc surtout responsabiliser les acteurs industriels (accountability) en bonne partie a posteriori, comme c’est le cas pour la chaine alimentaire.

Il convient sans doute également de se méfier d’un excès de normalisation d’un concept dont le caractère imprécis est peut-être le meilleur rempart pour sa protection. La protection de la vie privée et la surveillance font partie d’une même problématique, celle du rapport entre les citoyens et l’Etat, et au-delà de l’Etat des entreprises privées dont le rôle devient prépondérant. Plus précises seront les normes, plus étroite sera la liberté. Certains des outils mis en œuvre peuvent par ailleurs servir tant la surveillance que l’information des citoyens sur les données personnelles détenues sur eux, comme c’est le cas du droit de regard sur ses données personnelles, utilisable par l’intéressé comme par d’autres acteurs, des lors qu’il est implanté.

  • Les données (personnelles), la confiance et  l'économie.

L’exploitation des traces pour des services globaux non centrés sur l’individu est un enjeu majeur pour le bien commun. C’est la différence entre le profilage individuel que peut réaliser le moteur de recherche, et la recherche d’information comme les tendances, dont le suivi de la grippe est un exemple. Ces services présentent un intérêt stratégique évident pour les sociétés qui contrôlent les flux de données, et qui pourront les valoriser pour des services à valeur ajoutée, pour le bien public, ou encore pour le bénéfice des services d’intelligence. La concentration de ces données sur certains territoires, comme les Etats-Unis ou la Chine, leur absence sur d’autres, comme l’Europe, résultent en une asymétrie, une perte progressive de souveraineté qui ira croissant avec le développement de ces systèmes et leur pénétration progressive au cœur même des services de l’Etat.

L’exploitation (et la monétisation) des données personnelles n’est, par contre, pas recommandée car :

  1.  La valeur individuelle des données personnelles n’est pas très élevée [NDSS’14].  Nous avons montré qu’une publicité ciblée est vendue en moyenne pour $0.0005 (http://www.inrialpes.fr/yourvalue). C'est grâce à la quantité des publicités que certaines entreprises font fortunes (les particuliers ne pourraient pas gagner beaucoup, au mieux quelques dollars par an).
  2.  Discrimination : ce modèle risque de créer un système dans lequel des personnes moins informées ou moins argentées (notamment les jeunes) vendent leurs données personnelles pour quelques dollars.

Sur le plan des principes, si la protection de la vie privée est un droit fondamental, il faut s’opposer à sa marchandisation (même si certains acteurs peuvent en tirer un profit en y apportant une valeur ajoutée).

L’économie numérique nécessite la confiance des internautes, et sans protection de la vie privée cette confiance n’est pas possible.Nous argumentons donc que la protection de la vie privée est une condition nécessaire pour un développement durable de l’économie numérique. Contrairement a ce que certains déclarent, elle n’est pas un frein a l’économie du numérique. Considérer la protection de la vie privée comme un obstacle au développement de l’économie numérique est une vision a court terme [Le Monde2013]. La France et l’Europe ont une longueur d’avance sur la plupart des autres régions du monde en ce domaine : il faut bâtir sur cette compréhension des questions de vie privée pour bâtir des systèmes innovants, les services du futur pour une économie numérique « durable ».

[NDSS2014] Selling off User Privacy at Auction, NDSS 2014, https://hal.archives-ouvertes.fr/file/index/docid/915249/filename/Sellin...

[Le Monde 2013] C. Castelluccia et D. Le Métayer, « Protéger le vie privée n’est pas un frein au numérique. Une merveilleuse occasion d’innover pour notre industrie ». Le Monde, 30 Août 2013.

  • Promouvoir le « Privacy by Design ».

La protection des données personnelles n'est pas un problème simple, qui peut être résolu par une solution unique et standard. C'est notamment ce qui rend l'application de la loi difficile. La protection de la vie privée est souvent un savant équilibre entre protection des données personnelles et les services que l'on souhaite développer.

L’anonymisation des données est souvent proposée comme la solution miracle, car elle permet d’échapper à la loi informatique et liberté. Cependant l’anonymisation parfaite n’existe pas, et les risques de ré-identification existent toujours (plus au moins en fonction des techniques utilisées). L’anonymisation consiste souvent à altérer les données et résulte en un équilibre entre performance et protection. La solution la plus protectrice consiste à remplacer les données par de l’aléa (c’est à dire publier du bruit), ce qui rend les données complètement inutilisables. La solution la plus efficace (en termes de qualité des données), mais la moins protectrice, consiste à publier les données sans les altérer. Le défi de l’anonymisation consiste à trouver, pour une application donnée, la solution qui fournit la meilleure solution tout en préservant une bonne qualité des données.

  • Le danger de la « Dataveillance » et le besoin de transparence:

Il est donc important de développer des techniques d’analyse de risques sur la vie privée (Privacy Impact Assessment), qui ne soient pas juste une simple application des techniques d’analyse de risques en sécurité. Cette analyse de risques doit être le point de départ de choix de conceptions justifiés, selon la démarche du « privacy by design ». Il faut aussi renforcer l’obligation pour ceux qui collectent des données de rendre des comptes (concept d’accountability promu notamment par le projet de règlement européen dur la protection des données personnelles) et fournir les moyens de mettre en œuvre cette obligation.

  • Protection de la vie privée et éducation

Les gens devraient être sensibilisés à la problématique de la protection de la vie privée dès le plus jeune âge (par exemple, à l’école). En particulier, il nous paraît important que les étudiants en Informatique suivent un cursus qui leur expose les lois en vigueur et leur donne des outils pour les respecter/implémenter. Il conviendrait, par exemple, de leur apprendre comment construire des systèmes/applications selon le principe de "privacy by design". La plupart des informaticiens, jeunes et moins jeunes, ne connaissent pas les lois en vigueur et les solutions qui existent. Cette situation n’est pas normale.

  • Derniers mots.

Le respect de la vie privée est un bien très fragile, et les dommages causés par ses violations sont souvent irréversibles. Par ailleurs, en acceptant peu à peu de voir le droit à la vie privée amoindri, rogné par des intérêts variés, on pourrait entrer dans une voie de non retour et préparer un avenir sombre pour les générations futures. Il est donc important de la protéger en amont et de réfléchir à ce problème avant qu’il ne soit trop tard. Nous construisons aujourd’hui le monde de demain, soyons vigilants…

Tru Do-Khac
#2533, le 06/01/2015 - 10:00

Principe : définir une taxinomie de l'identité numérique

Par exemple, l'identité numérique est définie par
- le ticket de caisse (identité de consommateur)
- le CV que l'on dépose sur les réseaux sociaux professionnels ouverts (identité professionnelle)
- les déplacements dans le monde physique (identité d'homme libre)
- les données de santé (identité biologique)
- les articles et blogs signés (identité " [droit] morale")
- les contributions aux consultations démocratiques (identité citoyenne)
-...

Ce qui est pertinent pour un type d'identité numérique peut être inopportun pour un autre type.

fasol
#2331, le 18/12/2014 - 18:20

Réformer une CNIL qui ne fait pas appliquer sa loi

La loi informatique et liberté est complexe et ne permet pas aujourd'hui de faire respecter les principes qui ont conduit à sa rédaction. L'exemple le plus fragrant est celui du démarchage commercial que le monde de l'Internet à fait se développer de façon effrayante, remplissant nos boites de messagerie par de très nombreux courriels non sollicités de prospection commerciale. Même si certains courriels comprennent un lien pour se désabonner, cela n'empêche pas ces démarchages de reprendre de plus belle derrière. Pourtant c'est un des principes fondamentaux prévu à l'article 38 de la loi informatique et liberté qui prévoit que l'opposition au démarchage commercial est un droit . Mais le laxisme de la CNIL a conduit à faire enterrer les conditions qui permettaient l'exercice de ce droit (avec l'obligation d'un "opt in"). A côté de ça la CNIL soutient une réforme européenne encore plus laxiste, avec l'argument que cela permettra de traiter les nouveaux enjeux pour notre société. C'est une institution dont le bien fondé des missions et de la manière de les conduire devraient être remis à plat, pour obtenir une meilleure protection de la vie privée et à moindre coût.

Étudiant TEM
#2200, le 16/12/2014 - 17:16

Contrôle de la collecte des données pour les applications mobiles

Les internautes et les utilisateurs des applications mobiles devraient pouvoir décider de la collecte de leurs données personnelles ou non, ainsi que des mesures de contrôle du respect de ce droit. Des sanctions en cas de non-respect pourraient être mises en place.

Étudiant TEM
#2198, le 16/12/2014 - 17:14

Meilleur contrôle pour l'utilisateur

Il serait utile de mettre à disposition du consommateur des outils lui permettant de contrôler réellement l’utilisation qui est faite de ses informations personnelles. Par réellement nous entendons des outils plus imortants que le simple fait d'accepter les fameuses CGU (Conditions Générales d'Utilisation) et d'accepter l'utilisation qui est faite des cookies.

Lucas Thomas Etudiant Telecom Ecole de Management
#2136, le 15/12/2014 - 08:27

Améliorer la protection des consommateurs vis à vis des données de Géo-localisation

Création d'une loi protégeant les données de géo-localisation des consommateurs qui sont souvent utilisés et revendus par les opérateurs de téléphonie afin d'être analysé. La désactivation est dans certain cas impossible ou du moins complexe.

audric.yepndjouo
#2109, le 13/12/2014 - 18:53

Proposition Big Data - Solution pour protéger les données des utilisateurs sur le Net ( Proposition Big Data)

Avec l’avènement de nouvelles technologies, le monde connaît de plus en plus la cybercriminalité et les données sont piratées pour avoir des coordonnées bancaires, des données privées sur les personnes. Et donc les entreprises qui rassemblent des données de personnes devraient être punies si cela va à l’encontre de ce que le consommateur ne veut pas divulguer comme informer. Il faudrait que l’Etat protège mieux les utilisateurs d’internet par rapport à leur information.
Essayer de dévélopper une charte pour protéger au mieux les internautes .

Nanterre_Digital  Compte vérifié
#2107, le 13/12/2014 - 17:25

Sécurité et pérennité des données dans le nuage

Les utilisateurs de services online ne se rendent pas compte des risques qu’ils encourent à mettre leur données dans le cloud. Les données peuvent ne pas rester confidentielles pour cause de conditions générale d’utilisation abusive (dropbox), de risques de piratages ou encore de backdoor gouvernementale.

Nanterre_Digital  Compte vérifié
#2105, le 13/12/2014 - 17:20

Concentration commerciale des services et partage des données

Lorsqu’un utilisateur utillise un service gratuit sur internet, il ne peut pas facilement connaitre les liens automatiques que ce site fait vers d’autres. Ceci empêche de se rendre compte de l’empreinte des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) sur internet. Cette connaissance pourrait aussi aider à lutter contre des monopoles de certaines sociétés.

Geoffroy B
#561, le 13/10/2014 - 14:30

Un service public du cloud

Considérant

- que l'accès à des capacités de stockage en cloud sera désormais absolument fondamental et devrait être garanti pour tous, de manière simple et sécurisée

- mais que l'offre est formée d'un nombre incalculable de compagnies privées (déjà existantes ou non) dont la gestion des données privées est aussi variée que difficile à comprendre pour tous,

une solution serait:

 - de développer un service public de stockage en ligne, fournissant gratuitement et automatiquement un stockage d'au moins quelques Go à tout citoyen français. Les conditions d'utilisations devront être rigoureusement protectrices de la vie privée, et le service devra être d'une fiabilité optimale concernant la sécurité des données.

- à défaut, un label pourrait être créé par le Secrétariat d'Etat au Numérique ou par le CNN pour valoriser les services existants les plus rigoureux d'un point de vue de protection de la vie privée, de sécurité des données, et fournissant une offre gratuite au moins pour les premiers Go.

Ixtapa
#466, le 08/10/2014 - 08:39

Chaque acteur donne aux utilisateurs une API d'accès et de modification à leurs données et algorithmes

En tant qu'utilisateur d'un service numérique, je souhaite pouvoir accéder et modifier mes données en temps réel, et ne pas dépendre d'une demande par e-mail, d'une interface partielle, ou ne bénéficier que d'un outil d'export.

Je propose que chaque service numérique soit obligé de mettre à disposition des utilisateurs une API qui leur permet d'accéder et de modifier (voire effacer) toutes leurs données.

  • Accès, modification, ou effacement des données "input" fournies par l'utilisateurs, volontairement (nom, prénom, adresse, date de naissance, messages, photos, etc) ou inconsciemment (logs, cookies, adresse IP, "views")
  • Effacement des données "calculées" -> qui résultent d'algorithmes utilisant les données "input": profiling, tracking, etc

Ceci évitera tout délai dans les demandes d'accès/modification des données. Ceci mettra les utilisateurs à parité avec les autres acteurs, en leur donnant un pouvoir d'accès/modification en temps réel.

Ceci permettra aussi de développer des outils open source qui proposeront des interfaces claires d'accès, modification, effacement des données.

 

Propositions dans le débat public  Compte vérifié
#67, le 26/09/2014 - 15:46

Le besoin d’une appropriation collective des enjeux des algorithmes

La loi française a appréhendé dès 1978 les enjeux du développement du numérique et posé des principes pour protéger les libertés des personnes. Elle pose par exemple des garde fous aux pratiques de profilage des personnes, à la prise de décision automatisée, etc. Ces principes trouvent toujours à s’appliquer, mais certaines questions se posent avec plus d’acuité, avec la généralisation des technologies numériques : un algorithme peut-il tout faire ? Faut-il les contrôler ? Qui le peut ? Comment organiser la prise de décision sur un mode démocratique, avec et malgré la technicité du numérique, sans que sa compréhension et sa maîtrise ne soient réservée aux spécialistes ? Les informations, statistiques, connaissances engrangées à partir des données doivent-elles être considérées comme appartenant au patrimoine commun, à la mémoire collective ?

 

Reporters sans frontières
#2766, le 16/01/2015 - 17:27

Concernant les algorithmes et le droit à l’information

Dans le cadre de son mandat, Reporters sans frontières (RSF) apporte son expertise et formule des recommandations à l’occasion de la concertation nationale sur le numérique menée par le Conseil national du numérique (CNNum). L’organisation présente dans ses contributions les principaux enjeux liés au respect et  à la garantie de la liberté d’information, notamment la protection des sources et des lanceurs d’alerte, la surveillance des communications, la limitation de l’accès à l’information par la consécration d’un droit à l’oubli et le développement d'algorithmes non démocratiques. Concernant les algorithmes et le droit à l’information

 

Un algorithme est un ensemble de règles opératoires dont l'application permet de résoudre un problème énoncé au moyen d'un nombre fini d'opérations. Un algorithme peut être traduit, grâce à un langage de programmation, en un programme exécutable par un ordinateur. Concrètement, il s’agit donc d’une transformation d’une valeur de départ en un résultat final. Dans le cas d’une recherche Google, la variable de départ est composée de plusieurs éléments : les mots clé, la péiode, la langue etc. et le résultat final d’une liste de liens, ou résultats.

 

L’algorithme est le portail qui ouvre sur le web, la première interface qui donne accès à des possibilités d’expression et de recueil d’information inégalées dans l’histoire. En ce sens, le web est un hyper mass media doué d’un pluralisme interne quasi infini, et le moteur de recherche (qu’il soit Google, Bing, Twitter, Facebook etc.) permet d’y accéder. Se pose alors la question de savoir quelles règles doivent respecter ces moteurs, garants de l’accès des individus à ces ressources.

 

On cite souvent l’exemple de Google.cn, qui n’affiche pas, lors d’une recherche “Tiananmen massacre”, les fameux clichés de Tank man. Plus près de chez nous, on imagine assez mal qu’un kiosque à journaux hiérarchise les titres de presse qu’ils vend sur des critères tenus secrets, jusqu’à en faire disparaître certains, et qu’il s’adapte à son client en en supprimant un certain nombre pour faire place à d’autres en fonction des préférences de ce dernier. C’est exactement le mode de fonctionnement des algorithmes des moteurs de recherches les moins vertueux. Ces exemples exposent bien le problème : il n’est pas acceptable que des algorithmes puissent réduire l’étendue, la complexité et les contradictions des retranscriptions d’une même réalité factuelle sans en avertir leurs usagers.  


RSF considère qu’il n’y a pas de réel accès  à l’information sur Internet sans algorithme “démocratique”.  Un “algorithme démocratique” possède quatre caractéristiques majeures :

  1. un algorithme démocratique restitue un résultat équilibré, pluriel, contradictoire, de façon neutre et sans parti pris, dont la nature est rendue, par la variété des contenus proposés, à la fois conformiste et subversive­­­­­­­­­­­ ;

  2. un algorithme démocratique ne privilégie aucune source a priori ;

  3. un algorithme démocratique est transparent sur la hiérarchisation de ses résultats ;

  4. un algorithme démocratique restitue à tous le même résultat.

 

Recommandations :

 

  • Favoriser la transparence et l’information des internautes concernant le fonctionnement des algorithmes des moteurs de recherche en affichant par exemple une mention “ce référencement est issu d’un algorithme reflétant les choix de l’éditeur de ce service”

  • Encourager l’émergence et l’utilisation par les services de moteurs de recherche et réseaux sociaux d’algorithmes démocratiques

Reporters sans frontières
#2764, le 16/01/2015 - 17:19

Concernant la censure et la privatisation de la censure : le droit à l'oubli

Dans le cadre de son mandat, Reporters sans frontières (RSF) apporte son expertise et formule des recommandations à l’occasion de la concertation nationale sur le numérique menée par le Conseil national du numérique (CNNum). L’organisation présente dans ses contributions les principaux enjeux liés au respect et  à la garantie de la liberté d’information, notamment la protection des sources et des lanceurs d’alerte, la surveillance des communications, la limitation de l’accès à l’information par la consécration d’un droit à l’oubli et le développement d'algorithmes non démocratiques.

 

Concernant la censure et la privatisation de la censure : le droit à l'oubli :

Les moteurs de recherche et autres intermédiaires permettent l’exercice de la liberté d’expression au sens de l’article 19 du Pacte international des droits civils et politiques et de l’article 10 de la Convention européenne de protection des droits de l’homme. Le Comité des ministres du Conseil de l’Europe les a d’ailleurs qualifié de “facilitateurs d’accès à l’information”. Cette fonction doit être protégée.

 

Les règles qui doivent s’appliquer aux demandes de déréférencement ne peuvent résulter de l’application pure et simple des règles relatives au traitement des données personnelles. Les moteurs de recherche ne doivent pas pouvoir être qualifiés de “responsables de traitement”. Ils doivent au contraire pouvoir bénéficier de l’exception journalistique.

 

Pourtant, le 13 mai 2014, la Cour de justice de l’Union européenne (CJUE) a tranché dans un sens contraire dans sa décision Google Spain. Par sa décision, la CJUE impose aux moteurs de recherches (tels que Google) de prendre en charge les demandes de déréférencement formulées par les internautes. Ainsi, la Cour confie de fait à un acteur privé une tâche revenant normalement à un juge judiciaire, seul compétent pour garantir les libertés individuelles.

 

Cette décision accentue la privatisation rampante de l’application de la régulation d’Internet, d’autant que l’arrêt se fonde sur des principes vagues et généraux qui n’apportent aucune garantie pour la liberté d’expression.

 

Les dispositions relatives à la protection des données personnelles ne sauraient limiter la liberté d’expression. Elles doivent demeurer inapplicables pour l’ensemble des contenus éditoriaux et toute information d’intérêt public, en vertu de l’exception journalistique.

 

Le contrôle des contenus par des acteurs privés ou des autorités de protection des données personnelles doit être écarté car ceux ci n’ont ni la légitimité ni la compétence pour déterminer l’équilibre entre protection de la vie privée et liberté d’expression.

 

Si un contenu déplaît à un internaute, le principe classique d’action auprès de l’éditeur du contenu doit s’appliquer pour lui demander de retirer ou de corriger les informations qu’il a diffusé sur Internet et qui ont par la suite été indexées par le moteur de recherche.

 

Google a mis en place un comité consultatif qui travaille actuellement à déterminer des règles plus précises permettant aux moteurs de recherche de répondre aux demandes de déréférencement qui lui sont adressées. Dans le même temps, les autorités nationales de protection des données ont publié une liste de critères généraux à prendre en compte dans l'acceptation ou le refus d'une demande de droit à l'oubli. La réponse doit néanmoins venir des législateurs européens et nationaux. C’est à eux qu’incombe la responsabilité de mettre en place un cadre juridique clair, prenant pleinement en compte la liberté d’expression, et dont la mise en oeuvre devrait relever de l’autorité judiciaire.

 

Reporters sans frontières et La Quadrature du Net ont présenté dans un argumentaire leurs recommandations en matière de droit à l’oubli, fondées sur trois axes à savoir l’application abusive du droit des données personnelles aux contenus éditoriaux, le rôle des moteurs de recherche dans l’accès à l’information, et les droits de la défense et les procédures adéquates.

 

Recommandations :

  • Appliquer le droit commun de la presse pour arbitrer entre le droit à la vie privée et la liberté d’expression. Lorsque les données personnelles concernent un contenu d’information, la directive et les dispositions relatives à la protection des données doivent être écartées. “L’exception journalistique” doit être élargie à l’ensemble des contenus éditoriaux et informations d’intérêt public. Cette notion est définie de manière trop restrictive dans la directive actuelle.

  • Limiter le champ d’application du droit à l’oubli aux données personnelles mises en ligne par la personne elle-même.

  • Consacrer le rôle des moteurs de recherche dans la collecte d’information et leur contribution essentielle à l’exercice de la liberté d’expression et du droit à l’information dès lors qu’ils fournissent des liens vers des contenus éditoriaux et des informations d’intérêt public.

  • Agir à la source en exigeant du responsable du traitement de données personnelles de retirer ou de corriger les informations qu’il diffuse sur Internet et qui ont par la suite été indexées par le moteur de recherche.

  • Garantir la compétence exclusive du juge judiciaire (garant des libertés individuelles) pour concilier la liberté d’expression et le respect de la vie privée.

  • Réfléchir à la création d’une instance de médiation multipartite, permettant aux parties au litige (d’une part, le plaignant qui dénonce d’une atteinte à sa vie privée, et d’autre part l’éditeur du contenu litigieux) de parvenir à un règlement à l’amiable. Afin de permettre a minima le respect d’un principe contradictoire ainsi qu’un recours à un conseil juridique.

  • Rappeler que le déréférencement de liens dans les moteurs de recherche constitue l’une des multiples mesures possibles pour concilier la liberté d’expression et le droit à la vie privée. Selon les cas, l’actualisation, le retrait, l’anonymisation, la pseudonymisation à la source du contenu litigieux peuvent s’avérer plus adaptés.

ADIJ - Atelier Protection des Données Personnelles
#2678, le 14/01/2015 - 20:23

La distinction données personnelles et données anonymes est-elle encore pertinente ?

La distinction entre données à caractère personnel et données anonymes, est au cœur des enjeux de la révision du cadre européen de protection des données à caractère personnel. En effet, lorsque les données sont rendues définitivement anonymes, la législation « Informatique et libertés » ne s’applique pas.Or le développement des capacités de ré-identification, par exemple en raison du nombre de traces laissées par l'usage d'Internet, des outils connectés ou des capacités d'association générées par la disponibilité accrue des données, montre la quasi-impossibilité de rendre les données à caractère personnel définitivement anonymes.  Par ailleurs, les nouvelles formes d’identité (comme les profils numériques) ne nécessitant pas l’identification des personnes, mais simplement  la possibilité de distinguer un individu au sein d'un groupe (le singulariser) ou prédire son comportement et donc le traiter différemment sans chercher à aucun moment à l’identifier. ·        

Quid des limites de l’application de la législation « informatique et libertés » ?·       

 Ne faut-il pas dans ces cas plutôt que de chercher à tout prix à qualifier les données traitées de données à caractère personnel prévoir l’application de certains des principes de la législation « Informatique et libertés », comme le droit d’opposition, quelle que soit la nature des données ?

Faut-il revoir la définition de données personnelles pour viser explicitement les  « données susceptibles de permettre l’identification ultérieure, directe ou indirecte, des personnes par un/une méthode/outils d'association/interconnexion/recoupement » ?

ICOMP - Initiative for a Competitive Online Marketplace  Compte vérifié
#2463, le 24/12/2014 - 12:55

Quel équilibre entre la protection des informations personnelles des usagers, la liberté d’expression et le droit d’intérêt général de l’accès à l’information ?

Nombre d’activités en ligne passent par la collecte et le traitement de données, et les entreprises présentes sur Internet – en particulier les plus visibles – doivent agir de manière responsable à l’égard des quantités considérables de données qu’elles peuvent obtenir. Plus une entreprise est puissante sur un marché, plus importants sont sa capacité et son intérêt à recueillir et à stocker des informations sur les consommateurs. Or, les entreprises dominantes peuvent utiliser leurs bases de données pour dissuader d’autres entreprises de s’introduire sur un marché, réduisant la concurrence et le choix des consommateurs.

Alors que leur position se renforce sur ces marchés et que la concurrence ne cesse de décroître, ces entreprises ont pu réduire les incitations à une concurrence loyale sur la confidentialité offerte aux usagers, tout en augmentant leur capacité à s’appuyer sur cette profusion croissante de données pour gagner l’accès à de nouveaux marchés – permettant ainsi d’étoffer encore plus leurs bases de données. Ces entreprises ont également pu réduire les incitations à une transparence totale sur leurs pratiques vis-à-vis des usagers. Or, les services et produits se trouvant regroupés au sein d’une même entreprise dominante, les consommateurs sont susceptibles d’être de plus en plus empêtrés dans des écosystèmes qui rendent difficile le passage à d’autres fournisseurs viables, en conséquence de leur désaccord avec les pratiques de cette entreprise dominante.

 

Nanterre_Digital  Compte vérifié
#2106, le 13/12/2014 - 16:51

Un nécessaire "service public de la connaissance" ?

Aboutir à un contrôle éthique de la collecte des données par les Etats et les entreprises ne suffit pas, il faut aussi permettre aux organisations, collectivités, entreprises d'accèder de se doter d'outils d'analyse des données qu'elles produisent. En effet celles-ci ne doivent pas être privées des "gisement" de données de plus en plus nombreux, non pas forcément dans logique d'inégalité concurentielle des entreprises françaises mais de réflexivité et d'accompagnement des politiques publiques pour les collectivités.  

Contributions Journée de lancement  Compte vérifié
#555, le 13/10/2014 - 14:38

Centralisation des données

Aujourd’hui les données privées sont concentrées aux mains de quelques acteurs privés (Facebook, Google…) non européens. Comment reprendre possession de nos données ? Ou les monétiser ou avoir un bénéfice direct de leur partage

Contributions Journée de lancement  Compte vérifié
#554, le 13/10/2014 - 14:38

Loyauté dans l’utilisation des données personnelles

L’utilisation des données est un accord tacite gagnant-gagnant pour les usagers et les plateformes… jusqu’à ce que ça devienne une ingérence dans la vie privée. Comment garantir l’équilibre ?

Propositions dans le débat public  Compte vérifié
#68, le 26/09/2014 - 15:47

Le manque de services nous permettant d’exploiter nous-mêmes ces données au quotidien

Des masse de données sont agrégées continuellement sur chacun de nous. Nous pourrions nous-mêmes les exploiter utilement au quotidien. Les innovations sortent à présent du seul environnement web et changent notre environnement physique immédiat : digitalisation des objets, des voitures, des réseaux domestiques, des infrastructures publiques. Mais nous n’avons, en majorité, ni les outils ni les capacités d’usage pour maîtriser et nous approprier ces outils. Comment partager avec les internautes les opportunités des données, sans exiger de leur part une expertise technique irréaliste ?

IAB France  Compte vérifié
#2757, le 16/01/2015 - 15:33

Proposition de l'IAB France sur la protection des données personnelles

La protection des données est une préoccupation constante pour l’IAB France qui n’a  pas attendu les initiatives du législateur pour agir :

  • La plateforme YOC « Your Online Choices » http://www.youronlinechoices.com/fr. Elle permet aux internautes d’avoir une information complète et transparente sur l’usage qui est fait de leurs données et de contrôler par eux même le paramétrage de leurs cookies. Le succès de cette approche pédagogique est réel puisque seule une minorité d’internautes décide d’en bloquer l’accès après avoir été préalablement informé : 6,82% en septembre 2013.
  • Les éléments de langage sur la protection des données sont largement diffusés par le réseau des IAB en Europe
  • Le Guide des bonnes pratiques du 10 avril 2012 de l’Union française du Marketing direct (UFMD) dont l’IAB France et le SRI sont cosignataires impose un usage des cookies ciblé et respectueux des intérêts des internautes

L’IAB France estime qu’une solution respectueuse des intérêts des internautes qui préserve le potentiel de croissance de l’économie numérique, serait idéalement trouvée au niveau européen plutôt qu’au niveau national.

Ainsi, l’IAB France souhaite sensibiliser les autorités françaises à la nécessité d’une  approche  commune avec leurs homologues, seule à même de préserver la compétitivité du secteur digital européen et donc celui de la France.

Par ailleurs, l’IAB France estime que la recherche d’une solution au niveau européen est la seule qui pourra supprimer les disparités législatives entre les Etats européens et  garantir ainsi la visibilité et la stabilité normative nécessaire à l’épanouissement de l’économie numérique. Par conséquent l’IAB France estime qu’un règlement européen serait l’instrument adéquat à cet effet.

L’IAB France est à la disposition des autorités publiques pour parvenir à concilier avec pragmatisme les deux préoccupations que sont  la préservation d’une filière d’avenir et la protection des internautes

 

IGN  Compte vérifié
#2699, le 15/01/2015 - 15:53

Produire et (ré)utiliser des données pivots libres, neutres et encadrées juridiquement.

Face au développement des technologies de l’information, les données géographiques sont devenues une infrastructure de base indispensable. En effet, l’essor des terminaux mobiles de communication conduit à géolocaliser énormément d’informations véhiculées par internet. Les applications qui se développent à partir de ces informations ont pour point commun de nécessiter l’appui de référentiels géographiques partagés pour mettre les diverses données en cohérence et les rapprocher, ainsi que pour les contextualiser. Les référentiels géographiques jouent ainsi un rôle pivot et constituent un point de passage obligé pour le traitement des informations.

La volonté de se positionner au cœur des flux d’information a conduit les majors du numérique tels que Google, Apple ou Microsoft/Bing à investir lourdement dans la constitution de socles cartographiques visant à amener le consommateur dans un territoire numérique maîtrisé. De nombreux risques émergent de cette situation, en termes d’inhomogénéité de couverture du territoire en données pivot indispensables (selon l’attrait commercial des régions), de manque d’objectivité dans la représentation des territoires[1] pouvant influer sur les usages, et d’orientation des services proposés à partir du point d’entrée que constituent les données géographiques.

En parallèle, l’Institut national de l’information géographique et forestière (IGN) entretient des référentiels géographiques tels que le RGE[2], faisant autorité, afin de servir de support, au niveau national ou des territoires, à la définition, la mise en œuvre ou l’évaluation des politiques publiques. Des données pivots essentielles pourraient être extraites ou constituées à partir de ces référentiels.

Le 14 novembre, l’IGN s’est ainsi associé à La Poste, la Direction générale des finances publiques (DGFIP), la mission Etalab et l’association OpenStreetMap pour la création d’une Base adresses nationale ayant pour objectif de centraliser l’ensemble des adresses et de leurs coordonnées sur le territoire, et de les rendre aisément accessibles, soit de façon gratuite sous réserve de repartage de données de même type ou des données dérivées, soit de façon payante pour les usages sans retour.

Pour aller plus loin, l’IGN propose aux parties prenantes de produire et (ré)utiliser un ensemble de données pivots libres, neutres et encadrées légalement :

  • en étendant un usage de données libres mais encadrées juridiquement ;
  • en se concentrant sur les données essentielles (selon une politique de données répondant à des questions d’ordre réglementaire ou stratégique) ;
  • en définissant le droit de la responsabilité des données ;
  • en respectant les principes fondamentaux de l’égalité d’accès, de respect de la vie privée (dans le contenu des données et leurs conditions d’accès) et de véracité de l’information pour l’utilisateur.

[1] Google a par exemple décidé de montrer une Crimée rattachée à la Russie pour les utilisateurs russes de Google Maps, et une Crimée ukrainienne en Ukraine (cf. http://www.numerama.com/magazine/29075-google-maps-rend-la-crimee-russe-en-russie-ukrainienne-en-ukraine.html)

[2] Source : http://professionnels.ign.fr/rge

Tru Do-Khac
#2688, le 15/01/2015 - 10:13

Impossibilité pour l'internaute "moyen" de souscrire de façon éclairée aux conditions générales des services sur Cloud.

"Pour prendre une décision éclairée, il faudrait lire l’ensemble des politiques de vie privée des services que l’on utilise. Il a été montré que cette tâche nécessiterait plus d’un mois de travail par an pour un internaute moyen !"

cf. la proposition de l'INRIA 2657

ADIJ - Atelier Protection des Données Personnelles
#2677, le 14/01/2015 - 20:22

Principe de finalité, Big Data et Open data

Le principe de finalité est mis à mal face à la disponibilité accrue des données et l’accroissement exponentiel des capacités de traitement et de croisement des données. En effet, les capacités de ré-identification des personnes à partir de données anonymes augmentent proportionnellement avec le nombre et la diversité des données auxquelles peuvent avoir accès les responsables de traitement. Le développement de l’exploitation des données de masse, en principe anonymes, pose le risque de ré-identification.

Faut-il prévoir des cas de réutilisation incompatible, ou en tous cas l’obligation d’évaluer le risque de ré identification et selon le résultat réaliser des études d’impacts ?

ADIJ - Atelier Protection des Données Personnelles
#2676, le 14/01/2015 - 20:21

Prévoir des mesures d’assistance des personnes en cas de faille de sécurité

L’obligation de notification des violations de données personnelles (prévue à ce jour pour les opérateurs télécoms / FAI par la loi Informatique et Libertés et ayant vocation à être généralisée à tout responsable de traitement dans le cadre du futur Règlement européen en matière de protection des données personnelles) pourrait être complétée par une obligation pour le responsable de traitement de mettre en œuvre des mesures d’assistance aux personnes concernées par une violation de données personnelles. Cette obligation pourrait notamment recouvrir l’assistance aux personnes concernées à la mise en place de mesures destinées à prévenir ou à remédier aux conséquences préjudiciables de violations de données personnelles. L’introduction d’une telle obligation serait de nature à fournir une réponse concrète aux individus affectés par un évènement ayant conduit à la violation de leurs données personnelles et à renforcer de manière plus générale l’effectivité des droits des individus quant à la protection de leurs données personnelles.

ADIJ - Atelier Protection des Données Personnelles
#2675, le 14/01/2015 - 20:20

Promouvoir la pseudonymisation

Le projet de Règlement européen sur la protection des données distingue les données pseudonymes, sans toutefois en tirer de conséquences en termes de régime juridique. Afin d'inciter les acteurs du numérique à utiliser des données pseudonymes, il pourrait être pertinent de leur appliquer un régime juridique plus favorable que celui applicable aux données à caractère personnel pleinement identifiantes, en allégeant certaines obligations relatives à la sécurité ou bien à l'accès aux données. Promouvoir la pseudonymisation, ce serait aussi rendre les services d'anonymisation accessibles aux citoyens, en sensibilisant le public, en proposant des outils simples, et favorisant un droit à l'utilisation du pseudonyme sur certains services (notamment les réseaux sociaux).

Google - France  Compte vérifié
#2556, le 07/01/2015 - 18:05

Assurer la protection des données des utilisateurs : sécurité, vie privée et contrôle

INTRODUCTION

L’utilisation généralisée des technologies numériques et d’internet produit un volume considérable de données. On estime que 90% des données existantes aujourd’hui ont été créées dans les deux dernières années et selon le cabinet McKinsey, il faut s’attendre à une croissance de 40% des données créées chaque année. Les données proviennent de divers horizons : informations climatiques recueillies à distance par des capteurs situés dans le monde entier ; informations sur la circulation dans les villes provenant des caméras vidéos ; feux de signalisation et signaux des téléphones cellulaires ; informations de positionnement GPS des camions assurant le transport logistique ; contenus ou images affichés sur les réseaux sociaux, et bien plus encore.

Si les données sont de plus en plus présentes dans nos vies, ce n’est pas seulement leur existence qui permet de créer de la valeur.  Avant tout, c’est la capacité de calcul et d’analyse, ainsi que l’expertise qui permet aux entreprises de retirer des informations utiles d’un jeu de données. M. Hal Varian, “Chief Economist” de Google, dit que le métier le plus intéressant de la décennie sera celui de statisticien, car malgré l’abondance de données, il faudra toujours un regard intelligent permettant une différence entre une corrélation et un lien de causalité. L’analyse conjointe de plusieurs jeux de données permet facilement de trouver des liens entre deux tendances parallèles. Par exemple, deux professeurs ont remarqué une baisse de la part de marché du navigateur Internet Explorer concomitante à une baisse du taux d’homicides aux Etats-Unis entre 2006 et 2011. Ceci ne démontre évidemment pas un lien de causalité entre les deux tendances. Une analyse intelligente de données et statistiques est le seul moyen de donner un sens à cette vaste quantité de données qui nous entourent ; la valeur des données reposant sur leur compréhension et non, simplement sur leur collecte.

A l’ère numérique, l’utilisation intelligente et efficace des données permet d’avoir des effets positifs sur la société et sur l’économie,  non pas uniquement dans quelques secteurs bien déterminés mais dans tous les secteurs. Les données sont souvent présentées comme le « nouveau pétrole », et, ce qui est vrai, tout comme le pétrole, les données doivent aussi être extraites, traitées, livrées et utilisées. Mais, pour mieux comprendre le rôle qu’elles jouent dans l’économie aujourd’hui, il serait plus pertinent de les comparer à la lumière du jour qui peut être utilisée par tous pour produire de l’énergie sans empêcher une autre personne d’utiliser cette même lumière. Les données ne sont pas une ressource rare ou limitée. Elles devraient être vues comme la ressource renouvelable la plus précieuse de la nouvelle économie. L’analyse de vastes ensembles d’informations permet des expérimentations de pointe et devient l’un des principaux moteurs d’innovation, de productivité, de croissance et, en défintive, permet de relever les défis sociétaux d’aujourd’hui. Cet impact ne peut être sous-estimé.

 

En ouvrant leurs données publiques aux fins de réutilisation, les administrations nationales et locales permettent l’amélioration du processus d’élaboration des politiques publiques et la diminution du coût des services publics grâce, par exemple, à une meilleure gestion du trafic routier ou à la généralisation des réseaux intelligents. Selon McKinsey, la valeur potentielle des données du secteur public européen pourrait s’élever à 250 milliards d’euros chaque année, une somme plus élevée que le PIB de la Grèce. Par exemple, une loi américaine de 1996 sur la sécurité routière a été élaborée après un nombre record de morts sur la route. La nouvelle loi exige une collecte de données pour « déterminer les causes potentielles des accidents, blessures et morts ». Ces données continuent d’être récoltées et sont disponibles en ligne, permettant leur utilisation par les autorités chargées de la sécurité routière et par le public.

L’utilisation des données est d’ores et déjà répandue dans le monde de la recherche ; celles-ci étant utilisées pour améliorer et accélérer les découvertes scientifiques, notamment dans le domaine de santé. Par exemple, les données ont d’ores et déja servi à réduire les dépenses des services de santé. Aux Etats-Unis, des études estiment que l’utilisation efficace des données pourrait générer plus de 300 milliards de dollars par an d’économies soit une réduction des dépenses du système national de santé de 8%. Au Royaume-Uni, l’analyse des données publiques relatives aux ordonnances prescrites par le NHS (National Health Service) a démontré que les médecins de la NHS prescrivaient plus souvent des médicaments originaux ou princeps plutôt que les génériques, entrainant un surcroit de dépenses inutiles d’un milliard de livres par an.

Certaines entreprises innovantes étudient des données pour améliorer leur efficacité, leur productivité, et la satisfaction de leurs clients et pour développer de nouveaux services et produits. Ainsi, par exemple :

 

  • des entreprises comme Adidas et Nike ou encore des start-ups technologiques comme le Français Withings développent des outils fournissant aux utilisateurs le suivi de leurs activités physiques, leur poids ou leur sommeil ;

  • des constructeurs automobiles tels que Volvo ou Mercedes Benz ont développé des systèmes de collecte de données pour améliorer le service et le maintien de leurs véhicules et pour réagir en temps réel aux comportements des conducteurs ;

  • de nombreuses start-ups collaboratives utilisent des données pour mettre en relation des personnes autour de certains services. Par exemple, les sociétés comme le Français BlaBlaCar ou le britannique Hailo développent des plateformes permettant de mettre en relation chauffeurs et passagers. D’autres sociétés comme AirBnB, HouseTrip ou encore Bedycasa disposent de plates-formes facilitant les locations de logements de brève durée.

Afin d’utiliser au mieux les données et en particulier celles qui seraient nominatives, il est nécessaire de s’assurer que les garanties appropriées sont en place pour la protection des données personnelles.

Le présent document explique comment les données permettent à Google d’améliorer ses services. Les services décrits ci-dessous ont recours à des données personnelles mais surtout, dans leur grande majorité, à des données qui ne sont pas directement liées à un individu. Ce document précise également les principes généraux qui devraient guider l’usage des données dans tous les secteurs économiques : sécurité des données, protection de la vie privée et renforcement du contrôle de l’utilisateur sur ses données.

COMMENT GOOGLE UTILISE LES DONNEES : AMELIORER, INNOVER, PROTEGER

Google utilise de nombreuses informations, que ce soient des données personnelles ou non personnelles, afin de créer, maintenir et améliorer nos produits et assurer la sécurité de nos utilisateurs.

 

Offrir des produits et services

Avec son moteur de recherche, Google permet aux internautes de trouver une information sur presque n’importe quel sujet juste en tapant quelques mots. Au quotidien, nous avons la conviction qu’un plus grand accès à l’information équivaut pour les citoyens à plus de choix, plus de pouvoir, plus d’opportunités économiques et, en définitive, à plus de liberté. Thomas Jefferson disait  que « l’information est la devise des démocraties » ; c’est aussi celle de la créativité, de la culture et de la communication. Plus le nombre d’informations disponibles en ligne est important, plus les citoyens seront incités à venir en ligne invitant alors les éditeurs à produire encore plus de contenus pour eux. Le nombre d’utilisateurs du web est en constante croissance et le web croît de façon exponentielle depuis quinze ans. La recherche a été l’un des catalyseurs de cette croissance en permettant de trouver facilement des contenus.

 

Le parfait moteur de recherche devrait être en mesure de comprendre exactement ce que l’internaute recherche et lui fournir cette information. Aujourd’hui, lorsque vous faites une recherche sur Google pour une personne, une chose ou un endroit, Google tente de comprendre ce que vous recherchez et vous propose un encadré avec diverses informations – un Knowledge Panel. Par exemple, une recherche sur « Sigmund Freud » affichera des faits sur Sigmund Freud issus de sources variées, y compris Wikipédia, et les personnes qui peuvent être apparentées à Freud.

 

Pour comprendre comment Google analyse des données pour fournir des résultats de recherche, prenons l’exemple d’une recherche pour les mots « chanson traditionnelle française ». La première étape est d’analyser la requête afin d’identifier des indices de ce que l’utilisateur souhaite trouver. Ces indices peuvent être, notamment, la langue utilisée, la version de Google utilisée (par exemple, version destinée aux utilisateurs au Royaume Uni ou à ceux en France), la manière dont la recherche a été formulée, l’existence de synonymes pour la recherche faite ou la ressemblance de cette recherche avec d’autres.

 

Google va ensuite décider quel éventail de vidéos, d’images et de liens doit être affiché. Nos algorithmes utilisent plus de deux cents paramètres afin de déterminer le classement le plus pertinent par rapport à la recherche saisie. Ceux-ci comprennent des informations sur les pages web accessibles à tous – tels que la date de la mise à jour d’une page, son contenu, la langue utilisée. Les algorithmes peuvent alors, en se basant sur toutes ces informations, fournir une liste de résultats montrant approximativement la meilleure réponse possible à la question posée.  

 

Les algorithmes n’ont ainsi nul besoin d’avoir accès à de vastes ensembles de données sur les recherches passées pour fournir des résultats de qualité. Il leur suffit d’analyser la question posée et les informations sur le web qui sont accessibles à tous. Pour mieux comprendre que peu de données sont en réalité nécessaires pour fournir une réponse à une recherche, il suffit de se rappeler que, lorsque Google a commencé son activité, il ne possédait que quelques ordinateurs et un algorithme basé sur la « sagesse des foules » appelé PageRank. A l’époque, il y avait plusieurs moteurs de recherche tels qu’AltaVista, Lycos, Inktomi et Yahoo, qui disposaient tous de beaucoup plus d’informations que Google. Mais c’est avec seulement quelques jeux de données - juste suffisants pour initier la processus de recherche et tester si les résultats fournis étaient utiles - que Google a pu dépasser des concurrents plus puissants et détenant plus de données. Dans le métier de la recherche, la recette est bien plus importante que les ingrédients.

 

Depuis le début, nous fournissons gratuitement les résultats de recherche à nos utilisateurs. Il nous a fallu trouver des sources de financement, sans quoi l'ensemble de notre innovation n’aurait pas été viable. C’est principalement la publicité qui nous assure un revenu permettant de supporter le coût lié à la fourniture, à l'entretien et à l'amélioration des services gratuits offerts.

 

Lorsque nous avons débuté, les annonceurs avaient la capacité de positionner leurs publicités sur les pages de résultats sur la base de certains mots clés de recherche comme prêts hypothécaires, vols aériens, restaurants, chaussures, etc. Ces publicités basées sur les recherches faites par les internautes ont toujours été extrêmement utiles pour ces internautes, et ont en même temps permis à toute une nouvelle génération d'entrepreneurs et de PME, qui ne pouvaient pas s’offrir d’espaces publicitaires dans la presse ou à la télévision, de se développer. Ces entreprises peuvent désormais atteindre une audience nationale voire mondiale grâce à Google. Si les services de publicité basés sur la recherche génèrent toujours la part la plus importante de notre chiffre d'affaires, le web évoluant, nous avons dû évoluer avec lui.

 

Aujourd'hui, tout annonceur, qu’il s’agisse d’une petite entreprise ou d’une grande multinationale, peut  afficher des publicités en ligne aussi bien sur le moteur de recherche, via YouTube, au sein de Maps que sur les sites internet ayant recours à notre régie publicitaire. Les données nous aident à mettre en relation des internautes susceptibles d'être intéressés par un produit ou un service avec les annonceurs qui tentent de promouvoir ce produit ou service. Par exemple, imaginez un magasin de musique basé au Royaume-Uni qui se spécialise dans la vente de musique du monde. Cette entreprise peut souhaiter faire apparaître une publicité sur le moteur de recherche à chaque fois que la requête "musique populaire française" est saisie par un utilisateur situé au Royaume-Uni. Il peut aussi souhaiter diffuser des publicités aux utilisateurs qui ont visité son site internet auparavant, tandis qu’ils parcourent le site de leur journal local à la recherche d’articles sur la musique. Mais il peut également souhaiter diffuser sa publicité sur une application mobile musicale. Avec les services publicitaires de Google, toute PME peut atteindre un public susceptible d'être intéressé par ses produits ou services, à un coût relativement faible.

De nouveaux produits et services innovants

L’amélioration de nos produits et services repose sur les données, que ce soit pour perfectionner des fonctionnalités mineures, pour effectuer d'importantes révisions ou pour proposer de nouveaux produits. Les données sur la manière dont nos utilisateurs interagissent avec nos produits peuvent donner lieu à des innovations incrémentales qui offriront un produit ou service existant plus utile et plus pertinent, au bénéfice d’une communauté d'utilisateurs dont les usages changent très vite.

 

Beaucoup de produits et services de Google, notamment le moteur de recherche, fonctionnent dans un écosystème numérique en constante évolution. Lorsque Google a créé son moteur, la plupart des utilisateurs accédaient au Web depuis un ordinateur à leur domicile et, étant donné que nous avons débuté aux États-Unis, la plupart de ces utilisateurs accédait à des informations en langue anglaise.

 

Aujourd'hui, la majorité des requêtes provient d’autres pays, et un nombre croissant d'utilisateurs accède à l'information depuis des appareils mobiles comme les tablettes et les smartphones. Les utilisateurs passent de plus en plus par les réseaux sociaux (comme Twitter, Facebook ou Yelp) pour obtenir de l’information au lieu d'utiliser le moteur de recherche de Google. Compte tenu de cet environnement en constante évolution dans lequel nous sommes, nos services doivent eux-aussi être en perpétuelle évolution.

 

Alors que Google a grandi et que notre base d’utilisateurs s’est internationalisée, nous avons eu besoin d’améliorer le moteur de recherche afin que nos algorithmes puissent intégrer des langues autres que l'anglais, et proposer des résultats pertinents pour les utilisateurs recherchant des informations en français, en allemand, en espagnol, etc. Nous avons pu ouvrir nos services aux langues les plus utilisées lorsque nous avons observé que la Commission européenne, l'une des institutions les plus multilingues au monde, avait mis tous ses documents en ligne. En analysant et comparant ces documents dans chacune des langues dans lesquelles ils étaient disponibles, nous avons été en mesure de développer un système de traduction. Nous avons pris conscience que ces données, accessibles à tous grâce à la philosophie ouverte de partage de données promue par la Commission européenne, pouvaient être utilisées d’une façon totalement inédite. C’est ainsi que nous avons développé notre service Google Traduction.

 

Google a créé de nombreux autres produits innovants, comme par exemple Chrome. Nous les avons inventés en nous efforçant de résoudre, grâce à l’utilisation des données, des problèmes alors non résolus. Tout comme des startups telles que Hailo, BlaBlaCar, Snapchat, Instagram ou Pinterest ont été en mesure de créer des produits innovants et performants sans avoir, à leurs débuts, accès à une grande quantité de données, Google fait de même pour rester pertinent vis-à-vis de ses utilisateurs.

 

Ainsi, par exemple, lorsque nous avons lancé Gmail, la capacité standard de stockage offert par les fournisseurs de services de messagerie concurrents était de 4 Mo. Tandis que de plus en plus d’utilisateurs étaient connectés, et que de plus en plus d’emails étaient envoyés, nous avons anticipé avant les autres qu’il était probable que ces 4 Mo ne soient pas suffisants pour stocker les informations sur les messageries. Nous avons donc décidé de créer un service qui offrait 1000 Mo de stockage, et de l'offrir gratuitement à tous nos utilisateurs. Aujourd'hui, la plupart des fournisseurs de messagerie Web offrent beaucoup d’espace de stockage, et nombreux sont ceux qui offrent encore plus que nous, avec des services payants allant jusqu'à 25 000 Mo pour seulement 20$ par an.

 

En 2008, Google n’offrait pas de navigateur à ses utilisateurs. Environ 75% d’entre eux utilisaient Internet Explorer. Le reste se divisait entre Mozilla Firefox et Safari d’Apple. Les développeurs de Google, comme les développeurs de tous les sites internet, ont analysé des informations sur les navigateurs visitant le site, notamment leur nature et version. Nous avons alors constaté que de nombreux internautes utilisaient des versions anciennes, dans la plupart des cas celles qui avaient été installées lors de l’achat de l’ordinateur, et que les mises à jour de sécurité n’avaient jamais été effectuées. Or, contrairement aux composants informatiques qui ne nécessitent pas d’actualisation du matériel pendant des années, le web est un écosystème en évolution permanente qui suppose, pour les logiciels, des mises à jour régulières.

 

C’est ainsi qu’avec Chrome nous avons pu construire un navigateur reposant sur cette analyse d’informations et qui gère les applications web d’aujourd’hui et de demain de manière beaucoup plus efficace. Nous avons amélioré la vitesse et la réactivité à tous les niveaux, et construit Chrome de telle façon que les mises à jour soient automatiques à chaque lancement et ne nécessitent pas de surveillance proactive. Nous fournissons ainsi aux internautes la dernière version de Chrome. De plus, le navigateur utilise également la technologie SafeBrowsing, détaillée ci-après, afin de protéger les utilisateurs contre les logiciels malveillants et les sites d’hameçonnage. Mozilla Firefox et Safari d’Apple utilisent également la technologie SafeBrowsing.

 

Protéger nos utilisateurs et Google

Les données nous aident à protéger nos clients et nos services contre la fraude et les attaques. Par exemple, concernant nos services de publicité, la fraude aux clics peut coûter de l’argent aux annonceurs et diminuer  leur confiance dans nos services. Le plus grand avantage du modèle pay-per-click est que les annonceurs peuvent mesurer la performance de leur campagne avec une grande précision. Parce que Google offre un retour sur investissement facilement mesurable, protéger les annonceurs contre les clics frauduleux est la seule façon de nous assurer que tous nos annonceurs sont traités équitablement et paient uniquement pour des clics valides.

Les clics frauduleux peuvent être le fait d’éditeurs de site malveillants qui cliquent pour gonfler leurs gains, ou d’outils de cliquage automatisé et de logiciels malveillants. S’ils ne sont pas détectés et bloqués, une fraude aux clics peut impacter l'ensemble du budget publicitaire d'une petite entreprise. Dans la plupart des cas, nous pouvons identifier les clics frauduleux en analysant les clics en temps réel. Nous avons également une équipe qui analyse les impressions, les clics et les conversions sur de plus longues périodes de temps, afin d'identifier tout comportement inhabituel. Dans de très rares cas, lorsqu'un annonceur est affecté par une fraude non détectée, nous menons une enquête qui implique un plus vaste examen de la publicité, pour que nous puissions, le cas échéant, rembourser l'annonceur.

 

Google utilise des approches similaires pour améliorer la sécurité pour le web en général. Pour des comportements frauduleux à grande échelle, certains acteurs utilisent des « réseaux zombies » (botnet). Un botnet est un groupe d'ordinateurs qui ont été infectés par des logiciels malveillants et qui deviennent des robots, des ordinateurs zombies. Des centaines, milliers, voire millions de « bots » peuvent être contrôlés par un seul individu et peuvent être utilisés pour commettre diverses infractions. Entre autres utilisations, ils peuvent exécuter une attaque en déni de service (DDoS) dans laquelle les bots infectés sont programmés pour envoyer des demandes rapides et répétées à un serveur victime afin de le saturer, l'empêchant ainsi de répondre aux demandes des utilisateurs réels.

 

Chez Google, nous sommes en mesure d'utiliser les informations provenant d'adresses IP enregistrées dans nos archives pour identifier les botnets et déterminer la forme des différentes attaques. Conserver ces données nous permet de mieux modéliser les différents types d’attaques. Par exemple, avec un historique d’une semaine, nous pouvons savoir combien de bots sont actifs sur sept jours. Des données supplémentaires collectées dans le temps nous permettront de voir si le botnet est maîtrisé ou s’il se développe. Dans la mesure où les botnets sont dangereux pour le Web dans son ensemble, nous protégeons donc bien plus que nos seuls utilisateurs. Nous pouvons également aider à protéger les internautes qui ont pu involontairement laisser leurs ordinateurs être controlés par un botnet. Même si les adresses IP changent, elles sont toujours liées à un fournisseur d’accès. Nous pouvons savoir à quel fournisseur d’accès une adresse est liée et ainsi demander au fournisseur d’informer son client que sa machine a été infectée.

 

 

En plus des attaques DDoS et des fraudes, les logiciels malveillants et les attaques de phishing peuvent constituer un risque pour les internautes. Nous utilisons également les données pour les protéger contre ces attaques. Par exemple, le piratage d’un compte peut être le résultat d'un email de phishing envoyé sur le compte d'un utilisateur à partir d’un site ressemblant à Gmail. Ces sites sont souvent extrêmement bien déguisés et nos filtres anti-spam ne peuvent pas toujours les repérer. Nous avons tous fait l’expérience d’un spam envoyé par l’adresse mail d’un ami ou une connaissance. Il s’agit d’un piratage de compte et c’est malheureusement un problème récurrent, dû au fait que des personnes communiquent leur mot de passe Gmail à des escrocs qui sont arrivés à les tromper. Conserver certaines données nous aide à identifier les comptes détournés et à remonter la piste jusqu’à l'auteur de l’attaque. Nous pouvons utiliser les adresses IP dans le temps afin d'identifier plusieurs comptes rattachés à la même adresse IP et en déduire qu’il s’agit d’un système de détournement.

 

Enfin, les utilisateurs peuvent tomber par inadvertance sur des programmes malveillants simplement en naviguant sur un site Web qui contient de façon volontaire ou accidentelle de tels programmes. Chaque jour, la technologie Safe Browsing de Google examine des milliards d'URL à la recherche de sites dangereux. Il peut s’agir, par exemple, de sites malveillants qui contiennent du code destiné à forcer l’installation d’enregistreurs de frappe, ou de sites de phishing se faisant passer pour des sites légitimes (comme un site prétendant être celui de votre banque). Les sites malveillants que nous trouvons sont clairement identifiés comme dangereux dans les résultats de recherche de Google. Nous protégeons ainsi chaque jour plus d’un milliard d'utilisateurs contre le phishing et les logiciels malveillants au travers de messages de sécurité s’affichant lors de la navigation. Plus encore, nous contribuons à la protection de tous les utilisateurs d'Internet, et pas seulement de ceux utilisant nos services, en rendant libre d’utilisation notre base de données des sites malveillants, grâce à notre API Safe Browsing. Apple utilise d’ailleurs ces données dans son navigateur Safari, tout comme le navigateur Firefox de Mozilla.

ASSURER LA PROTECTION DES DONNEES DES UTILISATEURS: SECURITE, VIE PRIVEE ET CONTROLELa sécurité : première étape dans la protection de la vie privée

Quelle que soit l'industrie ou la société qui collecte des données sur un utilisateur, la protection de ces données est primordiale. La sécurité est la première étape dans la protection de la vie privée, puisque la vie privée de l'utilisateur est vulnérable si ces données ne sont pas protégées de tierces parties non autorisées. C’est pourquoi Google investit beaucoup dans la sécurité - pour nos comptes d'utilisateurs individuels, pour nos services et pour le web en général.

Nous travaillons inlassablement pour protéger les comptes de nos utilisateurs contre tout accès non autorisé par des pirates, gouvernements ou autres tiers. L'authentification est la clé des protections que nous fournissons aux utilisateurs. Google a été la première société à lancer l’authentification en deux étapes. De plus, avec des produits innovants comme une clé de sécurité, nous mettons à la portée de tout internaute, le même niveau de sécurité que celui des entreprises.

Google travaille depuis plus d'une décennie pour faire en sorte que toutes les pages Internet contenant des données personnelles soient chiffrées. Suite aux brèches de sécurité imputées à certaines agences gouvernementales l'an dernier, nous avons décidé que le trafic sur n’importe laquelle de nos pages internet devrait être chiffré et que l'industrie du web pourrait faire davantage pour mettre en œuvre le chiffrement et protéger la vie privée de l'utilisateur. Ainsi, Google a commencé à ajouter des couches supplémentaires de chiffrement pour nos services et à promouvoir des standards similaires dans le secteur. Ces couches supplémentaires protègent les données des utilisateurs de Google contre leur interception par des tiers non autorisés, qu’il s’agisse de pirates ou de gouvernements. Nous avons également ajouté la présence ou non de chiffrement d’une page Internet comme critère de classement des résultats de recherche.

La viabilité de notre modèle repose sur la confiance des utilisateurs dans nos services et, par extension, dans le web comme un environnement sûr. Nous investissons dans la sécurité au-delà de Google pour améliorer l'ensemble du web. Au-delà de notre travail en matière de chiffrement et de notre outil SafeBrowsing, nous nous consacrons activement à la recherche et au colmatage des failles de sécurité. Nos ingénieurs ont été en première ligne dans la correction des bogues de sécurité dans certains logiciels open source. Par exemple, le bogue Heartbleed, rendu public en avril 2014, a été découvert en partie par un ingénieur de Google. Nous considérons que les investissements parfois aléatoires dans l'évaluation de la vulnérabilité ne suffisent plus et, en juillet 2014, nous avons créé une équipe appelée Project Zero chargée d’identifier les vulnérabilités dans les divers logiciels en dehors de l’environnement de Google. Depuis son lancement, l'équipe a trouvé, en moyenne, plus de trois nouveaux bogues par semaine dans une variété de logiciels et a contribué à procéder à leur réparation.

Respecter la vie privée de l'utilisateur

Le plus important des principes auxquels nous sommes attachés est le respect de la vie privée de nos utilisateurs. Nous ne partageons rien avec des tiers sans l'autorisation de l'utilisateur, sauf lorsqu’un gouvernement formule une demande juridiquement valable ou dans des cas limités pour protéger nos utilisateurs contre des menaces comme la fraude. Cela vaut pour les données stockées en utilisant nos services comme Gmail ou Google+ et pour les données que nous utilisons à des fins publicitaires ou pour améliorer l'expérience produit. Quand nous proposons des annonces ciblées à nos utilisateurs, nous n’utilisons pas de données sensibles telles que celles basées sur la race, la religion, l'orientation sexuelle ou la santé.

Nous partageons avec nos utilisateurs et la communauté web la volonté d’élever les standards en terme de protection de la vie privée. Nous exigeons des annonceurs opérant sur nos plates-formes qu’ils respectent les règles interdisant le ciblage des annonces sur la base des catégories de données sensibles. Nous n’utilisons pas d’identifiants pour diffuser des annonces que les utilisateurs ne peuvent pas contrôler ou qui ne sont pas dotées d’un système d’opt-out. Nous exigeons également que toutes les publicités que nous diffusons comprennent la mention qu’une annonce a été ciblée et qu'elles respectent les chartes d'autorégulation adoptées par l’industrie.

Google a également ouvert la voie à des innovations qui améliorent la vie privée de l'utilisateur. Des outils comme le Google Dashboard, qui permet aux utilisateurs de voir toutes les données qu’ils ont stockées avec Google, ont été parmi les premiers outils du secteur en matière de gestion des données personnelles.

Google exige de tous ses employés, y compris tous nos ingénieurs, qu’ils soient formés sur les enjeux relatifs à la vie privée. Nous avons également recruté des ingénieurs, des analystes et des “program managers” spécialisés dans la mise en œuvre d’outil de contrôle de la vie privée efficaces pour chaque produit et service Google. Ces ingénieurs ont plusieurs responsabilités et notamment celles de conseiller les équipes des développeurs sur la meilleure façon de protéger la vie privée dans les différents produits, de s’assurer de leur conformité avant le lancement, de développer des politiques internes spécifiques, de fournir de la formation continue sur le sujet aux employés de Google, de concevoir des outils de gestion de la vie privée et de développer des outils de gestion des risques.

Tout au long du cycle de vie d’un produit, la vie privée figure en première ligne de notre politique de développement. Dès la phase de conception, les équipes produits doivent consulter nos experts en matière de respect de la vie privée pour régler à l’avance les problèmes potentiels et créer une documentation décrivant la collecte, l'utilisation ou le partage des données qui seront utlisées par les produits.

Ceux-ci peuvent être soumis à des révisions du code informatique par les ingénieurs en charge des questions de respect de vie privée afin de vérifier que le code fonctionne comme prévu et qu’il ne comporte pas de bogues qui mettraient en cause la protection des informations personnelles. Les produits sont réexaminés par ces experts avant leur lancement, puis pendant la phase d'entretien continu du cycle de vie d'un produit. Par exemple, une fois par an, les directeurs produits Google travaillent avec les juristes pour effectuer un examen complet de leurs produits dans le cadre des programmes Safe Harbor Etats-Unis/UE et Etats-Unis/Suisse.

Donner le contrôle aux utilisateurs

Un autre principe important pour les entreprises qui recueillent des données est d’offrir le contrôle de celles-ci à l'utilisateur. Ce principe est au coeur de tout ce que fait Google. Il est naturel que différentes personnes aient des préférences différentes sur la façon dont ils interagissent avec Google. Certaines acceptent volontiers que leur géolocalisation soit partagée, d'autres le refusent, d’autres encore peuvent apprécier un service comme Google Now qui se base sur leur historique pour leur fournir des suggestions pertinentes. Nous voulons que chaque utilisateur sache qu'il peut décider ce qui fonctionne le mieux pour lui en modifiant ses paramètres de compte, les paramètres spécifiques au produit et les paramètres relatifs à la publicité.

 

Les paramètres de gestion de compte comme ceux accessibles dans le Dashboard fournissent aux utilisateurs un aperçu de la façon dont ils utilisent nos services et leur permettent de décider facilement s’ils veulent partager ou non différents types d'information avec Google. Dans le Dashboard, vous pouvez voir les données et les informations sur la façon dont vous avez utilisé les produits de Google. Vous pouvez également accéder à vos paramètres pour ces produits. Vous pouvez contrôler les données de géolocalisation, supprimer votre historique de recherche, etc. Les utilisateurs ont également un contrôle sur les annonces qu'ils voient dans les produits Google et sur le web. Nous avons également créé une fonction "Désactiver cette annonce" disponible sur un grand nombre des annonces illustrées que nous proposons. Couper une annonce la bloque, ainsi que celles qui utilisent la même adresse internet (soit le domaine de site web, soit des pages spécifiques).

 

Mais confier aux utilisateurs le contrôle sur la façon dont leurs données sont utilisées sur nos services n’est qu’une partie de la solution : il est également essentiel que nous leur donnions la possibilité d’exporter leurs données vers un service concurrent. La faculté de choisir entre plusieurs services est cruciale pour le processus concurrentiel qui favorise une innovation plus rapide, des améliorations qualitatives et de meilleurs prix. A titre d’exemple, un utilisateur qui a stocké l'ensemble de ses photos numériques sur un seul site pendant plusieurs années peut être découragé à l’idée de migrer vers un autre service de photos.

 

Google fait tout pour s’assurer que nos utilisateurs et partenaires soient en mesure d’adopter les services d’autrui aussi rapidement qu'ils ont adopté le nôtre. Nous avons fait en sorte qu’il soit désormais facile pour quiconque d’exporter ses données pour changer de services. Google Takeout permet aux utilisateurs d'exporter dans des formats standards et en quelques clics leurs mails, leurs contacts et plus encore. De même, les campagnes publicitaires peuvent être transférées par les annonceurs à des services concurrents. Nos utilisateurs ne sont pas enfermés dans nos produits car nous pensons que tout succès doit être mérité et que laisser à nos utilisateurs la faculté d’utiliser les services d’autrui nous oblige à améliorer constamment nos propres produits. La liberté de choix permet d’assurer que des alternatives concurrentes prospérent.

Permettre aux utilisateurs d’exporter facilement leurs informations d'un service à un autre garantit que les plates-formes en ligne sont équitables. Les utilisateurs peuvent nous quitter rapidement et facilement. Ils peuvent profiter de tous les avantages de la concurrence et du choix. La portabilité permet à de nouvelles plates-formes d’émerger et de concurrencer les acteurs déjà en place. Avec la portabilité, les utilisateurs ont un contrôle ultime sur leurs données et le pouvoir de s’assurer que les plates-formes leur rendent le service souhaité.

CONCLUSION

 

Les informations, qu’elles soient des données personnelles ou non, sont utiles pour l'économie en ligne, tout comme pour les industries plus classiques. Quel que soit le secteur, les données doivent être conservées en toute sécurité, elles doivent être contrôlées par le client et elles doivent être portables. Appliquer de tels critères de base aux services Internet permet aux utilisateurs de profiter de produits et de services innovants et de jouir de la conviction que leurs intérêts sont les premiers à être pris en compte et qu'ils bénéficieront des avantages offerts par le choix et la concurrence.

Tru Do-Khac
#2527, le 05/01/2015 - 10:00

Que recouvre exactement l'identité numérique ?

Il convient alors de définir le contour de l'identité numérique. Par exemple :

Pour un consommateur, l'identité numérique est portée notamment par ses traces d'achats (tickets de caisse,...) et ses traces de déplacement (dans les magasins,...)

Pour un professionnel, l'identité numérique est celle qu'il peut afficher délibérément sur les réseaux sociaux professionnels.

Pour un auteur, l'identité numérique est portée par ses oeuvres de l'esprit.

etc.

Tru Do-Khac
#2524, le 05/01/2015 - 09:17

Trouver les bonnes synergies entre le CSA et la CNIL

Dans les "data", Il y a

- des données porteuses de droit d'auteur (par exemple, une video postée par un particulier pouvant avoir une portée commerciale)

- des données non porteuses de droits d'auteur (par exemple, un "like" de la video)...

 

Louisa Melbouci
#2436, le 19/12/2014 - 18:45

Entreprises, quand la culture de la donnée devient un avantage concurrentiel

La question de la propriété des données personnelles est au coeur de cette édition du Forum d’Avignon.
Il a été souligné précédemment que le contrôle de la donnée personnelle était un enjeu stratégique tant
pour l’individu, dont elle constitue un élément de l’identité numérique, que pour l’entreprise qui ne peut
plus raisonnablement envisager de se développer sans la capter pour l’exploiter et la valoriser.
La question du contrôle des données est cruciale pour l’individu car la quantité de données qui sont
désormais collectées, traitées et stockées sur chaque personne permet d’aller très loin dans sa
connaissance et contribue à un profilage très précis avec la possibilité — en fonction des catégories
de données traitées — de produire des modèles probabilistes pour en apprendre davantage sur ses
croyances religieuses, ses opinions politiques, son mode de vie, son orientation sexuelle, ses goûts
et habitudes et bien d’autres aspects de sa vie personnelle et intime.
La question de la confiance devient encore plus fondamentale pour l’entreprise lorsqu’il est question de bâtir une relation durable avec les clients, afin de répondre à des doutes ou des craintes qui pourraient freiner le développement de ce qui semble être appelé à devenir un levier majeur de création de valeur, tant pour les citoyens que les entreprises.
#1 Le droit ne se prononce pas explicitement sur la question de la propriété des données personnelles mais dessine les fondamentaux d’une éthique des données.
#2 Comment l’éthique des données permet à l’entreprise de disposer d’un avantage concurrentiel ?
#3 Pas d’éthique des données in concreto sans culture de la donnée.
#4 De la culture de la donnée à la gouvernance des données, quels outils et quelles évolutions en Europe ?
#5 La culture de la donnée, c’est aussi le savoir-partager pour éviter l’émergence de monopoles naturels.
Lire le papier EY complet : http://www.forum-avignon.org/fr/publications#3919

CSA  Compte vérifié
#2394, le 19/12/2014 - 15:22

Allier innovation, liberté individuelle et diversité culturelle

Délinéarisation et « Big Data » participent d’un même mouvement : le passage d’une logique d’offre centrée sur les choix de programmation de l’éditeur en charge de l’éditorialisation à une logique de demande fondée sur les préférences du téléspectateur ou de l’auditeur. Cette transformation renouvelle profondément le rôle de l’éditeur de services audiovisuels ainsi que les modalités de la prescription.

S’il offre aux acteurs de l’audiovisuel des perspectives de développement économique particulièrement intéressantes, le « Big Data », et plus largement la recommandation personnalisée qu’il facilite, oblige aussi les autorités publiques de régulation à s’interroger sur leurs missions et leurs moyens d’intervention.

L’enjeu le plus évident réside dans les menaces qui pèsent sur la vie privée. Alors que la diffusion hertzienne (analogique ou numérique) repose sur un principe d’anonymat total[1], les services audiovisuels distribués par Internet recueillent auprès de leurs utilisateurs de nombreuses données personnelles, et les téléviseurs connectés eux-mêmes sont désormais capables de collecter directement ces données. Dans ce contexte, les principes d’anonymisation des données et d’information préalable du consommateur sont susceptibles d’être remis en cause. Si la protection des données personnelles relève principalement de la CNIL, le CSA est chargé par la loi de veiller au respect du secret des choix des téléspectateurs et des auditeurs. L’une des recommandations de la commission de suivi des usages de la télévision connectée créée en 2012 par le CSA concernait d’ailleurs l’élaboration de recommandations générales et de bonnes pratiques permettant d’assurer un contrôle de l’internaute sur l’utilisation des données le concernant. Il s’agit en outre d’un enjeu majeur de l’éducation aux médias.

Mais pour les régulateurs, les défis du « Big Data », et plus largement de la personnalisation des recommandations et de l’opacité qui entoure le fonctionnement de ces mécanismes de recommandations, concernent aussi l’adaptation des dispositifs destinés au développement de la production audiovisuelle française et européenne, à la diversité des programmes et au caractère pluraliste de l’expression des courants de pensée et d’opinion : la personnalisation de l’offre peut avoir pour effet pervers, si elle est poussée à l’excès,  d’enfermer le téléspectateur dans ses propres goûts, au détriment de la curiosité et de la découverte.

Dans son étude « Le numérique et les droits fondamentaux », le Conseil d’Etat, tout en reconnaissant l’utilité des algorithmes qui sous-tendent les dispositifs de recommandation personnalisée, identifie ainsi trois risques à leur usage : une personnalisation excessive et non voulue des données fournies à l’internaute, la confiance abusive dans leur résultat et les problèmes d’équité engendrés par l’exploitation des données personnelles.

En outre, et comme le Conseil l’a souligné auprès de la Commission européenne dans sa réponse au dernier livre vert sur la convergence[2], la personnalisation des contenus et des recommandations est susceptible de mettre en échec l’obligation d’exposition qui constitue l’un des piliers de la réglementation, applicable tant aux services linéaires qu’aux services non linéaires. Dans son récent rapport sur la régulation des SMAD[3], le CSA a ainsi recommandé que lorsque la page d’accueil est personnalisée, l’éditeur intègre dans l’algorithme du moteur de recommandation les critères d’origine et de langue d’expression des œuvres.

Les dispositifs de recommandation personnalisée, qui s’appuient en particulier sur le « Big Data », témoignent de l’innovation qui irrigue l’audiovisuel et contribuent à son développement. Toutefois de nombreux enjeux résident dans le développement de tels mécanismes et imposent une attention particulière pour que d’une part les moteurs de recommandations opèrent de manière transparente et que d’autre part ils ne soient pas les seuls moyens laissés à l’utilisateur pour accéder à des contenus audiovisuels.

 

[1] Article 3 de la loi du 30 septembre 1986 : « Le secret des choix faits par les personnes parmi les services de communications électroniques et parmi les programmes offerts par ceux-ci ne peut être levé sans leur accord »

[2] « Se préparer à un monde audiovisuel totalement convergent : croissance, création et valeurs », avril 2013

[3] Rapport au Gouvernement sur l’application du décret n° 2010-1379 du 12 novembre 2010 relatif aux services de médias audiovisuels à la demande (SMAD), 23 décembre 2013

camille covolo
#2365, le 19/12/2014 - 13:28

Proposition pour la concertation sur les données personnelles

Mettre en place une Charte sur l'utilisation des données personnelles.

Peu d’internautes connaissent réellement les conditions d’utilisation, et encore moins lisent les conditions de ventes lorsqu’ils font un achat sur un site Internet. En effet celles-ci sont trop longues et découragent souvent les acheteurs de les lire. La solution serait donc de réaliser une Charte synthétique pour chaque sites utilisant la collecte de données, afin d’informer les consommateurs.

Camille COVOLO, Telecom école de Management, Evry

Francois Coco
#2132, le 14/12/2014 - 22:23

Legislation sur la recolte de données et formations des consommateurs

- Mise en place une législation sur la collecte de données afin de protéger le consommateur : Création d’une loi obligeant toute entreprise collectant des données en lignes sur l’utilisateur à travers un site / Appli /Autre, à expliquer clairement au consommateur ce qui sera collecté, et dans quel but. "Clairement" signifiant compréhensible par le grand public.

- L’État pourrait proposer des formations gratuites/MOOCS/tutoriels vidéos permettant au grand public de comprendre les enjeux de la collecte des données, ainsi qu’expliquer comment protéger au mieux ses données. Cela s’accompagnerait d’une campagne de communication au sein des médias de masse, afin de faire connaitre au mieux ces formations offertes.

Stéphane KAU
#2093, le 12/12/2014 - 14:42

Augmenter la protection des utilisateurs

Il faut améliorer la transparence et la visibilité des contrats et des conditions générales des services. Les entreprises comme Netflix ou Facebook devraient permettre la simplification de leurs conditions d'utilisation. Un avertissement des utilisateurs pourrait alors leur permettre d'être plus conscient de leurs actes sur les plateformes numérique et d'agir en connaissance de cause.

Alain Bensoussan  Compte vérifié
#1976, le 09/12/2014 - 10:22

Préempter le droit des robots

Il ne s’agit plus d’un sujet prospectif. Des contrats sont déjà rédigés par les industriels. Le Japon a souhaité introduire une charte des droits et obligations autour des robots.. Les voitures autonomes posent dès aujourd’hui de nombreuses questions. Une approche possible pourrait être d’établir un système de responsabilité en cascade, posant la responsabilité de la plateforme d’intelligence artificielle et la non-responsabilité du constructeur, comme c’est la règle aux U.S en matière de voitures autonomes.

Forum d'Avignon  Compte vérifié
#1877, le 04/12/2014 - 15:58

Forum d'Avignon # DDHN - Pour une éthique de la donnée

 

 

Photos de stars piratées sur l’iCloud, paramètres de Facebook qui changent, données personnelles numériques qui font l’objet d’une marchandisation opaque et sans contrôle... « Il n’y a rien de pire que la transparence absolue de la vie privée où chacun devient le big brother de l’autre » disait Jorge Semprum[1]. Big brother, ou plus exactement big data brother, nous examine pourtant de près. Et sous toutes les coutures.

Nos empreintes numériques le valent bien (et cher) !

Un fabriquant informatique qui lance une montre connectée pour capter nos données de santé pour les partager avec des mutuelles, un distributeur qui anticipe nos futurs achats pour réduire leur délais de transport, un assureur qui les scrute via notre carte de crédit pour en déduire d’éventuels  comportements à risque, des réseaux sociaux qui conseillent des restaurants ou des films selon nos goûts, des services de taxi adaptés à notre géolocalisation, ou d’hébergement qui notent leurs clients… : les applications ou les projets pour valoriser nos données personnelles se multiplient ,  pour le meilleur : de l’enrichissement des visites culturelles à l’anticipation de risques sanitaires individuels ou collectifs... et le pire : prédire notre manière de penser, prescrire nos comportements, anticiper nos motivations, notamment d’achat, et circonscrire notre vie privée !

Replacer l’humain au cœur d’une société pilotée par les données

Le divorce –néanmoins empli de paradoxes car le nombre de données ne cesse de croître,  entre les citoyens d’une part, et les entreprises et les Etats qui préemptent leurs données d’autre part, est consommé, les études le montrent[2]. Et les citoyens ne restent pas inactifs. Des parades naissent, des leurres sont mis en place au risque de creuser les inégalités entre ceux qui pourront payer plus  de sécurité, de protection de la vie privée et de la propriété intellectuelle, et les autres. Face à l’urgence, une alliance objective lie désormais la société civile, dont l’exigence de confiance, de sécurité et de protection s’exacerbe,  et les entreprises qui ne peuvent pas envisager la croissance économique sans que la confiance soit restaurée.

[1] Etude indépendante et tripartite, réalisée auprès de consommateurs en France, en Pologne, en Espagne et au Royaume-Uni. Le résumé des résultats (en anglais) téléchargeables: www.orange.com/digitaltrust.

L’Europe montre la voie. La vie privée n’est pas obsolète

C’est la Directive européenne de 1995 qui définit le terme de données à caractère personnel et un champ d’applications plutôt large, car elles « englobent tout ce qui se rapporte à l'identité de la personne, à sa personnalité, à sa vie privée ». Sur cette base, la Cour de justice de l'Union européenne a pu, le 13 mai 2014, imposer le concept de droit à l’oubli aux acteurs. Cette véritable avancée démocratique sur la protection de la vie privée prouve qu’en la matière, le respect des libertés individuelles et de la vie privée reste un concept d’avenir  vis-à-vis de ceux qui cherchent à le passer quotidiennement  par pertes et (aussi) profits. 

L’histoire se répète : après les risques de manipulation génétique, il convient de partager, de manière pratique et symbolique, une éthique pour une société pilotée par les données

 « Avec le développement de la télévision et le perfectionnement qui rendit possibles, sur un même instrument, la réception et la transmission simultanées, ce fut la fin de la vie privée. » Huxley ne s’est pas trompé de prophétie…mais au sujet du média qui allait la valider. Pourquoi pas l’éthique collective ?

Quand la découverte du génome (grâce à l’informatique) aurait pu être privatisée (certains laboratoires revendiquaient un droit d’auteur sur les gênes découverts), les biologistes ont apporté une réponse universelle !  Si les rythmes du politique et du droit ne sont pas ceux de l’innovation technologique, la définition d’un cadre éthique universel permet de s’exonérer de la technologie. Inspirons nous de la gestion du risque de manipulations génétiques.  Il y a plus de 15 ans, l’humanité a su trouver une réponse universelle sur les enjeux du génome pour aboutir à la Déclaration universelle sur le génome humain et les droits de l'homme ratifiée par l’Unesco du 11 novembre 1997. 

Une nouvelle dynamique éthique doit s’imposer à la fois sur le terrain pratique et symbolique. Comment ? En s’exonérant de la technologie par nature évolutive et en permettant à chaque pays ou continent d’adopter des règles conformes à sa culture : statut des données, localisation des serveurs, chiffrement des informations, OS souverain…Et en portant la Déclaration préliminaire des droits de l’homme numérique, issue des travaux du laboratoire d’idées du Forum d’Avignon, accessible sur le site www.ddhn.org en 8 langues, qui vise à sortir des logiques défensives, peu compréhensibles pour des générations natives du numérique. L’Europe a tout à gagner à assumer la responsabilité cette ambition.

 

[1] Jorge Semprun, Le mort qu’il faut- 2001

[2] Etude indépendante et tripartite, réalisée auprès de consommateurs en France, en Pologne, en Espagne et au Royaume-Uni. Le résumé des résultats (en anglais) téléchargeables: www.orange.com/digitaltrust.

_____________________________________________________________________________________________
A la suite du Forum d'Avignon @Paris, le 19 septembre 2014, plus de 200 personnalités ont signé le Manifeste "Pour une déclaration préliminaire des droits de l'homme numérique".
Plus d'information: www.ddhn.org

 

Union des annonceurs  Compte vérifié
#2723, le 16/01/2015 - 11:03

Protéger les données des consommateurs et des annonceurs à l’heure du big data

La protection des données à caractère personnel est un droit fondamental des citoyens qui doit être concilié avec les impératifs de l’activité économique impliquant une exploitation et une circulation des données auxquelles le citoyen participe en tant que consommateur.

C’est en ce sens que l'Union des annonceurs (UDA) œuvre depuis plus de 20 ans. Ainsi, elle a activement participé à l'élaboration du cadre législatif et des règles de régulation professionnelle relatives à la collecte par les annonceurs d’informations et de données personnelles à des fins de mailing en 1993, d'emailing en 2005 ou encore de publicité ciblée depuis 2009[1].

A l’heure du big data qui bouleverse le marché de la publicité et transformera de nombreux autres secteurs économiques, l’UDA souhaite que le juste équilibre entre défense des droits individuels d’un côté, et liberté des entreprises de communiquer avec les consommateurs de façon efficace, utile et compétitive de l’autre, demeure l'un des fils conducteurs de la protection des données.

Les annonceurs qui utilisent les données au service de leurs marques, activités et image, sont très attachés à ce qu'elles soient collectées et traitées dans le respect des droits et intérêts des citoyens, des consommateurs et donc de leurs clients. Premiers exposés lorsque des difficultés apparaissent, ils sont particulièrement sensibles à la préservation de l’équilibre entre liberté de communiquer et protection des données et ont à cœur de devoir être des acteurs de confiance.

Cette préoccupation est donc pleinement, et depuis longtemps, intégrée par les annonceurs. Elle constitue une partie intégrante de leurs politiques de RSE comme le démontre l’adhésion de plus de 50 grandes entreprises à la Charte UDA pour une communication responsable qui les engage à « utiliser avec respect les informations relatives à la vie privée de leurs collaborateurs et clients dans leurs actions de marketing et communication. »

Les annonceurs espèrent donc que le projet de règlement européen portant réforme du droit des données personnelles et les réflexions en cours au sein du Conseil National du numérique permettront de protéger au mieux les consommateurs tout en tenant compte des réalités économiques. Ils saluent à cet égard, l'objectif poursuivi par le Conseil national du numérique d'accorder aux citoyens une plus grande maîtrise de leurs données.

Dans ce contexte, les annonceurs souhaitent rappeler :

  1. Qu'il est nécessaire de rechercher un juste équilibre entre contraintes pour les entreprises et risques d’atteinte à la vie privée

Ces équilibres ont été jusqu’alors préservés dans la réglementation actuelle par l’application du principe de proportionnalité qui vise à corréler le degré de contraintes pesant sur les entreprises avec la nature des données et la finalité du traitement.

L'UDA soutient le maintien de cette approche dite « basée sur le risque », qui lie le niveau de consentement requis au caractère plus ou moins sensible des données collectées et du traitement effectué. Une telle approche éviterait que le consentement des consommateurs ne perde de sa signification et de son efficacité.

Or, ce principe est quasiment absent du projet de règlement européen qui soumet à un seul régime de protection l’ensemble des données qui peuvent être collectées et prévoit un niveau unique de consentement, malgré l’introduction par le Parlement de la notion de données pseudonymes.

  1. Que la question de la protection des données personnelles est européenne et mondiale avant d'être nationale

La protection des données personnelles dépasse les frontières nationales et ne saurait être traitée indépendamment par chacun des Etats membres de l'Union. Au regard de l'accélération du calendrier des discussions du projet de règlement, l'UDA rappelle que c'est au niveau européen que ce dossier doit être traité et que l'adoption d'une législation nationale nouvelle, susceptible d'être remise en cause dans quelques mois, risquerait de pénaliser les entreprises françaises.

  1. Que c’est seulement dans un environnement normatif stable et prévisible que les entreprises peuvent prospérer

Les réflexions actuellement engagées font craindre aux entreprises l'introduction de changements majeurs, sources d’insécurité et d’instabilité juridiques. Ainsi, à titre d’illustration, s'agissant de la règlementation applicable aux cookies, le projet de règlement européen pourrait modifier les récentes dispositions issues de la directive e-privacy (2009) que les Etats Membres achèvent à peine de transposer.

En France, des échanges entre les professionnels et l’autorité de protection des données, ont permis de trouver des solutions pour une grand part équilibrées mises en œuvre par les entreprises et contrôlées actuellement par la CNIL.

Les changements successifs et fréquents de réglementation sont un frein à l’innovation et à la croissance économique.

  1. Que les annonceurs doivent pouvoir s’appuyer sur des partenaires respectueux du cadre juridique applicable à leurs bases de données composées d’informations confiées par leurs clients et prospects

Les utilisations des données confiées par les consommateurs, clients ou prospects aux annonceurs conditionnent la confiance qu’ils leurs accordent.

Dès 2009, à l’occasion de sa première prise de position sur la publicité ciblée, l’UDA avait signalé l’importance pour les annonceurs de pouvoir travailler avec des partenaires respectueux de leur bases de données composées d’informations que leurs confient leurs clients et prospects consommateurs notamment au regard des réglementations relatives au respect de la vie privée ou à la concurrence déloyale (captation, utilisation et revente indues).

Aujourd’hui, dans le contexte de digitalisation des médias et des techniques de communication qui favorise les transmissions de données, y compris par les objets, l’UDA souhaite rappeler l’importance pour ses membres de travailler dans un climat de confiance, de loyauté et de transparence avec l’ensemble de ses partenaires évoluant dans l’environnement numérique et sur le marché publicitaire.

 

[1]Code des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel, 1993 ; Code relatif à l'utilisation de coordonnées électroniques à des fins de prospection directe, 2005 ; Charte sur la publicité ciblée et la protection des internautes, 2010 ; Guide de bonnes pratiques concernant l'usage des cookies publicitaires, 2012

 

SFIB  Compte vérifié
#2343, le 19/12/2014 - 10:47

Toutes les données ne sont pas des "données personnelles" et le big data est une source de progrès

Volume, Vitesse, Veracité, Valeur… quelque soient les qualificatifs en « v » donnés à ce phénomène, l’industrie informatique fourni aujourd’hui la capacité logicielle et matérielle, de stocker et d’analyser jusqu’à des zettaoctets de données (1021 octets). L’évolution de la capacité des mémoires est passée de 64kbits en 1980 à 64 Gbits en 2010 soit 1 000 000 de fois plus en 30 ans et l’émergence du Cloud en facilite le traitement.

Les données sont également de plus en plus Variées : hétérogénéité des sources et format les données analysées non structurées : Vidéo, voix, post, tweet, et maintenant échanges entre objets.

La donnée devient une « ressource » et comme telle elles est captée, transformée, et potentiellement vendue. De multiples domaines d’application s’offrent : médecine (aide aux diagnostics, prévision d’épidémies, études épidémiologiques), sécurité (incendies, criminalité..) éducation (émergences des Mooc…).

La donnée peut donc être de nature différente et donc la réglementation quelle qu’elle soit ne doit pas uniquement se construire sur celle du traitement des données personnelles. Les données météo ou l’importance du trafic routier à un moment donné en un lieu donné, ne sont pas « personnelles ».

  • Toutes les données ne sont pas « personnelles ».

La capacité d’analyse que procure le big data doit du point de vue du SFIB, doit d’abord être considéré comme une source de progrès et le vecteur qui permet d’offrir de nouveaux services et de nouveaux usages.

Exemples : l’analyse sémantique des tweets émis lors d’une rencontre sportive peut permettre à un club de sport de savoir ce que les supporters de l’équipe attendent et quels services on peut leur proposer autour de la rencontre. Aujourd’hui votre banque peut être capable de vous appeler immédiatement  pour vérifier si vous êtes bien d l’autre côté de la planète entrain de faire un retrait important ou juste victime d’un vol de vos données bancaires.

Le big data peut être utile à différentes échelles : du marketing, en passant par la sécurité financière ou la modélisation d’épidémies : ces calculs sont aujourd’hui possibles et sont accessibles même à de petites entreprises.

  • Le Big data est une source encore inexplorée de progrès dans de nombreux domaines.

Toutefois, on ne peut écarter que la données est aussi souvent une donnée personnelle, encore que la définition légale de la loi de 1978 soit dépassée par les capacités de traitement. En effet, si l’anonymisation suppose de détruire le lien entre l’information et l’identité d’une personne à travers diverses méthodes (anonymisation, pseudonymisation, chiffrement irréversible, etc.). En pratique, la « dé-identification » est difficile à obtenir car il ne s’agit pas de considérer uniquement une information isolée mais de prendre en compte les croissements possibles entre les informations. Or, le big data, ainsi que l’open data, accroissent considérablement les possibilités de recoupement et donc d’identification d’une personne : bienvenue dans l’ère des corrélations !

  • Attention à ne pas créer « un principe de précaution » appliqué au numérique.

Alors que faire ? Il est certainement nécessaire de protéger la donnée à plusieurs niveaux :sa collecte, son flux, son traitement, son stockage.

A chacune des étapes il semble nécessaire d’appliquer des règles qui permettent d’avoir confiance, car la confiance est le pilier du bon fonctionnement du big data comme il l’est par ailleurs dans le système bancaire. Il faut certainement une législation complète mais flexible du fait des changements rapides et dont la mise en œuvre, la prévisibilité et l’efficacité donne confiance. Il faut aussi qu’elle soit harmonisée d’où l’importance du règlement européen à cet égard.

L’industrie informatique répond à cette attente en progressant chaque jour sur le niveau de sécurité apporté : d’abord par la conception même des produits qui sont élaborés avec les développeurs pour être « génétiquement » conçus pour respecter les données personnelles : on parle de « privacy by design », un environnement distribué c’est-à-dire une architecture informatique complexe qui permet de répartir sur différents objets des séquences qui ne peuvent pas être recoupées sauf par l’administrateur, une complexification permanente du chemin  pour accéder aux données, des procédures d’audits et des programmes certifiant sont garants du sérieux de l’ensemble des processus mis en œuvre.

  • La Confiance : un pilier que l’industrie informatique s’emploie à renforcer de multiples façons

Il faut aussi réfléchir à la notion de dé-identification, car bien que comportant un risque de ré-identification, une information dé-identifiée portera toujours moins atteinte aux droits fondamentaux de la personne. Ensuite le stockage des données doit être limité dans le temps, non seulement par respect des règles de traitement actuels mais aussi parce que les capacités de stockage aussi étonnant que cela paraisse ont une fin et aussi un impact environnemental.

  • Car la technologie porte aussi les solutions

Il faut construire un « new deal des données »  dans lequel l’équilibre de solutions technologiques, règlementaires et « éducationnelles » est nécessaire car comment protéger des données privées à l’heure où chaque citoyen affiche librement sur les réseaux sociaux toutes les données, y compris les plus personnelles, qui l’identifie. A cet égard la notion de donnée personnelle mériterait sans doute d’être repensée : la séropositivité, le groupe sanguin, le poids, le nombre de pas effectués par jour sont donc toutes les quatre des données personnelles. Mais n’ y a t-il pas une décroissance dans leur caractère « privé »? .

En ce qui concerne la réponse technologique elle ne doit pas être écartée : elle émerge comme par exemple l’OpenPDS qui se veut un magasin de données personnelles, qui permet à l’utilisateur de conserver ses données transactionnelles et de gérer lui-même les accès aux services qui le veulent. Aujourd’hui les utilisateurs ne sont pas sur un pied d'égalité avec les services qui utilisent les données émises, car seuls ceux-ci savent les traiter... ce que l'utilisateur lambda ne sait pas encore … car demain, nous aurons certainement les outils nous permettant de traiter les données, des outils qui ne sont accessibles aujourd’hui qu’aux experts. Tout un chacun sera donc capable de faire « parler » des données.

 

AFMM  Compte vérifié
#1847, le 03/12/2014 - 14:13

Paiements anonymes et tiers de confiance

La diffusion des données personnelles, et notamment bancaires, est un obstacle pour le développement de l’économie numérique, qui pose la question du tiers de confiance : qui peut donner accès en toute confiance à des informations personnelles ? Parce que le piratage est un risque permanent,  l’objectif doit être de limiter au maximum le nombre de tiers qui les détiennent.

Proposition : Pour les petits montants, le paiement sur facture mobile ou Internet apporte une réponse simple, fluide et sécurisée qui consiste en un report du paiement sur la facture de l’opérateur téléphone ou Internet : depuis son téléphone, son ordinateur ou sa tablette, le consommateur achète un contenu sans avoir à communiquer ses données bancaires. Cette solution répond parfaitement au besoin des usagers qui très souvent rechignent, par manque de temps ou de confiance, à créer un portefeuille électronique ou un compte quand ils règlent un achat en ligne.

Depuis des années, l’Association Française du Multimédia Mobile travaille à faire connaître cette solution qui évite de communiquer ou d’enregistrer des informations sensibles sur une multitude de plateformes. Le récent rapport Lemoine souligne d’ailleurs le besoin de solutions de paiement anonymes et sécurisés

Tru Do-Khac
#1731, le 30/11/2014 - 17:12

Quelles synergies entre les politiques respectives sur les données à caractère personnel et sur les données porteuses de droit d'auteur ?

Quelles synergies entre les politiques respectives sur les données à caractère personnel et sur les données porteuses de droit d'auteur ?
 

Parmi les données personnelles, il y a celles qui sont porteuses de droit d'auteur et celles qui ne le sont pas ("données à caractère personnel" [1])
Exemple :

  • une donnée à caractère personnel : le jour, mois, année de la naissance
  • une donnée porteuse de droit d'auteur, le présent texte, déposé sur ce site [2]

Les deux types de données sont source de valeur économique et, dès lors, de création d'emplois [3].

Faut-il adresser les deux catégories de "données personnelles" de façon séparée ?

Quelles synergies entre la politique du respect des données à caractère personnel et la politique du respect des droits d'auteur ?

 

Notes :

[1] Art. 2 de la loi "Informatique et libertés" " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement"

[2] Le site est sous licence Creative Common BY SA 3.0 Fr

[3] Le copyright en BtoB, gisement d'emplois en prestation intellectuelle, Tru Dô-Khac, Le Cercle Les Echos, 10 juin 2013 

Yann PETIT
#297, le 05/10/2014 - 21:29

Alléger les règlementations pour plus de compétitivité

Constat :

Les utilisateurs déversent leurs données personnelles dans des systèmes de traitements automatisés de l'information. Les firmes étrangères Google, Facebook, Twitter en tête utilisent ces données pour les valoriser et les réutiliser en interne ou les revendre. Mais aucun de ces grands noms n'est français ni même européen. Et si demain une startup venait amener une idée innovante, la rendant à même de se hisser parmi ces noms, non elle ne serait sans doute pas française ou européenne, même si les cerveaux à son origine pourraient être de nos compatriotes. Pourquoi ?

Parce que nous avons trop de contraintes pour espérer voir émerger ce genre d'entreprise dont une partie du business model repose sur l'exploitation, et la valorisation des données utilisateur collectées.

 

“Google is living a few years in the future and sends the rest of us messages,” Doug Cutting, Hadoop founder

"Google vit quelques années dans le futur et envoi des messages au reste d'entre nous" Doug Cutting, fondateur d'Hadoop

*Hadoop est l'outil principal et la base de pratiquement toutes les solutions d'exploitation de données massives que l'on appelle BigData, son origine se base sur des travaux de Google vieux de plus de 10ans. Google a récemment annoncé que ce type de solutions n'est plus à même de répondre a leurs problématiques et a été abandonnée il y a des années. Le commun des mortels des ingénieurs en informatique commence juste à l'utiliser !

 

Proposition :

Il faudrait plutôt que de légiférer et ajouter sans cesse de nouvelles contraintes (comme un certain nombre des propositions précedentes), alléger celles existantes et permettre enfin à nos startups/entreprises d'être compétitives. Donc les laisser comme leurs concurrents étrangers exploiter librement les données mises gracieusement à leur disposition par les utilisateurs.

Eduquons les utlisateurs s'il le faut, cela se répercutera sur toutes les entreprises exploitant les données. Mais arrêtons d'ériger des barrières sur le chemin du succès de nos entreprises et qui par ailleurs n'inquièteront en rien les géants existants.

Nous ne devons pas mettre en place des mesures discriminantes pour nos entreprises !

 

Comment faire ? Proposition des parties prenantes

Proposer une solution
Armen Khatchatourov
#2823, le 20/01/2015 - 14:56

Mettre au centre l‘éducation du public en prenant compte les usages réels

Ne pas oublier de mettre au centre l‘éducation du public avec prise en compte des usages réels (e.g. prise en compte des stratégies mise en place sur Facebook par la jeune génération).

Armen Khatchatourov
#2822, le 20/01/2015 - 14:56

Renforcer les démarches visant à anonymiser les données

Renforcer les démarches visant à anonymiser les données, en particulier proposer des solutions à portée d’un large public non spécialiste.

Armen Khatchatourov
#2821, le 20/01/2015 - 14:55

Données, traces et algorithmes-Armen Khatchatourov-1421762185

Taxer les entreprises sur leur utilisation des données personnelles proportionnellement aux volumes en jeu. Un avantage est ici un possible éclatement de la bulle de la publicité ciblée qui est un non-sens économique, et donc le retour à / l’apparition d’autres modèles d’affaires.

Propositions dans le débat public  Compte vérifié
#74, le 26/09/2014 - 15:49

Instaurer un droit à la portabilité des données, personnelles ou non personnelles, des utilisateurs

Il s’agit de permettre à chaque utilisateur de transférer ses données, contacts, photos, etc. d’une plateforme à une autre, sans que celles-ci soient altérées. La première étape consiste à rendre les données réutilisables, pour permettre aux usagers d’en faire eux-mêmes des usages pertinents, ou dans leurs relations avec d’autres acteurs. Ce type d’approche permettrait le développement de services complémentaires, comme les systèmes personnels de gestion d’informations dits “PIMS” (Personal Information Management System) qui proposent aux internautes d’héberger leurs informations où ils le souhaitent, de maîtrisant la distribution de ces informations vis à vis des tiers (particuliers, entreprises, etc.), et de créer eux-mêmes les connexions logiques entre les services : facture d’énergie, listes de courses, billets de train, mails, etc.

Propositions dans le débat public  Compte vérifié
#178, le 03/10/2014 - 10:54

Garantir aux usagers la clarté des conditions générales d’utilisation et la visibilité sur le parcours de leurs données

Chaque usager devrait pouvoir être informé en temps réel de la gestion et du parcours de ses données, en commençant par leur mode de collecte (notamment avec les objets connectés qui récoltent des données sans que l’utilisateur en ait forcément conscience), leur mode de stockage, d’analyse, de diffusion et d’utilisation. Aux Etats-Unis, la Federal Trade Commission a par exemple recommandé de créer une plateforme obligatoire pour les entreprises, où chaque usager pourrait voir quels sont les tiers qui peuvent exploiter leurs données (banques, assurances, autres) et choisir d’accepter ou de refuser. Le Conseil d’Etat propose également de mettre en “open data” toutes les déclarations et autorisations de traitement des données. Cela consisterait à demander à chaque entreprise ou organisme concerné de publier, sur le site de la CNIL, un rapport d’information annuel sur les traitements qu’ils mettent en oeuvre.

 

Conseil d'Etat  Compte vérifié
#179, le 03/10/2014 - 10:57

Affirmer le droit des individus à l’autodétermination informationnelle plutôt qu’à la marchandisation de leurs données personnelles

Le droit des données personnelles protège les individus face aux entités plus puissantes : administrations, entreprises, etc. Le droit à l’autodétermination lui ajoute une approche plus offensive en considérant l’individu comme acteur de son identité numérique, à qui l’on doit rendre des comptes pour qu’il puisse la maîtriser. Plutôt que de conférer un droit de propriété sur les données, qui engendrerait des effets négatifs (marchandisation de l’information et de la vie privée, affaiblissement des personnes fragiles, etc.) le Conseil d’Etat propose au contraire de renforcer l’indépendance des personnes, en leur donnant la possibilité de décider de la communication et de l’utilisation de leurs données à caractère personnel.

 

Pour en savoir plus ... Proposition n°1 du Rapport annuel du Conseil d'Etat sur "Le numérique et les droits fondamentaux"

"Concevoir le droit à la protection des données personnelles comme un droit à l'autodétermination informationnelle, c'est-à dire le droit de l'individu de décider de la communication et de l'utilisation de ses données à caractère personnel

Inscrire cette conception dans la proposition de règlement relatif à la protection des données à caractère personnel ou, dans l'attente du règlement dans la loi du 6 janvier 1978.

Ne pas faire entrer les données personnelles dans le champ du droit de propriété patrimonial des personnes. "

 

 

Propositions dans le débat public  Compte vérifié
#72, le 26/09/2014 - 15:48

Ouvrir un droit d’alerte en matière de protection des données personnelles

Placer les processus d’information et de déclaration sous la responsabilité de la CNIL et assurer une protection aux salariés des entreprises et organismes traitant des données personnelles lorsqu’ils signalent de bonne foi des pratiques illégales ou nuisibles aux personnes.

Propositions dans le débat public  Compte vérifié
#71, le 26/09/2014 - 15:48

Instaurer une class action pour les questions relatives aux données personnelles

Ouvrir une action collective en justice aux groupes de personnes pour leur permettre d’obtenir réparation des violations des règles de protection des données personnelles, représentées par des associations de défense des consommateurs ou de la vie privée.

Natural Security Alliance
#2644, le 14/01/2015 - 09:03

Proposition pour le développement de méthodes d’authentification forte, ouvertes, évaluables et respectueuses de la vie privée

Dans un monde de plus en plus numérique, l’acte d’authentification est un geste fondamental. C’est l’acte que nous réalisons pour nous connecter à notre cloud ou à un coffre-fort électronique afin d’accéder à des informations personnelles mais c’est également le geste que nous faisons pour accéder à un site de banque en ligne ou réaliser un paiement.

L'acte d'authentification va donc bien au-delà d'un simple choix technologique : il structure nos accès à des services de notre quotidien et de notre vie numérique. Impliquant pour l'utilisateur, il doit permettre d’exprimer le consentement tout en restant suffisamment simple pour pouvoir être utilisé par la vaste majorité d’entre nous.

L’acte d’authentification, à l’origine simple point d’entrée, est devenu élément de différenciation pour les fournisseurs de services. Offrir le moyen le plus simple et le plus universel d’authentification c’est « capturer » le client en définissant un guichet privilégié (voire unique) pour la réalisation d’un service.

A ce jeu, les acteurs du monde de l'internet (les GAFA : Google, Apple, Facebook, Amazon) imposent leurs règles, leurs technologies, leur conception de la sécurité et leur vision de la protection des données personnelles (d’ailleurs à titre d’illustration, les procédures de contribution sur ce site les utilisent). L’authentification est donc bien une technologie souveraine, car au cœur même de l’accès de chacun au numérique.

Il nous semble donc essentiel de favoriser l’émergence de méthodes d’authentification forte :
• ouvertes (basées, par exemple, sur des spécifications accessibles à tous les industriels) ;
• s’inscrivant dans un schéma d’évaluation et de certification, basées sur des tests réalisés par des laboratoires indépendants ;
• compatibles avec les services nécessitant une authentification forte et les différentes initiatives autour de l’identité numérique (France Connect, EidAS…) ;
• offrant une sécurisation forte des données utilisées pour l’authentification ;
• en conformité avec les recommandations émises par les régulateurs (bancaires, autorité de protection des données personnelles…)

Cette proposition a pour but de :
• répondre aux besoins croissants de méthodes d’authentification simple, universelle et sécurisée ;
• favoriser l’émergence de technologies européennes souveraines alors que le paysage des technologies online (terminaux, operating system, outils de recherche…) est majoritairement conçu et exploité hors de l’Europe ;
• contribuer à la diffusion et renforcer les bonnes pratiques liées à la protection des données personnelles (Privacy by Design, Privacy by Default, Privacy Rules…) ;
• établir la confiance mutuelle entre les fournisseurs de services et les utilisateurs ;
• accompagner l’apparition d’un écosystème de services à valeur ajoutée en Europe reposant sur une authentification forte d’un utilisateur

Contributions Journée de lancement  Compte vérifié
#556, le 13/10/2014 - 14:38

Gestion des données personnelles agrégées par l’Etat

De plus en plus de citoyens se font aspirer leurs données personnelles par tout une pléiade d’entités. Celles capturées par l’Etat devraient être consultables par les personnes concernées.

ACN
#2728, le 16/01/2015 - 12:29

Mettre en place l'identité numérique

Le numérique est maintenant au cœur de toute l’économie et de toutes les relations C2C, B2C, B2N, C2G, … C’est dire l’importance de la confiance numérique.

L’identité numérique est le socle de cette confiance. On peut s’en dispenser pour certains services ; ce peut être un alias pour d’autres, ou une identité véritable présentant un niveau de garantie (ou assurance) défini. Les technologies permettent même de présenter une identité au niveau d’assurance élevé, tout en préservant l’anonymat de son porteur.

L’Union Européenne a adopté un règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, qui s’impose à tous les Etats-Membres, et qui définit 3 niveaux d’assurance de l’identité (faible, substantiel, élevé). Les conditions techniques de mise en application se définissent en ce moment, et ce jusqu’au mois de septembre 2015.

L’ACN juge qu’il est nécessaire d’assurer la compétitivité de l’économie française dans l'ère du numérique, à travers un projet gouvernemental fort et structurant la mise en place d’un écosystème ouvert d’une identité numérique, apportant à l’usager / citoyen sécurité, maîtrise de la communication personnelle et du respect de sa vie privée.

L’identité numérique a un impact direct dans l’efficacité de l’e-administration, dans la modernisation de l’économie et la compétitivité des entreprises, parce qu’elle bénéficie à tous les acteurs :

  • Aux citoyens, par la mise en place de nouveaux services, la simplicité d’usage, la sécurité, la protection de la vie privée.
  • Aux fournisseurs de services privés et publics, par le développement de nouveaux cas d’usage, la limitation de la fraude, les gains de productivité de la dématérialisation.
  • À l’industrie et aux PME, par la référence d’un projet national qu’elle apporte à l’international, la possibilité de maintenir le développement de technologies sensibles sur le territoire, la création de richesses et d’emplois.
  • À l’État, par le renforcement de la souveraineté nationale pour tous ses services numériques: Education, santé, e-administration, tous créateurs de valeur sur le territoire national et permettant de sauvegarder cette valeur par rapport aux acteurs mondiaux de l’internet qui tentent de structurer à leur profit l’espace de l’identité numérique.

L’identification électronique maîtrisée apporte :

  • La sécurité des transactions
  • La protection des citoyens et de leurs échanges aussi bien  vis à vis des administrations, des entreprises , des services et entre eux
  • L’évolution vers un web mieux maitrisé
  • La préparation des évolutions futures,  avec par exemple avec l’émergence des objets connectés

C’est l’insertion dans la stratégie européenne et dans les accords internationaux (TTIP) qui est en jeu avec la mise en place de systèmes d’identités numériques conformes au règlement européen désormais entré en vigueur.

Les technologies sont disponibles et les acteurs français les maîtrisent, avec des PME et des grands groupes exportant leur savoir-faire technologique et industriel. Considérant l’importance du sujet, l’ACN a publié une Feuille de route nationale en faveur de l’identité numérique interopérable sécurisée, intégrant dès sa conception les principes fondamentaux de respect et de protection de la vie privée, prise en considération pour la construction du projet France Connect.

 

La France a donc la possibilité de conduire la construction d’un espace digital européen sécurisé et maîtrisé pour le bénéfice des citoyens, des Etats et des entreprises privées.

ACN
#2730, le 16/01/2015 - 12:46

Mettre en place une identité numérique

Le numérique est maintenant au cœur de toute l’économie et de toutes les relations C2C, B2C, B2N, C2G, … C’est dire l’importance de la confiance numérique.

L’identité numérique est le socle de cette confiance. On peut s’en dispenser pour certains services ; ce peut être un alias pour d’autres, ou une identité véritable présentant un niveau de garantie (ou assurance) défini. Les technologies permettent même de présenter une identité au niveau d’assurance élevé, tout en préservant l’anonymat de son porteur.

L’Union Européenne a adopté un règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, qui s’impose à tous les Etats-Membres, et qui définit 3 niveaux d’assurance de l’identité (faible, substantiel, élevé). Les conditions techniques de mise en application se définissent en ce moment, et ce jusqu’au mois de septembre 2015.

L’ACN juge qu’il est nécessaire d’assurer la compétitivité de l’économie française dans l'ère du numérique, à travers un projet gouvernemental fort et structurant la mise en place d’un écosystème ouvert d’une identité numérique, apportant à l’usager / citoyen sécurité, maîtrise de la communication personnelle et du respect de sa vie privée.

L’identité numérique a un impact direct dans l’efficacité de l’e-administration, dans la modernisation de l’économie et la compétitivité des entreprises, parce qu’elle bénéficie à tous les acteurs :

  • Aux citoyens, par la mise en place de nouveaux services, la simplicité d’usage, la sécurité, la protection de la vie privée.
  • Aux fournisseurs de services privés et publics, par le développement de nouveaux cas d’usage, la limitation de la fraude, les gains de productivité de la dématérialisation.
  • À l’industrie et aux PME, par la référence d’un projet national qu’elle apporte à l’international, la possibilité de maintenir le développement de technologies sensibles sur le territoire, la création de richesses et d’emplois.
  • À l’État, par le renforcement de la souveraineté nationale pour tous ses services numériques: Education, santé, e-administration, tous créateurs de valeur sur le territoire national et permettant de sauvegarder cette valeur par rapport aux acteurs mondiaux de l’internet qui tentent de structurer à leur profit l’espace de l’identité numérique.

L’identification électronique maîtrisée apporte :

  • La sécurité des transactions
  • La protection des citoyens et de leurs échanges aussi bien  vis à vis des administrations, des entreprises , des services et entre eux
  • L’évolution vers un web mieux maitrisé
  • La préparation des évolutions futures,  avec par exemple avec l’émergence des objets connectés

C’est l’insertion dans la stratégie européenne et dans les accords internationaux (TTIP) qui est en jeu avec la mise en place de systèmes d’identités numériques conformes au règlement européen désormais entré en vigueur.

Les technologies sont disponibles et les acteurs français les maîtrisent, avec des PME et des grands groupes exportant leur savoir-faire technologique et industriel. Considérant l’importance du sujet, l’ACN a publié une Feuille de route nationale en faveur de l’identité numérique interopérable sécurisée, intégrant dès sa conception les principes fondamentaux de respect et de protection de la vie privée, prise en considération pour la construction du projet France Connect.

La France a donc la possibilité de conduire la construction d’un espace digital européen sécurisé et maîtrisé pour le bénéfice des citoyens, des Etats et des entreprises privées.

Contributions Journée de lancement  Compte vérifié
#558, le 13/10/2014 - 14:43

Concrétiser l’identité numérique

L’identité numérique était vraiment une bonne idée. Pour la confiance numérique il faut une caution publique forte.

FIEEC  Compte vérifié
#1185, le 17/11/2014 - 17:43

Données, traces et algorithmes-FIEEC-1416242707

Le développement de l’économie numérique implique la mise en place d’un cadre adapté en matière de protection des données personnelles. Dans le cadre d’un partenariat renforcé avec la CNIL, notre profession œuvre activement à répondre aux besoins d’information et de protection des droits des consommateurs dans la gestion et l’utilisation de leurs données, tout en permettant l’innovation et le développement des technologies du numérique. 

Par ailleurs, le renforcement de la sécurité et de la confiance numérique est également au cœur des enjeux du numérique. La confiance numérique a vocation à donner au consommateur le libre choix d’utiliser des produits et services et de communiquer dans des conditions optimales dans l’environnement numérique. De plus, l’identité numérique est une composante importante de la cybersécurité.

ldubost
#288, le 05/10/2014 - 11:56

Imposer un accès aux données personelles par API

Actuellement certains services ne peuvent exister que par l'accès aux données personnelles d'un utilisateur. Or les grands acteurs n'ouvrent pas forcement les accès à ces données pour des services concurrents à leur service. Pour établir une concurrence loyale entre les acteurs, il est nécessaire que l'accès aux données soit garanti aux petits acteurs face aux acteurs dominant. Par ailleurs, dans les services qui intègre des services exterieurs un accès aux API doit permettre un accès égal aux acteurs externes.

Un exemple:

- si Google peut faire une analyse des photos pour créer des histoires en mixant information de localisation du téléphone Android et contenus des photos publiés, pour ensuite pousser cette information dans Google+ Photos dans une section particulière, alors il doit être possible à un acteur innovant de proposer exactement le même service si l'utilisateur autorise l'accès aux données, les conditions d'accès restant à définir mais devant être non discriminantes.
- si Apple peut faire une application sur son téléphone utilisant des données du téléphone, alors tout développeur d'Application doit être autorisé à développer la même application.

Conseil d'Etat  Compte vérifié
#180, le 03/10/2014 - 10:59

Imposer la non discrimination et la transparence des algorithmes

Lorsque des données et des algorithmes sont utilisés pour personnaliser des services, des prix, ou une décision, le risque est que l’effort de personnalisation dérive vers des formes de discrimination. Le Conseil d’Etat propose d’instauter un droit à l’information sur le raisonnement général et les critères retenus par un algorithme. Cela impliquerait l’interdiction d’y introduire des considérations étrangères aux intérêts des utilisateurs.

 

Alain Bensoussan  Compte vérifié
#1980, le 09/12/2014 - 10:29

Créer un droit au silence des puces et à la déconnection spontanée

Créer un droit au silence des puces et à la déconnection spontanée.

Conseil d'Etat  Compte vérifié
#945, le 04/11/2014 - 10:11

Accompagner le développement du Big data en renforçant les garanties de protection des droits fondamentaux

L'étude annuelle du Conseil d'Etat sur le numérique et les droits fondamentaux (2014) recommande notamment de :
- Maintenir sans ambiguïté dans la proposition de règlement européen la liberté de réutilisation statistique des données personnelles, quelle que soit la finalité initiale de leur traitement, en prévoyant pour seule condition que cette réutilisation soit entourée de garanties d'anonymat appropriées ;
- Clarifier le champ des traitements soumis en raison de leurs risques à des obligations particulières telles que la réalisation d'une étude d'impact ou la consultation préalable de l'autorité de contrôle, en définissant dans le règlement la liste des catégories de traitement concernées. Créer une obligation de certification périodique pour les catégories de traitement présentant les risques les plus importants, par un organisme tiers indépendant et accrédité par l'autorité de contrôle ;
- Participer et organiser la transition vers le nouveau cadre juridique issu du règlement, par une coopération entre le gouvernement, la CNIL et les principaux acteurs concernés ;
- Renforcer le rôle de conseil et d'accompagnement des responsables de traitement par la CNIL ;
- Créer un certificat de conformité ;
- Créer une procédure d'homologation des codes de conduite professionnels élaborés au niveau national ou européen ;
- Développer la normalisation en matière de sécurité des traitements de données personnelles ;

CIGREF Réseau de grandes entreprises  Compte vérifié
#2237, le 17/12/2014 - 15:38

Créer les conditions de la confiance dans l’utilisation des données et veiller à ce que les individus s’approprient leur identité numérique

Les nouveaux modèles d’affaires, nouveaux produits, nouveaux services des entreprises vont émerger du « capital » données.  Mais à quel prix ? A travers la donnée, tout un chacun poursuit la connaissance de l’intimité client. Pour l’entreprise, une telle approche peut être stimulante en termes de business, mais la réciprocité est-elle aussi  évidente ?  Le libre-arbitrage de l’usager numérique doit pourvoir  pleinement s’exercer. Il doit s’exercer même si à la clé un partage de la valeur est annoncé. Le numérique doit être fondé sur une relation de parfaite confiance.  Et cette  confiance suppose quelques préalables : ceux de se connaitre, de s’apprécier  mais aussi et surtout de se respecter.  

Il faut donc créer les conditions de la confiance dans l’utilisation des données (et plus encore si elles sont collectées via des objets connectés), car il n’y a pas d’économie numérique sans confiance. Et il faut veiller à ce que les individus puissent s’approprier et gérer efficacement leur identité numérique.

Commission numérique du MEDEF  Compte vérifié
#2740, le 16/01/2015 - 14:30

Concrétiser l’identité numérique

Mettre en place rapidement un dispositif d’identification électronique en France (carte d’identité, clé cryptée…), qui serait mis à la disposition des citoyens à la fois dans leurs relations avec les pouvoirs publics et les acteurs privés (notamment dans le cadre de France Connect étendu aux acteurs privés, du règlement européen eIDAS n° 910/2014 du 23 juillet 2014…).

CIGREF Réseau de grandes entreprises  Compte vérifié
#2238, le 17/12/2014 - 15:39

Garantir la protection des clients

  • Protection des données personnelles : instaurer le droit à l’oubli

Le traitement des données personnelles est une problématique majeure aujourd’hui et dont l’importance ne cesse de croître au regard des innovations technologiques. Les utilisateurs (clients, consommateurs) sont de plus en plus soucieux de savoir quelles informations sont détenues sur eux et quel usage en est fait par l’exploitant. Cette problématique devient un enjeu de réputation pour les entreprises. Si l’usage des données recueillies n’est pas conforme à la politique revendiquée par l’entreprise, ou si la finalité du traitement des données est détourné à de fins commerciales, sans accord préalable et explicite du client, la méfiance des utilisateurs risque en effet de s’accroître considérablement, et la réputation des entreprises et/ou fournisseurs peut en pâtir.

La réclamation d’un droit à l’oubli pose de nouvelles conditions aux entreprises et notamment aux pure players. En effet, aujourd’hui, plus une entreprise accumule de données plus elle a de chances de créer de la valeur. L’entreprise doit aujourd’hui trouver un équilibre entre l’enjeu business et l’enjeu éthique que recouvre l’exploitation des données personnelles, en garantissant aux utilisateurs le droit à l’oubli numérique. La performance des outils numériques actuels repose sur la mémoire, la capacité à se souvenir et à créer des recommandations personnalisées. En revanche, l’une des principales caractéristique de l’homme, c’est l’oubli. Nietzsche fut d’ailleurs l’un des premiers à considérer que l’oubli, « l’oubli positif », est une faculté nécessaire au bien-être de l’homme. L’oubli est donc quelque chose de non naturel pour la technologie, d’où l’importance d’en faire un « droit » humain.

  • Transparence, cohérence et pédagogie : publier la politique de traitement des données personnelles, la rendre facilement accessible

Vis-à-vis de ses clients, l’entreprise peut expliciter le plus clairement possible sa politique de traitement des données personnelles, et la rendre accessible en mettant en ligne les règles qu’elle s’engage à respecter sur l’usage des données clients. Elle fait ainsi preuve non seulement de transparence,  mais aussi de cohérence avec ses valeurs qui sont le plus souvent présentes dans les chartes éthiques (honnêteté, intégrité, respect…), et de pédagogie en faisant l’effort de rendre ses règles lisibles et compréhensibles (c’est-à-dire qu’elles ne soient pas écrites avec une police de trop petite taille, ou en employant un vocabulaire trop technique) par un plus grand nombre.

Alain Bensoussan  Compte vérifié
#1973, le 09/12/2014 - 10:13

Reconnaître un droit à la souveraineté des données et le droit au domicile virtuel

Reconnaître un droit à la souveraineté des données et le droit au domicile virtuel: plutôt que l’autodétermination, puisque l’on est « souverains » sur nos données plus que l’on détermine les informations qui nous définissent.

Conseil d'Etat  Compte vérifié
#946, le 04/11/2014 - 10:36

Encadrer l'échange de données personnelles entre entités différentes

Le Conseil d'Etat propose dans son étude annuelle sur les droits et libertés fondamentaux (2014) de :
- Codifier dans la loi la jurisprudence relative à la nullité des transactions portant sur des fichiers non-déclarés ou non autorisés à la CNIL ;
- Inciter les acteurs procédant de manière récurrente à de telles transactions à en tenir un registre ;
- Inciter à fournir aux personnes exerçant leur droit d'accès à une liste complète des entités auxquelles leurs données ont été communiquées

Conseil d'Etat  Compte vérifié
#73, le 26/09/2014 - 15:49

Renforcer les capacités de contrôle et de sanction des autorités

Le Conseil d’Etat propose par exemple de développer le contrôle des algorithmes par l’observation de leur résultats - ou retroingénierie - pour détecter les discriminations illicites; et d’annuler automatiquement les transactions entre exploitants de données personnelles qui portent sur des fichiers non déclarés ou non autorisés par les personnes intéressées. Le projet de règlement européen prévoit quant à lui d’augmenter le montant des amendes pour violation des règles de protection de la vie privée.

Armen Khatchatourov
#2820, le 20/01/2015 - 14:55

Maitrise des données et de leur stockage à long terme

  • Le stockage sur serveur distant détenu par un fournisseur des données pose problème si on se situe dans l’optique proche des initiatives comme VRM ou MesInfos. Une solution possible est de recourir au stockage distribué sur des machines aléatoires. Il peut être intéressant de le lier avec le cloud souverain/cloud personnel.
  • De manière plus générale, prendre des actions techniques et citoyennes en faveur de la décentralisation des services numériques et du stockage.
Armen Khatchatourov
#2819, le 20/01/2015 - 14:53

Encadrement des CGU par des plateformes qui les centralisent

  • Instaurer des CGU lisibles par ordinateur (machine readable) pour que les dispositions relatives au traitement des données personnelles soient reconnues automatiquement
  • Imposer aux fournisseurs des services de composer leurs CGU à partir d’une « bibliothèque » des dispositions standardisées, elle-même conçue par la CNIL / G29
  • Ad minima, obliger les fournisseurs des services à afficher les dispositions relatives au traitement des données personnelles sous une forme immédiatement repérable par l’utilisateur, par exemple dans des « encadrés » mis en avant, et ne pas les dissimuler aux plusieurs endroits des CGU.
  • Interdire au niveau législatif des CGU qui feraient à l’utilisateur renoncer à ces droits légaux.
Armen Khatchatourov
#2817, le 20/01/2015 - 14:49

Renforcer le pouvoir des autorités indépendantes de contrôle

  • Augmenter les montants des amendes en fonction du chiffre d’affaires des entreprises pour que la sanction soit réellement rédhibitoire.
  • Reverser un pourcentage de l’amende à la CNIL pour la doter des moyens supplémentaires.
  • Instaurer / renforcer les sanctions pénales pour les responsables des entreprises à l’origine des manquements à la loi sur la protection des données.
  • Instaurer / renforcer des sanctions sur la réputation des entreprises à l’origine des manquements à la loi sur la protection des données.
FEVAD  Compte vérifié
#2776, le 16/01/2015 - 18:13

Données, traces et algorithmes et nouveaux droits

Les données sont essentielles au développement de l’économie numérique. Cela constitue un enjeu pour les consommateurs en terme de protection, et au niveau des entreprises en terme de croissance.

S’il est important d’adapter la règlementation aux nouveaux usages il convient cependant de veiller au respect d’un certain nombre de principes.

 

  • Conserver le juste équilibre entre les impératifs de protection des utilisateurs et les besoins des entreprises en matière de développement de l’activité et de d’innovation

La FEVAD est particulièrement attachée à l’existence de règles permettant de garantir la protection des données. Ces règles contribuent notamment à assurer la confiance des personnes dans l’utilisation qui sera faite de leurs données, notamment de la part des entreprises. La collecte et le traitement des données étant devenus essentiels à l’activitéde beaucoup d’entreprises, il est donc important de disposer dans ce domaine de règles claires et adaptées.

La systématisation d’études d’impact préalables aux modifications règlementaires permettrait d’évaluer en amont l’équilibre entre les deux impératifs.

 

  • Veiller à faire évoluer la règlementation au niveau européen

La réforme du cadre de la protection des données est traitée actuellement au niveau européen, dans le cadre d’un projet de règlement en cours d’examen. Ce cadre permettra donc de mettre en place un régime juridique harmonisé dans l’ensemble des Etats membres, condition nécessaire au développement économique des entreprises, comme à la confiance des consommateurs. Ce règlement devrait être adopté en 2015. Il représente un enjeu considérable pour l’avenir du numérique en France et plus généralement en Europe.

Il est donc important que la France continue de participer dans ce cadre à permettre l’adoption d’un texte équilibré assurant un niveau de protection adéquat des données personnelles tout en garantissant la libre circulation des données au sein de l’Union et le développement de nouveaux services pour le citoyen et le consommateur.

A l’inverse, toute adoption d’une législation nationale à quelques mois de l’adoption de nouvelles règles européennes serait prématurée et créerait une instabilité juridique très hautement préjudiciable pour les entreprises françaises.

 

  • Promouvoir les approches innovantes en dehors de la règlementation

Plusieurs secteurs ont pris des initiatives alternatives à la règlementation, fondées sur la déontologie, la promotion de bonnes pratiques auprès des entreprises, et la pédagogie auprès des utilisateurs.

Les pouvoirs publics et parties intéressées doivent encourager celles-ci, ce qui permettra d’alléger le sentiment d’insécurité de certains utilisateurs basé sur une méconnaissance des outils à leurs dispositions pour faire prévaloir leurs choix.

Ces démarches permettront d’éviter les écueils de création de nouveaux droits, qui pourraient être trop larges et figés pour encourager le déploiement de nouveaux services porteurs de croissance et améliorant le niveau de vie des usagers.

Ces approches innovantes, permettront d’impliquer les acteurs plus fortement en termes de responsabilité sans entraver leur créativité et liberté d’entreprendre.

Parallèlement un effort collectif d’information et de pédagogie des utilisateurs, concernant l’utilisation de leurs données, notamment sur les conséquences possibles d’une exposition non maîtrisée, doit être réalisé. Des programmes de sensibilisation à l’égard des jeunes pourraient être mis en place par l’éducation nationale.

Tru Do-Khac
#2690, le 15/01/2015 - 10:19

Créer des sites de crowdsourcing / intelligence collective pour éclairer les conditions générales d'utilisation des services Cloud

Une solution à l'impossibilité pour l'internaute moyen de souscrire de façon éclairée aux conditions générales d'utilisation (CGU) des services Cloud (cf proposition 2688 ) : créer de sites d'échanges et de débats contradictoires sur les CGU

Objet : analyses et débats contradictoires sur les CGU des producteurs

Gouvernance de la modération

- soit par des représentants de l'administration de l'Etat démocratique

- soit par des associations mais avec une transparence sur la raison d'être, ses membres et ses financements

Liberté d'expression nécessaire au débat contradictoire entre les intérêts des individus et ceux des producteurs de services, garantie par l'Etat

Technologie : sous open source, pour pouvoir inspecter le code, par exemple la technologie utilisée par cette concertation

Financement : plusieurs sources possibles - Etat - fondations d'entreprise - association

maryline laurent
#2652, le 14/01/2015 - 11:00

Données, traces et algorithmes-maryline laurent-1421230197

Une solution consiste à rendre plus transparentes les politiques de traitements des données personnelles appliquées par les fournisseurs de services (e-commerce, réseaux sociaux...). Cette solution reprend l'idée de P3P (The Platform for Privacy Preferences) mais va au delà de P3P dans la mesure où la conformité de la politique serait vérifiée automatiquement vis-à-vis du cadre législatif en vigueur.

L'approche fait intervenir 4 entités : les 3 entités habituelles (fournisseur de services, organisme de contrôle, utilisateur) et une autorité supplémentaire en charge de publier un cadre juridique dans un format lisible par une machine (machine readable).

L'approche est précisée ci-dessous :
- le fournisseur de service publie sur Internet sa politique de traitement des données personnelles dans un format lisible par une machine.
- l'organisme de contrôle, lors d'un contrôle, vérifie l'adéquation entre la politique publiée par le fournisseur et les traitements réellement effectués par le fournisseur (responsable de traitements).
- l'autorité (nationale ou européenne) identifie différentes catégories de services et définit pour chaque catégorie tout l'éventail de politiques applicables de la plus molle (c'est-à-dire la plus laxiste en termes de protection des données personnelles) à la plus dure (c'est-à-dire la plus protectrice des données personnelles). Ces deux politiques forment le cadre législatif, et sont régulièrement mises à jour. L'autorité publie ce cadre sous forme de politiques dans un format lisible par une machine.
- le fournisseur de services peut facilement se conformer au cadre législatif en vigueur en définissant une politique qui se place dans le cadre législatif (qui correspond à sa catégorie d'appartenance).
- l'utilisateur est mis en confiance dans ses accès aux services numériques du fait que des outils logiciels (intégrés par exemple au navigateur) pourraient lui indiquer si le service accédé satisfait le cadre juridique ou non. En effet ces outils auraient pour but de vérifier l'adéquation entre la politique publiée par le fournisseur de services et le cadre législatif publié par l'autorité.

Résulteraient de cette approche une meilleure transparence des traitements opérés, et une amélioration de la confiance des citoyens dans les services numériques.

On pourrait également adapter cette idée à d'autres environnements que les services accessibles en ligne, comme par exemple l'Internet des Objets.

Maryline Laurent, membre fondatrice de la chaire Valeurs et politiques des informations personnelles de l’Institut Mines-Télécom

Dominique Cardon
#2560, le 07/01/2015 - 23:48

Pour un observatoire de la diversité et de la loyauté des plateformes

S’il n’est pas de possible « neutralité » des algorithmes, il est en revanche nécessaire de demander aux plateformes du web de respecter leurs utilisateurs en faisant réellement faire à leurs calculateurs ce qu’elles disent et prétendent leur faire faire. La notion de « loyauté » retenue dans les rapports du CNNum et du Conseil d’État donne une visée claire à cet enjeu : « Les plateformes devraient être soumises à une obligation de loyauté envers leurs utilisateurs, tant les utilisateurs non professionnels dans le cadre du droit de la consommation que les utilisateurs professionnels dans le cadre du droit de la concurrence » (rapport du CE, p. 21). Inquiétudes, plaintes et polémiques sont venues interroger la qualité des classements, de l’ordonnancement ou de la mise en visibilité des informations par les plateformes au regard des principes qu’elles prétendent mettre en oeuvre pour leurs utilisateurs. L’obligation de loyauté interroge donc, non pas une vaine neutralité, objectivité ou vérité de la représentation des informations, mais l’alignement, ou le désalignement, entre le service que la plateforme prétend rendre et la réalité de ce qu’elle offre. Que Google privilégie ses propres services dans son classement (alors que ceux-ci ont moins d’« autorité » que d’autres), que Facebook donne une forte visibilité à certains contenus (alors que l’utilisateur n’a pas un fort « engagement » avec eux), qu’Amazon ajoute des livres à promouvoir dans ses recommandations (alors qu’ils ne correspondent pas à des utilisateurs ayant un profil d’achat similaire), que Twitter ne fassent pas apparaître certains hashtags parmis les trending topics (alors qu’ils sont très utilisés sur une brève période temporelle), etc., et le service rendu par les algorithmes apparaîtra « déloyal ». Les algorithmes hiérarchisent les informations et c’est pour cela qu’ils sont essentiels et utiles. Mais il est indispensable que les services puissent expliquer à l’utilisateur les priorités qui président aux décisions de leurs algorithmes ; et que puissent être vérifié, en toute indépendance, que des intérêts cachés, des déformations clandestines ou des favoritismes cachés n’altèrent pas le service rendu. Une politique publique devrait donc (1) contraindre les plateformes à expliciter clairement, et le plus simplement possible, les principes qu’elles valorisent dans leurs classements (ce qui ne veut pas dire « livrer le secret » de l’algorithme) ; et (2) se donner des moyens techniques, scientifiques et indépendants afin de vérifier solidement qu’ils sont honorés.

 

Face à la nouveauté de cet enjeu et à la fragilité des points d’appui normatif sur lesquels « l’obligation de loyauté » pourrait s’appuyer, cette proposition voudrait suggérer la mise en place d’un (proto-)observatoire de la diversité des traitements informationnels mis en œuvre par les plateformes. Aujourd’hui, la plupart des critiques adressées aux plateformes s’appuient sur des cas isolés, des témoignages mal assurés, des plaignants soupçonnables et des copies d’écran ! Aussi serait-il nécessaire d’équiper le contrôle de la loyauté des plateformes d’outils et de méthodes d’enquête beaucoup plus solide. Cette proposition voudrait suggérer la mise en place d’un projet de recherche interdisciplinaire réunissant informaticiens, sociologues et juristes pour :

 

  1. Établir conceptuellement les différentes acceptions de la notion de diversité informationnelle (diversité horizontale vs. verticale, impartialité, etc.) et concevoir des méthodologies et des métriques permettant d’objectiver ces principes.
  2. Réaliser une rétro-ingénierie systématique et quantitativement représentative mettant à l’épreuve le fonctionnement des plateformes ;
  3. Produire des avis équipés et documentés en y associant étroitement une réflexion juridique ;
  4. Travailler aux côtés des instances de régulation (CNIL, CSA, ARCEP) et de réflexion (CNNum...) afin de se donner des moyens d’accès à certaines données des plateformes et constituer un socle probatoire aux revendications émises à l’endroit des plateformes

 

Cette proposition mériterait d’être beaucoup plus précise et documentée, mais elle voudrait initier un débat pour qu’une alliance entre chercheurs, institutions et société civile travaillent à se donner des armes critiques beaucoup plus solides pour équiper la surveillance des plateformes du web et s’assurer de leur « loyauté ».

 

Sources

ICOMP - Initiative for a Competitive Online Marketplace  Compte vérifié
#2465, le 24/12/2014 - 13:01

Explorer les motivations des entreprises dominantes et faire appliquer la loi

Les propositions d'ICOMP pour la protection des données

  • Certains régulateurs ont commencé à observer le rapport entre les quantités de données collectées et contrôlées par une entreprise et la manière d’en tenir compte dans les enquêtes antitrust. Il vaudrait la peine d’explorer davantage les motifs qui poussent une entreprise à recueillir et à employer de manière illicite des informations sur les consommateurs, mais aussi d’examiner dans quelle mesure ces pratiques accroissent la puissance commerciale et contribuent, de ce fait, à consolider encore plus les monopoles sur les marchés numériques concernés.  
  • Ceux qui transgressent les lois devraient faire l’objet de poursuites appropriées et de mesures efficaces de mise en application de la législation, en vue d’assurer le respect des lois. 
ICOMP - Initiative for a Competitive Online Marketplace  Compte vérifié
#2464, le 24/12/2014 - 12:59

Les principes d’ICOMP pour une protection des données efficace

ICOMP reconnaît le rôle important des données dans l’économie numérique actuelle. Les « mégadonnées » sont un facteur d’innovation et créent de la valeur au profit des participants de l’écosystème d’Internet. On peut difficilement remettre en cause leur fonction essentielle dans la capacité d’une entreprise à croître et à apporter aux consommateurs des services toujours plus nombreux et plus attrayants.  

Dans le même temps, la publicité en ligne reste le principal mode de financement permettant aux entreprises d’offrir leurs services aux consommateurs. La course aux données, toujours plus nombreuses et à un niveau de détail de plus en plus poussé, a parfois franchi les limites du respect des droits et libertés fondamentaux et de l’acceptation sociale de ces pratiques. Les consommateurs ne comprennent pas toujours quelle quantité de leurs données personnelles est collectée et comment celles-ci servent à générer des publicités, entre autres applications. La taille étant devenue si importante pour la réussite des entreprises centrées sur le traitement des données, il reste également possible que certaines transgressent les lois sur la protection de la vie privée dans leur chasse à toujours plus d’informations sur les consommateurs, qui vise à maintenir ou à renforcer encore davantage leur position monopolistique. 

Pour parvenir à une conciliation intelligente entre protection des données personnelles et fonctionnement efficace des services en ligne, les entreprises doivent impérativement respecter les lois relatives au premier de ces éléments. À cette fin, les entreprises qui recueillent et analysent les données des consommateurs devraient faire connaître en toute transparence leurs principes de fonctionnement concernant la collecte et l’usage des données personnelles. A cet égard, ICOMP soutient le rapport 2014 du Conseil d’Etat dans sa proposition n°3, préconisant la soumission des plateformes à un principe de loyauté, et sa proposition n°6, explicitant les obligations des plateformes envers leurs utilisateurs. En outre, les politiques relatives à la vie privée doivent respecter les lois en vigueur dans les pays où sont utilisés les produits ou services proposés.

Plus simplement, les données revêtent une importance considérable. De plus en plus, les régulateurs reconnaissent leur rôle clé dans l’économie d’Internet actuelle, et admettent l’interdépendance très marquée entre données et puissance commerciale. De fait, la nouvelle Commissaire européenne à la Concurrence Margrethe Vestager a fait valoir sans ambiguïté que les régulateurs devaient mieux appréhender ce lien, et que les mégadonnées constituaient « la monnaie d’échange de l’Internet ». 

Sachant cela, il convient de s’intéresser à plusieurs aspects si l’on veut assurer une protection efficace des données personnelles et de la vie privée.

Alain Bensoussan  Compte vérifié
#1977, le 09/12/2014 - 10:26

Créer un contrat électronique simplifié

Actuellement, la complexité du droit des contrats électroniques le rend inaccessible.  Sur cette base, il serait possible pour les acteurs de se différencier plus facilement en mettant en avant les conditions offertes plus avantageuses que les termes standards (SAV, garanties, etc.)

Trans Europe Experts  Compte vérifié
#1670, le 28/11/2014 - 11:15

Consacrer une conception élargie et personnaliste des données à caractère personnel qui permette la singularisation de l'individu.

 

Il convient de repenser la définition des données à caractère personnel afin d’inclure dans le domaine de la protection posée par la loi informatique et libertés les diverses traces que les individus sèment, parfois sans en avoir conscience, adresses IP, données de géolocalisation cookies etc. La définition doit en effet inclure les données non seulement qui permettent d’identifier les personnes, mais aussi celles qui permettent de les singulariser. Il conviendrait également de sacraliser les données à caractère personnel, et suivre en cela les recommandation du Conseil d’Etat pour consacrer une approche personnaliste des données et, partant, un véritable droit fondamental à la protection des données à caractère personnel. Cette approche est celle préconisée par le groupe de travail animé par Trans Europe Experts qui a émis un certain nombre de propositions qu’il serait souhaitable de traduire dans la législation européenne à l’occasion de l’adoption du prochain règlement en matière de protection des données à caractère personnel (Pour voir l’ensemble de ces propositions http://www.transeuropexperts.eu/index.php?part=4&sujet=263). 

 

Tru Do-Khac
#2078, le 12/12/2014 - 10:47

Inviter à introduire l'attribut "droit d'auteur" dans le meta model data adressé par les algorithmes big data

Meta modèle data :
source : connue / probable / incertaine / inconnue
mode d'identification de la source : constat direct / résultat d'un traitement
nature de la source : identité, pseudo, adresse IP, profil,...
droit d'auteur : avéré/ probable / possible / incertain / difficile / improbable
effort d'identification de la source : engagement contractuel / meilleur effort / incertain / néant

...

GESTE  Compte vérifié
#1993, le 09/12/2014 - 18:11

Exploitation des données – Pour un régime de coresponsabilité distributive

Le rôle des fournisseurs de data

Mieux connaître son utilisateur pour adapter son service à la demande constitue aujourd’hui un impératif pour les métiers de l’édition de contenus et de services en ligne. Pour ce faire, la collecte et l’exploitation de données représentent un enjeu majeur : 1°) pour qualifier son audience, identifier de nouvelles cibles et ainsi augmenter ses revenus publicitaires ; 2°) pour fidéliser son audience en adaptant l’offre aux attentes des utilisateurs.
Porté par une demande croissante en données, le marché a vu l’émergence d’acteurs dont le positionnement d’intermédiaires masque parfois un rôle de fournisseurs de data. Ces acteurs mettent à disposition du grand public, mais également des éditeurs de sites, des services et des technologies gratuitement : boutons de partages de réseaux sociaux, raccourcissements d’URL, agrégateurs de fonctionnalités de partage de contenus, fournisseurs de réseaux publicitaires…

De tels acteurs peuvent constituer des partenaires sous-traitants des éditeurs. Ils proposent ainsi des fonctionnalités que les éditeurs peuvent implémenter sur leurs sites dans le cadre d’un travail d’organisation et d’éditorialisation. Ces fonctionnalités servent néanmoins au prestataire à agréger de la donnée et, ainsi, à être en mesure de qualifier l’audience du site concerné. Les conditions d’exploitation de ces données sont définies par l’intermédiaire, le plus souvent sans visibilité, ni possibilité de contrôle de la part de l’éditeur. A titre d’exemple, pour faciliter l’intégration par les éditeurs de boutons de partage sur des réseaux sociaux, certaines sociétés fournissent une barre agrégeant les boutons des principaux sites. En contrepartie de cette fourniture gracieuse, l’outil permet à ces sociétés d’agréger des données utilisateurs qui seront ensuite valorisées.
Un acteur tel que Google met gratuitement à disposition des éditeurs des outils de mesure d’audience, de diffusion de liens sponsorisés ou des lecteurs vidéo. Toutefois, l’affichage de ces diverses technologies donne également lieu au dépôt de technologies de traçage lui permettant de collecter de la donnée afin notamment d’améliorer ses services et d’affiner son offre publicitaire.

Au sein du marché publicitaire, certaines sociétés ont désormais vocation à exercer un rôle d’intermédiaires entre l’éditeur support et les annonceurs. Il en va ainsi des plateformes d’ad exchange et de transaction en temps réel (RTB – Real Time Bidding) qui constituent le plus souvent des options incontournables dans la stratégie de monétisation des espaces publicitaires d’un site. L’éditeur n’est lié contractuellement qu’à la plateforme.
La diffusion de campagnes peut cependant s’accompagner d’une action de collecte de données dont les conditions sont définies par chaque annonceur. A ces acteurs peuvent en outre s’ajouter d’autres intermédiaires tels que les régies pratiquant l’achat pour revente. Le marché de la publicité a évolué grâce à ces intermédiaires. In fine, les annonceurs cherchent désormais à viser une audience agrégée au travers de plusieurs sites supports plutôt qu’à acquérir des espaces publicitaires sur des médias précis. L’achat d’espaces se fait donc souvent « à l’aveugle » : l’éditeur n’a pas de visibilité a priori sur l’identité de l’annonceur, ni sur les conditions techniques de diffusion de la campagne.

Pour une régulation des données sur l’ensemble de la chane de valeur

Les éditeurs en ligne sont naturellement favorables à une régulation de l’exploitation des données à caractère personnel sous réserve cependant d’impliquer l’ensemble de la chaine de valeur. Or l’éditeur est souvent considéré comme le principal responsable des traitements de données réalisés via le site qu’il édite. Dans les différentes hypothèses précitées, plusieurs acteurs participent à l’opération de collecte de données. Dans certains cas, l’éditeur co-détermine avec un prestataire les finalités et conditions d’exploitations des données collectées et des cookies déposés. Le plus souvent, le prestataire agit, sans contrôle préalable de la part de l’éditeur, suivant ses propres buts. Dans ce type d’hypothèse, l’éditeur du site ne saurait être considéré comme le seul responsable du traitement de données ou des cookies déposés.

Dans son récent rapport sur le Numérique et les droits fondamentaux (pp. 157, 163, 182), le Conseil d’Etat a observé cette évolution du marché. Il note que des acteurs tiers mettent à disposition des services dont l’exploitation permet de générer de la donnée. Reconnaissant que plusieurs acteurs interviennent ainsi dans le traitement des données, il préconise l’instauration d’une chaîne de responsabilité pesant sur l’ensemble des acteurs impliqués dans la chaîne, citant notamment le cas de l’éditeur de logiciels. Il préconise également une réglementation des « data brokers ».
Nous nous félicitons de cette prise de conscience du rôle joué par les intermédiaires dans la collecte et le traitement de données. Cette analyse nous semble intéressante et pourrait être approfondie afin de réglementer les obligations d’acteurs tels que les acteurs publicitaires, les prestataires de mesure d’audience, les réseaux sociaux et plus généralement tout intermédiaire collectant des données utilisateurs en contrepartie de la fourniture d’un service gratuit.

Le G29 a d’ores et déjà amorcé une réflexion sur ces sujets. Dès 2010, il a publié un avis 1/2010 clarifiant les notions classiques de « responsable du traitement » et de « sous-traitant ». L’avis observe que plusieurs acteurs peuvent intervenir dans la désignation des finalités et des moyens de contrôle de traitement de données. Le G29 préconise en pareille hypothèse de déterminer précisément le rôle de chacun dans le traitement des données puis de mettre en place un régime de coresponsabilité distributive. Le respect des obligations liées aux traitements de données personnelles est ainsi réparti entre chaque acteur à raison du rôle précédemment évoqué. Dans son avis 2/2010, le G29 étend cette analyse à la régulation des cookies dans le cas de la publicité comportementale. A l’occasion d’un avis 4/2012, cette analyse a été encore étendue à d’autres types d’acteurs concernés par les cookies.
Le projet de règlement européen relatif à la protection des données personnelles pose le principe d’une co-responsabilité entre les acteurs impliqués. Ce principe contraint les parties à prévoir contractuellement la répartition entre les parties des diverses obligations découlant d’un traitement de données.

En pratique cependant, l’utilisation des services mis à disposition par ces nouveaux acteurs est soumise au respect de conditions générales d’utilisation. Les éditeurs ont un très faible pouvoir de négociation face à ces acteurs. C’est pourquoi il est essentiel que le principe d’une coresponsabilité distributive, les critères de détermination du rôle joué par chacun dans une opération de collecte de données, et plus généralement de traitement de données, les conséquences en termes d’obligations à respecter soient inscrits dans la réglementation et non renvoyés à la seule liberté contractuelle qui, en l’espèce, n’en est pas réellement une, compte tenu du déséquilibre du rapport de forces entre les acteurs.

Alain Bensoussan  Compte vérifié
#1979, le 09/12/2014 - 10:28

Encadrer les algorithmes prédictifs et la personnalisation anonyme

Encadrer les algorithmes prédictifs et la personnalisation anonyme en introduisant pas exemple l’obligation de révéler leurs contenus aux intéressés. Les principes de la Loi informatique et libertés sont restés pertinents jusqu’à aujourd’hui malgré l’évolution des supports technologiques mais ils sont insuffisants pour accompagner le mouvement Big dataDans le web. 2.0, l’individu étant créateur des données, on crée en conséquence des droits attachés à sa personne (consentement, accès, rectification, etc.). En revanche, dans le Big. Data, la donnée est recalculée, retraitée de façon non nominative : il n’est plus nécessaire de connaître l’identité des personnes pour définir et déduire leurs profils, leurs préférences, personnaliser les offres et prix, etc. Le projet de règlement européen aborde insuffisamment ces questions. 

Alain Bensoussan  Compte vérifié
#1971, le 09/12/2014 - 10:08

Reconnaître légalement la propriété des données et créer un texte sur le vol de données

Le Conseil d’Etat s’est prononcé contre mais les grands acteurs Californiens commencent déjà à l’appliquer : chez Facebook, le fait de faire signer une licence d’utilisation des données par les utilisateurs revient à considérer qu’ils en sont propriétaires. Or le contrat faisant loi, ces pratiques se diffusent et prennent de facto une portée internationale. La reconnaissance légale de la propriété permettrait de l’encadrer, notamment par la sanction du vol de données, tout en créant une valeur universelle  au bénéfice des utilisateurs. Elle permettrait par ailleurs de créer une économie plus saine en sortant de la situation actuelle où des acteurs peuvent être en possession de données et en jouir sans en être propriétaires.

Contributions Journée de lancement  Compte vérifié
#557, le 13/10/2014 - 14:39

Un ".fr" pour chaque français

Pour retrouver la maîtrise de nos données, pour permettre aux français de maîtriser leur identité numérique, un nom de domaine .fr pour chacun.

Corbeille

Les messages se trouvant dans la corbeille sont des arguments ou des propositions signalés abusifs par les utilisateurs ou le CNNum. Les contenus signalés sont examinés par l'équipe du CNNum afin de déterminer s'ils enfreignent le règlement. En cas de non-respect du règlement, les comptes concernés sont pénalisés et des infractions graves ou répétées peuvent entraîner leur fermeture.

Accéder à la corbeille