Trois tendances en matière de protection de la vie privée que tout DPD doit connaître

Le Data Protection Institute suit autant que possible ce qui se passe dans son domaine de spécialisation. Dans ce billet, nous abordons trois tendances que nous avons remarquées ces derniers temps dans le paysage de la protection de la vie privée, et la manière dont vous devez agir par rapport à celles-ci en tant que DPD.

Reconnaissance faciale

La reconnaissance faciale en tant que telle n’est pas une tendance à proprement parler, mais plutôt le passage progressif à une utilisation généralisée de la reconnaissance faciale pour toutes sortes d’applications grand public. Au niveau européen, on cherche toujours dans l’AI Act à interdire l’utilisation de la reconnaissance faciale dans les espaces publics (pensez aux forces de police), mais pour les consommateurs, ce n’est pas du tout le but recherché. Qu’il s’agisse de s’enregistrer pour l’Eurostar, d’assister à des festivals ou de payer dans des magasins, la reconnaissance faciale vient à vous !

Ce n’est pas forcément une mauvaise chose en soi : la technologie présente des risques mais aussi d’énormes avantages en termes de facilité d’utilisation. En tant que professionnel de la protection de la vie privée, vous pourriez être horrifié à l’idée d’utiliser la reconnaissance faciale quelque part, mais si un consommateur se plaît à utiliser ce système, le choix lui appartient. C’est là que réside également le nœud du problème : il doit s’agir d’un choix transparent et conscient.

Veillez toujours à ce que les applications de reconnaissance faciale soient proposées comme un choix équitable (avec une alternative sans reconnaissance faciale et sans inconvénients) et à ce que les utilisateurs soient bien informés à l’avance. Prévoyez des mesures très strictes pour protéger les modèles de visages (ou leurs dérivés) de l’accès externe, et restreignez autant que possible l’accès interne.

Intelligence artificielle

« C’est une véritable porte ouverte, DPI ! » , nous entendons-vous fulminer derrière votre écran. L’IA est le terme à la mode dans presque tous les secteurs liés à l’économie de la connaissance. Ce que l’on entend toutefois surtout par IA ces temps-ci est le sous-ensemble au sein de l’IA appelé ‘machine learning’ ou ‘apprentissage automatique’, avec comme mot clé ‘apprentissage’. Les modèles qui constituent la base de ChatGPT, par exemple, apprennent à partir d’énormes quantités de données, et de nombreux aspects de ces données sont donc cruciaux pour la réussite de la technologie.

Tenez compte des principes de base dans le cadre de l’IA/l’apprentissage automatique :

• D’où proviennent les données qui ont servi à former l’algorithme ? Ces données ont-elles été traitées de manière licite ? En particulier lorsqu’il s’agit de catégories particulières de données à caractère personnel, il faut presque toujours s’appuyer sur le consentement.
• Les données sont-elles suffisamment diversifiées ou l’origine des données entraîne-t-elle une certaine partialité qui conduit à des résultats moins fiables ?
• Quelle est la fiabilité des résultats ? Comment la qualité de l’algorithme a-t-elle été testée ?
• L’IA est-elle utilisée dans des contextes ayant un impact important sur les individus ? N’oubliez pas non plus de veiller à ce que les résultats soient soumis à une validation humaine. Une simple approbation aveugle de la part d’un collaborateur ne suffit pas à cet égard !

Il y a également des points importants à prendre en compte lors de l’utilisation d’applications d’IA. Par exemple, lorsque vous utilisez une application d’IA existante, vérifiez comment elle traite les données (à caractère personnel) utilisées en entrée. La réutilisation des données d’entrée par l’application elle-même peut présenter des risques (fuites de données).

Menace interne ou Insider Threat

Dans le domaine de la sécurité et de la protection de la vie privée, on se concentre souvent sur les menaces venant de l’extérieur ou sur les ‘erreurs’ commises en interne, comme les pirates informatiques, le phishing, les rançongiciels, les courriers électroniques envoyés accidentellement, etc. Peu à peu, cependant, le principe de la ‘menace interne’ est davantage pris en compte : il s’agit d’une personne interne à l’organisation qui tente délibérément d’accéder à des données (à caractère personnel) de l’organisation pour son propre profit. Des exemples récents viennent de la police, d’hôpitaux ou même d’un hygiéniste dentaire. Quelques aspects à prendre en compte :

• Tous les insiders ne sont pas délibérément malveillants, certains ne sont simplement pas encore suffisamment au courant des règles. Continuez donc à sensibiliser, en utilisant à cet effet des incidents antérieurs comme exemples spécifiques (sans cibler des (anciens) collaborateurs définis à cet égard).
• Ceux qui n’ont pas accès aux données ne peuvent pas non plus les utiliser à mauvais escient : privilégiez un accès aux données à caractère personnel sur la base du principe du ‘besoin de savoir’.
• Prévoyez toujours une journalisation suffisante afin que les incidents puissent être retracés.
• Mettez en place une procédure disciplinaire claire qui est également mise en œuvre, ce qui contribue également à engendrer un changement d’attitude auprès des collaborateurs : « l’organisation se soucie vraiment de la protection de la vie privée » !

***

Vous voulez rester au courant de toutes les tendances dans le monde de la protection des données ? Abonnez-vous à Stay Tuned ou inscrivez-vous à l’une de nos formations.

Abonnez-vous ici à notre lettre d’information pour plus d’informations pertinentes sur la protection de la vie privée directement dans votre boîte aux lettres électronique !

Newsletter

Prénom *

Nom *

Votre adresse e-mail *

Si vous êtes un humain, ne remplissez pas ce champ.

S'inscrire