L’intelligence artificielle au service de la conformité RGPD ?

Data Intelligence artificielle RGPD

Avec l’intelligence artificielle, certaines entreprises voudraient pouvoir industrialiser les phases d’identification et de classification des données personnelles. Le but étant de gagner du temps et de l’efficacité en automatisant ce processus.

l’intelligence artificielle

L’intelligence artificielle peut correspondre à une réponse pour certaines entreprises face aux exigences du règlement européen sur la protection des données personnelles. L’analyse faite par l’IA permet de prendre en charge l’étape essentielle d’identification et de classification des données personnelles. Les organisations sont censées avoir mis en place un dossier global réunissant l’ensemble des données soumises au RGPD (données structurées mais aussi celles dans le cloud, les logs et adresses IP).

Faire un inventaire des données sensibles en entreprise grâce à l’intelligence artificielle

L’intelligence artificielle permet de cartographier précisément les données à caractère personnel traitées par l’entreprise telles que des adresses postales ou bien les données sensibles telles qu’un numéro de carte bancaire. Utiliser un traitement manuel peut rapidement montrer ses limites lorsqu’il y a d’énormes quantités de données à traiter. Il est donc nécessaire pour les entreprises dont cela est le cas de passer par une phase d’industrialisation.

Cogito, une solution d’intelligence artificielle est capable de comprendre deux millions de termes. Cette base est amenée à s’enrichir de glossaires spécialisés afin que le moteur de recherche s’approprie les mots spécifiques inhérents à une entreprise, à ses métiers et son secteur d’activité. Cependant, la compréhension des termes ne suffit pas, il est également impératif d’établir les relations qui les lient entre eux en les restituant dans le contexte d’une phrase. L’assimilation du sens d’un texte permet de réduire les ambiguïtés.

Mettre en place des techniques d’anonymisation ou de pseudonymisation

Une fois que les données sensibles ont été identifiées, il est nécessaire d’appliquer une technique de masquage de données. Cela peut passer par l’anonymisation ou bien la pseudonymisation. Ce choix revient à l’entreprise qui peut préférer l’anonymisation si elle stocke ses données dans le cloud ou bien la pseudonymisation si elle souhaite reconstituer ses données ultérieurement. Plus de détails sur l’anonymisation et la pseudonymisation dans le blog du 13/06/2018 « Anonymisation ou pseudonymisation des données ? ».

L’intelligence artificielle peut avoir d’autres usages comme par exemple l’interdiction de saisie de termes prohibés dans les champs texte ou les zones de commentaire des applications d’entreprise de type CRM ou ERP. Ce qui éviterait l’enregistrement d’informations liées à la santé, aux opinions politiques ou religieuses d’un individu qui seraient contraire au règlement.

Il a également été possible de développer un chatbot qui évalue le niveau de maturité d’une organisation sur le sujet du RGPD tout en lui prodiguant des conseils pour progresser sur le chemin de la conformité.

Les États-Unis votent le Cloud Act

Cloud Data Microsoft RGPD Sécurité

Il y a peu, le gouvernement américain a voté le Cloud Act. Une loi visant à combler un vide juridique concernant la réquisition de données dans le cloud. Le texte suscite beaucoup de réactions car il renforce le pouvoir des autorités américaines sur les opérateurs de cloud computing.

 Cloud Act

L’objectif du Cloud Act est d’éclaircir les règles concernant la réquisition des autorités américaines sur les données stockées en dehors de leur territoire. La nouvelle loi pose cependant des difficultés en termes de respect de vie privée, en particulier pour les citoyens européens avec l’arrivée récente du RGPD. Le texte est le résultat d’un désaccord entre la firme de Redmond, Microsoft et les autorités de son pays pour des questions de demande de divulgation de données extraterritoriales. 

L’affaire Microsoft à la base du Cloud Act 

En 2013, dans le cadre d’une enquête sur une affaire criminelle, l’administration américaine a demandé à Microsoft de lui communiquer des données stockées dans ses serveurs. Du fait qu’elles étaient stockées dans un serveur installé en Irlande et non-pas aux Etats-Unis, Microsoft a refusé de divulguer ces données. Cependant, l’administration américaine considère que du fait que la société soit américaine, elle doit lui communiquer les données demandées où qu’elles se trouvent dans le monde. 

L’affaire est remontée en justice qui a donné raison à Microsoft, les autorités américaines ont ensuite fait appel et attendu l’adoption du Cloud Act. Il est donc fort probable que Microsoft communique au gouvernement les données dont ils ont besoin. 

Le Cloud Act permet aux autorités américaines de négocier des accords bilatéraux avec d’autres gouvernements pour échange d’information sans avoir à passer par un juge pour validation. Pour entrer en action, chaque demande doit être liée à une enquête criminelle et doit cibler un élément ou une personne en particulier. De plus, les données récupérées ne pourront pas servir à une autre enquête par la suite. 

Un texte de loi qui fait débat 

Le texte a été adopté en même temps que l’accord sur le budget, un texte long de deux mille pages, le Cloud Act était annexé comme un petit projet de loi d’une trentaine de pages. Les deux n’ont rien en commun, ainsi, le projet de loi du Cloud Act a été voté sans encombre alors qu’il aurait pu susciter maintes critiques et oppositions.  

Le Cloud Act ne fait pas l’unanimité et a suscité de nombreuses réactions. Maintenant voté, les plaintes contre cette loi se font entendre. Notamment de la part des associations American Civil Liberties Union (ACLU) et Electronic Frontier Fondation (EFF) du fait de l’absence de juge dans la procédure entre les exécutifs des deux pays. 

La loi risque donc de créer certains conflits dans les mois à venir au vu des avis partagés qu’elle engendre ainsi que de l’entrée en vigueur du RGPD le 25 mais dernier.

Anonymisation ou pseudonymisation des données ?

Data RGPD

En ce qui concerne la protection des données, il existe deux méthodes à évaluer en vue du RGPD. L’anonymisation qui permet une sécurisation accrue et la pseudonymisation qui offre davantage de souplesse.

anonymisation et pseudonymisation

Avec le RGPD, toutes les entreprises sont confrontées à la sécurisation des données. Le texte de loi préconise certaines techniques pour protéger les données des citoyens européens notamment l’anonymisation et la pseudonymisation.

L’anonymisation est un procédé définitif qui consiste à changer le contenu ou la structure même des données. Toutes les informations qui permettent d’identifier directement ou indirectement des personnes sont supprimées ou modifiées. Cela rend normalement impossible toute réidentification. Sur le papier, l’anonymisation présente un niveau de protection optimal.

Des risques de réidentification par recoupement

Bien qu’Intéressante au départ, cette méthode reste très difficile à mettre en place. En effet, plus le volume de données est important, plus les risques de réidentification par recoupement sont élevés. Des informations totalement anonymisées peuvent amener à l’identification d’une personne en fonction des informations relevées qui permettent de déduire le comportement, comme les habitudes de navigation sur internet ou bien les historiques d’achats en ligne.

Le recoupement de deux collectes peut faire apparaître des données sensibles, ou bien réidentifier des individus dont les données avaient été pourtant anonymisées.

Il est donc conseillé pour les responsables de traitement utilisant des solutions d’anonymisation d’effectuer une veille régulière pour préserver, dans le temps, le caractère anonyme des données produites. Une anonymisation, garantie à un jour donné, n’étant pas nécessairement assurée dans la durée à l’heure du big data et de l’intelligence artificielle.

Une bonne solution d’anonymisation doit reposer sur trois critères : l’individualisation (est-il toujours possible d’isoler un individu ?), la corrélation (est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?) et l’inférence (peut-on déduire de l’information sur un individu ?).

L’alternative de la pseudonymisation

L’anonymisation présente certains désavantages. Cependant, elle peut être substituée par une autre solution appelée la pseudonymisation. Il s’agit d’un processus non définitif qui consiste à remplacer un attribut par un autre au sein d’un enregistrement. La pseudonymisation est une technique privilégiée dans les projets où l’identité d’un individu n’est pas essentielle.

Le RGPD fait à plusieurs reprises allusion à la pseudonymisation. En effet, dans son article 25, le règlement cite explicitement la pseudonymisation parmi les mesures techniques et organisationnelles recommandées pour la protection des données à mettre en place le responsable de traitement. Plus simple à mettre en œuvre que l’anonymisation, la pseudonymisation permet de se conformer aux nouveaux principes de protection dès la conception (privacy by design) et de protection par défaut (privacy by default).

La sécurité physique, indispensable à la conformité au RGPD

perenne-it RGPD Sécurité

Les organisations placent la protection des données en haut de la liste de leurs préoccupations à quelques semaines de la mise œuvre du RGPD. La majorité de ces organisations ne pensent pas suffisamment à la sécurité physique de leurs systèmes d’information. Elles s’exposent donc au risque d’enfreindre le RGPD, et exposent les données de leurs clients et fournisseurs au vol. 

sécurité physique ordinateur

Plusieurs types de données

Pour appliquer une politique de RGPD, il est important d’évaluer quel type de données l’entreprise traite afin d’ajuster le plus efficacement possible les préconisations.  

Il existe donc deux types de données à caractère personnel auxquelles le RGPD s’applique : 

  • Données personnelles : Celles-ci comprennent les données comme les adresses mail ou postales ainsi que les informations permettant de s’identifier en ligne comme les adresses IP. 
  • Données personnelles sensibles : Les données personnelles sensibles concernent les informations à caractère intime comme l’origine ethnique, les opinions politiques, la religion ou encore les données sur la santé. Les entreprises doivent en général justifier l’utilisation de telles données puisqu’il ne s’agit pas de données personnelles « normales ». 

La sécurité physique toujours aussi importante

Il faut également savoir que le RGPD s’applique non seulement sur le traitement de données personnelles en format numérique mais aussi en format physique. Il est donc important de s’attarder sur la question de la sécurisation du matériel physique en entreprise et pourquoi celle-ci est si importante à l’heure du RGPD. 

Après les cyberattaques, la perte physique constitue la plus importante source de violations de données. Tous les jours, c’est plus de 5 millions d’enregistrements de données qui sont perdus ou volés. En sachant cela, plus d’un tiers des entreprises n’ont aucune politique de sécurité physique en place pour protéger les ordinateurs portables, les appareils mobiles etc… 

En prenant connaissance du montant des amendes potentielles prévues par le RGPD, de la mobilité du personnel croissante et de la popularité du partage de bureau, sécuriser les ordinateurs portables et les appareils mobiles semble indispensable au bureau comme ailleurs. Le simple fait de verrouiller un appareil est un moyen simple et efficace e se protéger contre le vol. 

La sécurité physique est encore impliquée dans de nombreuses violations de sécurité, elle est donc indispensable à l’heure actuelle du RGPD et ne doit pas être ignorée. 

La CNIL et Bpifrance en partenariat pour aider les TPE et PME à se conformer au RGPD

Cybersécurité Data perenne-it RGPD

Le RGPD entre en application le 25 mai prochain. C’est pourquoi la CNIL, régulateur des données personnelles et Bpifrance, partenaire des entreprises, ont décidé de collaborer pour créer un guide pratique pour éclairer les entrepreneurs ainsi que leur proposer un accompagnement pragmatique adapté à leur situation pour passer à l’action. 

CNIL RGPD

Le guide pratique CNIL/Bpifrance pour accompagner les TPE et PME vers la conformité au RGPD 

On compte pas loin de 4 millions d’entreprises en France dont la majorité sont des micro-entreprises. Beaucoup de dirigeants se sentent démunis face à cette nouvelle réglementation. La CNIL et Bpifrance ont donc choisi d’unir leurs efforts pour élaborer un guide qui mettrait l’entrepreneur au centre de la mise en œuvre du RGPD et organiser de manière simple les actions à mettre en place pour se conformer au règlement européen. Ce guide permettra également aux entrepreneurs d’organiser davantage les données de l’entreprise et ainsi les valoriser en vue de son développement.  

Les TPE et PME qui utilisent très peu de données dans leur activité auront des changements limités à mettre en place puisque les seuls critères seront le volume et la sensibilité des données traitées. 

Les opportunités qui se dégagent du RGPD

Les aspects juridiques et techniques du RGPD ne doivent pas cacher les nombreuses opportunités que présente cette réglementation. Comme la sécurisation de leur système d’information et leur transformation digitale.  

Une fois les données sécurisées, les entreprises peuvent communiquer sur la sûreté de leur système d’information afin de renforcer la confiance tant avec les fournisseurs que les clients. Le RGPD peut également se traduire comme créateur de valeur en introduisant de nouveaux concepts et en créant des axes de développement.  

La CNIL veut en finir avec l’alarmisme sur le RGPD. Avec ce guide, ils veulent montrer qu’il est possible de se mettre en conformité en adoptant des réflexes simples. Les consommateurs aujourd’hui sont de plus en plus soucieux de leurs données personnelles, c’est pourquoi avoir une relation de confiance avec ses collaborateurs est devenu indispensable. La digitalisation constitue un accélérateur de croissance et de compétitivité essentiel pour les entreprises, y-compris pour les TPE et PME. Bpifrance s’engage à être aux côtés de ces dernier à travers leurs outils de financement et d’accompagnement. Ce guide de sensibilisation au RGPD est une brique supplémentaire pour les inciter à utiliser pleinement le levier du digital. 

Bpifrance dont la mission principale est d’accompagner les entreprises dans leur développement au quotidien, participera activement à la sensibilisation de ses clients TPE et PME au RGPD en diffusant largement le guide en collaboration avec la CNIL ment au travers d’évènements organisés sur l’ensemble du territoire.