MARGO

Actualité

Salon Big Data et RGPD : contrainte légale ou atout stratégique ?

Découvrez les lignes directrices de ce nouveau cadre juridique européen

Par Ophélia Fabre Data Scientist chez Margo
28/03/2018

A quelques semaines de l’entrée en application du Règlement Général sur la Protection des Données (RGPD ou GDPR), le salon Big Data organisé à paris les 12 et 13 mars dernier y a consacré plusieurs conférences. Ce nouveau cadre juridique européen, qui entre en application le 25 mai 2018, concerne toutes les entreprises et ce quel que soit le secteur d’activité. Margo vous propose un retour sur les lignes directrices qui se sont démarquées au cours des différentes présentations.

Ce retour s’appuie sur deux conférences majeures :

  • Keynote “GDPR : dernière ligne droite !” par Maître Olivier Iteanu, avocat, chargé d’enseignement, Université Paris XI
  • Table ronde “Protection des données : comment faire d’une obligation légale un atout de la stratégie d’entreprise” avec les interventions de

RGPD : Définition et objectifs

Le RGPD a pour idée principale l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Le RGPD vise ainsi une meilleure protection des données personnelles et une prise de contrôle des citoyens sur ces dernières.

Chaque personne peut consentir (ou non) à laisser une entreprise utiliser ses données personnelles. Il peut s’agir par exemple de cookies ou de logs de connexion sur un site internet marchand.

Un  changement de mentalité est opéré au sein de la notion même de consentement et de sa formulation. Le consentement doit obligatoirement être éclairé : il faut que la personne comprenne clairement ce qu’elle cède et comment les données seront utilisées. Par exemple, lors de la navigation d’un site internet, il n’est maintenant plus suffisant pour le site de présenter un pavé de texte, où les informations importantes sont noyées, avec une petite case à cocher tout en bas pour accepter les conditions de navigation. L’utilisateur doit avoir toutes les informations de façon aussi simple que possible. Le consentement doit également pouvoir être retiré aussi simplement qu’il a été donné.

En France, le RGPD inquiète plus les petites entreprises que les grands groupes

En ce qui concerne les entreprises françaises, peu de changements sont attendus car le RGPD reprend l’essentiel de la loi Informatique et Libertés de 1978. Les entreprises qui étaient déjà conformes selon l’ancien cadre juridique ne doivent donc pas s’attendre à des modifications majeures. Celles qui ne l’étaient pas accusent un retard de 40 ans sur la législation en vigueur. Le RGPD se propose comme une évolution de la loi 1978 et non comme une rupture brutale. Les grosses entreprises se préparent depuis déjà un an au RGPD et ne présentent que peu d’appréhension à l’approche de son entrée en application. Il a néanmoins été précisé d’être prudent en cas de sous-traitance d’une tâche, et de faire en sorte que le sous-traitant soit également respectueux de la loi.

Des inquiétudes ont été soulevées au sujet des PME et TPE, qui n’ont pas les mêmes capacités en terme d’infrastructure, de budget et de personnel que de plus grosses entités. En effet, les textes du RGPD prévoient la nomination d’un délégué à la protection des données pour chaque entreprise, chargé de chapeauter la bonne gestion des données personnelles et le respect de la loi. Ce délégué peut être par exemple un membre du service juridique, informatique ou sécurité. On peut même voir émerger de nouveaux services et métiers, spécialisés en droit et pratiques des données personnelles au sein même des entreprises ou bien le recours à des cabinets de conseil spécialisés en mise en conformité des données personnelles.

Pour les TPE et PME qui ne peuvent allouer la tâche de délégué à la protection des données à l’un de leurs employés, il est tout à fait possible d’externaliser cette fonction à un banquier, à un notaire, à un assureur, à un avocat etc. Néanmoins, les PME et TPE restent, de fait, mal préparées par rapport aux plus grosses entreprises.

Régulation : la CNIL compte privilégier l’accompagnement pédagogique à la sanction

Aucune certification officielle RGPD n’existe à ce jour, il faut donc faire preuve de vigilance. Ne faites pas confiance à une entreprise qui se prétend certifiée ou à un organisme qui délivre une certification RGPD ! A long terme, la CNIL proposera une certification, mais en attendant restez prudents.

L’un des orateurs, a mentionné la mise en place de « façades de légalité », en particulier sous la forme de contenu sur le web, afin que lors d’une inspection superficielle de la CNIL, tout semble a priori conforme à la loi. Ce procédé à l’éthique discutable ne doit être appliqué que lorsque l’entreprise respecte bien le RGPD. En effet les amendes en cas de non-respect sont extrêmement dissuasives et peuvent aller jusqu’à 4 % du chiffre d’affaires mondial. En cas de détection d’une faille de sécurité, l’entreprise devra la notifier à la CNIL dans un délai de 72h.

Cependant, d’après la représentante de la CNIL, Sophie Nerbonne, présente lors de la conférence, la CNIL privilégie non pas la régulation par la sanction (malgré la menace d’une très lourde pénalité financière) mais plutôt l’accompagnement pédagogique et la sensibilisation des entreprises à la protection des données. Par ailleurs, le faible effectif de la CNIL (moins de 200 personnes), ainsi que la complexité de la mise en œuvre d’un suivi systématique et à large échelle, ne permettront pas des contrôles systématiques et exhaustifs de toutes les entreprises.

Une question a été posée au sujet de la possibilité d’actions de groupe menées par des personnes victimes de la même fuite de données personnelles afin d’obtenir réparation. Dans le cadre de la législation française, il est précisé que l’action de groupe peut être initiée par des personnes physiques, représentées par le biais d’une des organisations suivantes :

  • Une association « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel », et régulièrement déclarée depuis au moins cinq ans
  • Une association de défense des consommateurs représentative agréée au niveau national
  • Un syndicat représentatif de salariés ou de fonctionnaires

Les actions de groupes sont principalement redoutées par les très grosses entreprises américaines (GAFAM), qui sont, comme les autres, soumises aux directives de la RGPD dès lors qu’elles utilisent des méthodes de suivi et d’analyse du comportement des consommateurs européens, et qui ont un long et lourd historique d’utilisation abusive des données personnelles.

Le RGPD : un atout pour les entreprises ?

Beaucoup d’entreprises bien préparées en amont au RGPD, se réjouissent ouvertement de l’imminence de sa mise en application. Pourquoi ?

Nous avons entendu plusieurs fois lors de ce salon que nous entrons dans une quatrième révolution industrielle où les données personnelles sont le nouvel or noir. Pour autant, l’écrasante majorité des citoyens ne fait pas confiance aux entreprises et aux sites internet au sujet de la gestion des données personnelles. Le RGPD a pour objectif de restaurer la confiance des citoyens. Et si un usager sait qu’il a un réel contrôle sur ses données personnelles et que l’entreprise avec qui il traite respecte la loi, il sera plus enclin à (1), avoir confiance en l’entreprise et en dire du bien (2), consommer plus de produits de l’entreprise en question et (3), partager ses données personnelles. On voit facilement comment les points (1) et (2) intéressent les entreprises. Le point (3) leur permettra en plus de mener des études statistiques poussées, d’adapter les offres aux consommateurs, et donc les faire dépenser plus. Le RGPD entraîne ainsi une monétisation de la confiance et de la transparence.

Lors des présentations, l’aspect éthique du problème de violation des données personnelles n’a été abordé que de manière superficielle. L’accent a surtout été mis sur les mauvaises retombées économiques du non-respect de la loi, soit en terme de sanction de la CNIL, soit en terme du “désamour” des consommateurs. Le fait que ni la sécurité, ni la confiance absolues n’existent a été souligné, précisant qu’on ne pouvait jamais garantir complètement que les engagements envers le RGPD soient respectés. L’invalidation de l’accord Safe Harbor en 2015 par la Cour de justice de l’Union européenne suite à la collecte abusive de données personnelles par les américains a d’ailleurs été évoquée. De plus, si un gouvernement demande à une entreprise de céder des données personnelles, pour des raisons de sécurité nationale par exemple, l’entreprise coopérera très certainement.

Ensuite, le RGPD impose de connaître et de documenter les données. Une fois cette étape obligatoire effectuée, les données sont prêtes à être utilisées par les data scientists. Les entreprises pensent que ces derniers n’auront donc plus besoin de gaspiller de précieuses heures à nettoyer et organiser les données, mais pourront se focaliser entièrement sur l’extraction de l’information, l’entraînement des modèles et la prédiction. Cet argument semble cependant peu pertinent. Ce n’est pas grâce au RGPD que les data scientists seront mieux employés à faire le travail qu’ils sont censés faire. C’est au sein de tous les projets data, quels qu’ils soient, qu’il faut veiller à bien assigner les tâches entre les différents acteurs tout en maintenant une forte coopération entre IT et métiers .

Par contre, la nécessité de rendre les données personnelles propres et utilisables aura sûrement un impact positif sur des entreprises qui, avant cette obligation du RGPD, ne le faisaient pas et ne pouvaient donc pas exploiter ces données. Ces entreprises seront donc capables de créer de la valeur à partir des données personnelles. Ainsi, par le biais d’une meilleure protection des données personnelles, on peut rendre ces dernières plus mobiles et exploitables, et économiquement intéressantes.

Il a été répété plusieurs fois qu’un des enjeux était de remettre l’humain au cœur de la donnée grâce au RGPD, mais le seul aspect réellement abordé a été le renforcement de la confiance des individus dans les gestionnaires de leurs données personnelles qui peuvent en ressortir de la valeur. Les problèmes éthiques n’ont été évoqués qu’en surface, sans s’interroger sur les craintes et les dérives qu’une traçabilité constante peut entraîner…


Photo by Andrew Childress on Unsplash

Par Ophélia Fabre Data Scientist chez Margo
Big Data
Data
DataScience
RGPD
Actualité

La Data Science appliquée au monde du retail : les 10 use-cases incontournables

La Data Science impacte de plus en plus les business model dans toutes les industries, et notamment dans la vente de détail. Selon IBM, 62% des détaillants déclarent que l'utilisation de techniques relatives au Big Data leur donne un sérieux avantage compétitif. Savoir ce que veut votre client et à quel moment est aujourd’hui à portée de main grâce à la data science. Pour cela il suffit d’avoir les bons outils et les bons processus en place pour les utiliser. Nous présentons dans cet article 10 applications essentielles de la data science au domaine du retail.

18/05/2018 Découvrir 
Actualité

Introduction aux Chatbots avec Dialogflow

DialogFlow est un très bon outil pour apprendre à créer des Chatbots qui pourront ensuite être intégrés dans vos propres sites web ou applications. Dans cet article, je commencerai par introduire quelques notions sur Dialogflow et les Chatbots, puis je vous expliquerai comment créer simplement un Chatbot sur cette plateforme.

07/05/2018 Découvrir 
Actualité

Introduction aux systèmes réactifs

Les systèmes réactifs sont un style d’architecture permettant à de multiples applications individuelles de se fondre en une seule unité, en réagissant à leur environnement, tout en restant conscientes les unes des autres. La première formalisation de ce terme a vu le jour avec la création du « Reactive Manifesto » en 2013 par Jonas Boner qui, en rassemblant certains des esprits les plus brillants dans l’industrie des systèmes distribués, souhaitait clarifier la confusion autour de la réactivité (qui est devenu un « buzz-word ») et construire une base solide pour un style de développement viable.

04/05/2018 Découvrir 
Actualité

Mise en place d'une plateforme centralisée de gestion des logs avec la suite Elastic

Les cas d’usage de la suite elastic sont nombreux. Nous citons à titre d’exemple la correction d’un dysfonctionnement applicatif par la récupération des erreurs explicites (exception, message d’erreur ..etc) et le suivi de la charge d’une application (mémoire consommée, CPU ..etc), ce qui permet d’avoir une vision globale de la production. De même au niveau métier, il est possible d’exploiter la suite pour valider une chaîne de workflow par l’extraction des données spécifiques et leurs analyses.

04/05/2018 Découvrir 
Actualité

Introduction à TensorFlow sur le datalab de Google Cloud Platform

TensorFlow est une librairie logicielle, open source depuis 2015, de calcul numérique développée par Google. Dans ce mini-tutoriel, nous allons vous apprendre comment utiliser datalab sur GCP et écrire votre premier programme en TensorFlow.

04/05/2018 Découvrir 
Actualité

Les horloges de Lamport et le pattern de l’Idempotent Producer (Kafka)

Connaissez-vous les horloges de Lamport ? Devoxx France 2018 était l’occasion, lors du très intéressant talk de DuyHai DOAN, de découvrir ou redécouvrir cet algorithme formalisé par Leslie Lamport en 1978, plus que jamais utilisé aujourd’hui dans le domaine des systèmes distribués, et qui aurait notamment inspiré les développeurs de Kafka dans l’implémentation du pattern de l’Idempotent Producer.

26/04/2018 Découvrir