Jeudi 18 novembre 2021, la Chaire Connected Cars and Cyber Security (C3S) en partenariat avec la Chaire Valeurs et Politiques des Informations Personnelles a organisé une conférence sur les véhicules connectés.
Cette Rencontre avait pour objet de présenter le rapport de recherche rédigé par Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP de l’IMT et enseignant-chercheur en droit à Télécom Paris et Jonathan Keller, Ingénieur d'études en droit, Institut Mines-Télécom/Télécom Paris intitulé « Analyse d'Impact relative à la Protection des Données : le cas des voitures connectées ».
Le rapport a ensuite été discuter dans le cadre d'une table ronde.
Les 2h10 de cette Rencontre ont fait l'objet d'un enregistrement vidéo, à présent publié. Nous reportons ci-dessous quelques-uns des propos tenus, ainsi que les repères de temps vous permettant d’accéder facilement aux points abordés et échanges. Le public, accueilli par Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP, était à la fois présente sur le site de Télécom Paris, et connecté à distance.
Au fil des ans, dans le double contexte d’un monde de plus en plus numérisé et du déploiement d’infrastructures pour les véhicules connectés, éventuellement à conduite autonome, les flux de données dans le secteur automobile se sont complexifiés. Les véhicules deviennent de véritables plateformes informationnelles, ce qui soulève des problématiques variées, que l’on songe à l’identification des passagers ou au partage des données personnelles entre les acteurs impliqués, et à la nécessaire régulation qui en découle.
Après quelques mots d’accueil de Claire Levallois-Barth, François Pistre, Président du Comité de pilotage de la Chaire C3S, Renault, a présenté cette dernière (vidéo à 1’20), qui réunit depuis 2017 cinq partenaires.
La Chaire C3S s’est très tôt intéressée à la question des risques, et si au départ elle s’était positionnée sur les véhicules à conduite autonome, elle se concentre à présent sur le véhicule connecté car le véhicule autonome est depuis un peu tombé en désuétude.
Cette approche est donc plus pragmatique. La question du contrôle par l’électronique du véhicule connecté englobe les risques d’attaque du véhicule, et notamment d'attaque des données relatives au conducteur et au passager. C’est pour cela que l’on a créé cet axe 5 en commun avec la Chaire Valeurs et Politiques des Informations Personnelles, intitulé « Confiance et Données Personnelles (aspects juridiques et sociétaux) ».
Romain Galesne-Fontaine, Président du Comité de pilotage de la Chaire VP-IP, IN Groupe, fondée en 2013, a rappelé à son tour l’objectif de cette Chaire (vidéo à 3’30) : tenter de comprendre comment la transformation numérique allait faire évoluer la notion de donnée personnelle.
À cet égard, la Chaire VP-IP a fait œuvre de pionnière ! Dès l’origine, la question de la confiance dans la société numérique, et celle du respect des données personnelles, a été centrale
Le thème de la conférence démontre que les deux Chaires ont des sujets de réflexion communs : étudier les impacts que la société numérique a notamment sur des objets qui deviennent des objets connectés, et qui acquièrent de ce fait une identité numérique ; ces objets gèrent des données, et on va leur confier des données personnelles pour agir en notre nom.
Rida Khatoun, co-porteur de la Chaire C3S avec Guillaume Duc, tous deux Maitres de conférences à Télécom Paris, a ensuite présenté la Chaire C3S et ses actualités (vidéo à 6’10).
Dans le contexte des smart cities se déploie un système de transports intelligents dans lequel les véhicules connectés vont jouer un rôle essentiel, en transférant des informations notamment pour mieux gérer le trafic et surtout réduire le nombre de morts.
La communication des véhicules connectés se fait à différents échelons : entre eux, avec l’infrastructure, ou avec des personnes. Sous l’angle de la cybersécurité, il convient de remarquer que les surfaces d’attaque ont beaucoup évolué et se complexifient (vidéo à 8’40). La cybersécurité s’applique ici à un écosystème global, qui nécessite une grande interopérabilité entre les parties concernées. S’appuyant sur plusieurs exemples, Rida Khatoun montre que les cyberattaques peuvent venir de l’extérieur comme de l’intérieur du véhicule. Citons notamment des cyberattaques sur l’identité (attaques de type Sybil) lorsqu’un véhicule envoie des messages au nom de véhicules qui n’existent en réalité pas sur la portion de route qu’il emprunte entraînant des conséquences graves sur des autoroutes. La Chaire C3S a pour objet de contrer ces attaques.
À son tour, Claire Levallois-Barth a présenté les cinq axes de recherche de la Chaire VP-IP (vidéo à 12’30). Le premier axe porte que les identités numériques, sujet qui fait l’objet d’une grosse actualité, la proposition de révision du règlement (EU) eDIAS ambitionnant de mettre en place un portefeuille numérique dans le smartphone de chaque citoyen européen de sorte que ce dernier dispose d’une identité numérique régalienne et puisse choisir les attributs, données, documents qu’il souhaite transmettre aux prestataires de service.
L’axe 2, intitulé Gestion des données personnelles, est notamment porté par Maryline Laurent et ses travaux de recherches sur les Privacy Enhancing Technologies (PETs).
Il s’agit aussi de travail sur des textes européens en cours de négociation comme la proposition de règlement sur l’intelligence artificielle, la révision de la directive ePrivacy mais aussi le Digital Service Act ou le Digital Data Act, sans oublier le Digital Gouvernance Act. L’axe 3 est surtout un axe économique, avec Patrick Waelbroeck et la question de la Privacy as a business model. L’axe 4 nous amène à travailler sur les questions touchant à l’Internet des Objets, à la smart city ou à la reconnaissance faciale.
Enfin, notre projet de recherche phare pour les trois prochaines années porte sur la confiance.
Un mot que l’on retrouve dans tous les textes européens, dans tous les journaux, dans le langage des hommes politiques mais aussi une notion complexe, que nos travaux de recherche cherchent à cerner et à définir et qui a fait l’objet de publications et de conférences, dont la 21e Rencontre de la Chaire VP-IP du 11 mars 2021.
Nous enclenchons donc la deuxième phase de notre programme de recherche consacrée à la praxis de la confiance : il s’agit ici de voir désormais concrètement, de la pensée de la confiance à ce qui la structure et la démontre à travers des cas pratiques, quels sont les éléments qui la composent et lui font réalité (ou non), À cet égard, nous convoquerons tant les éléments conversationnels de société, dont l'approche pluridisciplinaire qui est la nôtre, que les manifestations supposées de la confiance.
Présentation du rapport de recherche
Les deux auteurs du rapport, Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP de l’IMT et enseignant-chercheur en droit à Télécom Paris et Jonathan Keller, Ingénieur d'études en droit, Institut Mines-Télécom/Télécom Paris, ont ensuite présenté cette étude qui a fait aussi l'objet d'un executive summary (vidéo à 16’00).
Claire Levallois-Barth a tout d’abord rappelé l’obligation juridique de mener une analyse d’impact en amont d’un traitement de données personnelles (article 35 du RGPD, complété par les lignes directrices du Comité européen de la protection des données).
Il s’agit ici de s’interroger sur le fait que le traitement de données est susceptible d’engendrer des risques élevés du point de vue des personnes concernées. Ces risques peuvent découler d’un certain type de traitement, ou d’un certain type de données personnelles dans certaines conditions.
L’Analyse d'Impact relative à la Protection des Données (AIPD) est à la fois 1) un outil pour identifier et atténuer les risques vis-à-vis des droits et des libertés des personnes concernées, et 2) un outil pour démontrer que le responsable de traitement respecte bien le RGPD. Si l’AIPD est un document permettant de fournir cette preuve, pour autant, il n’existe pas de méthodologie type. Certes des critères existent, mais ils sont loin de répondre aux questions opérationnelles.
De plus, persiste une confusion sémantique entre les AIPD et les évaluations d’impact sur la vie privée (EIVP), ce qui pose problème. Il était donc nécessaire d’étudier ces aspects dans un contexte concret.
Partant d’un cas pratique, le service Biomem d’infodivertissement, les auteurs ont examiné les différents textes juridiques applicables : le RGPD, la directive européenne ePrivacy, les lignes directrices du Comité européen de protection des données (vidéo à 24’).
Cet examen permet de déterminer quel acteur est responsable d’un traitement multipartite devant recueillir ou non le consentement de l’utilisateur, ce qui n’est pas toujours une mince affaire, car il existe plusieurs cas et des sous-cas, ainsi que des exceptions (vidéo à 25’).
Quatre méthodologies d’analyse d’impacts (celle développée par la Commission nationale de l’informatique et des libertés, celle développée par D. Le Metayer et S. Joyee De de l’INRIA appelée Privacy Risk Analysis Methodology, celle développée par le National Institute of Standards and Technology étasunien et celle développée par le Bundesamt für Sicherheit in der Informationstechnik allemand) ont été prises en compte et étudiées (vidéo à 25’40).
Leurs principales différences ont été explicitées par Jonathan Keller (vidéo à 27’50), et font l’objet de plusieurs tableaux récapitulatifs dans le rapport.
Le document s’attache d’ailleurs à expliquer les différentes articulations possibles entre ces méthodologies (complétées par les apports de la méthodologie de modélisation des menaces à la vie privée LINDDUN), ouvrant la possibilité d’élaborer une AIPD optimale à partir de ces différentes méthodologies, ce qui fait l’objet d’une recommandation argumentée de la part des auteurs du rapport vidéo à (vidéo à 29’50). Noter que ce travail, et ces propositions, se basent également sur plusieurs entretiens réalisés auprès de praticiens de l’AIPD.
La troisième partie du rapport consiste en une étude de la jurisprudence sur les notions de risque et de dommage (vidéo à 33’20) : qu’est-ce qu’un risque et un dommage au regard de la jurisprudence des cours et des tribunaux ?
Sont étudiés à la fois l’appréciation des risques tel que pris en compte par la Cour de justice de l'Union européenne et par la Cour européenne des droits de l'homme, puis l’appréciation de la violation des données personnelles lors d’actions de groupe présentés devant le juge judiciaire étasunien, britannique et français pour en tirer des tendances sur les fondements susceptibles d’accorder des réparations aux personnes concernées. Là encore, le rapport propose plusieurs tableaux récapitulatifs utiles. Ils sont présentés dans leurs grandes lignes à la minute 40’30 de la vidéo.
Ce rapport de recherche, rapport écrit par deux juristes, peut être peu aisé d’accès au premier abord pour des non spécialistes.
C’est pourquoi il dispose d’un document compagnon conçu par A. Poulain Maubant pour le rendre plus accessible.
Présenté par Claire Levallois-Barth (vidéo à 44’20), il sera disponible sur le site de la Chaire en février 2022.
Table ronde (vidéo à 50')
La deuxième partie de la rencontre a consisté en une table-ronde animée par Florian Damas (responsable des affaires politiques et réglementaires, chargé de l'élaboration des positions de Nokia sur les principales questions réglementaires et de réflexion) et Claire Levallois-Barth.
Elle réunissait (de gauche à droite sur les images) Cidalia Beleza, Déléguée à la protection des données, Renault, Thomas Moreau, Juriste en Protection des données personnelles, CNIL, Antonio Kung, Président et cofondateur de Trialog, et Jonathan Keller, co-auteur du rapport.
Les prises de parole sont lancées avec deux questions très générales : « quels types de risques prenez-vous en compte plus précisément quand vous réalisez un analyse d’impact ? » et « L’AIPD est-elle un outil efficace pour protéger les droits des personnes concernées dans un secteur en plein renouvellement ? »
Antonio Kung adopte une vision générique. Dans l’accompagnement de ses clients, il distingue le risque qui va être commun, et les risques spécifiques. Il convient de catégoriser les risques avec les juristes, et en cela, les méthodologies comme LINDDUN sont appréciables : elles aident à trouver plus facilement les risques en disposant d’une base de données d’information sur des risques existants, qu’il est possible de réutiliser. La CNIL fait beaucoup de choses dans ce sens, d’ailleurs, comme les PIA cadre. Est-ce que c’est un outil efficace ? Eh bien, comme l’ingénieur n’a pas l’habitude de faire d’analyse de risque, il rêve à des choses, il a des objectifs, il développe. À un moment, l’ingénieur doit se poser et l’AIPD va lui apporter l’aide nécessaire à sa réflexion.
Cidalia Beleza s’appuie principalement sur l’outil fourni par la CNIL, à la fois pour les risques de sécurité et pour les risques traitant de l’impact sur la vie privée (vidéo à 53’10). Les risques qui vont être pris en compte sont évalués de manière empirique. Il n’y a pas de méthode unique et précise pour les évaluer. Cela va se faire d’ailleurs de manière collective : les méthodes qui vont être utilisées vont être issues des différentes fonctions concernées, juristes, spécialistes cybersécurité....
On est dans une démarche presque conceptuelle, car le risque est parfois un risque qui n’est même pas effectif. On va rechercher quels seraient les risques encourus, en réfléchissant de manière très poussée sur l‘impact. Les risques qui sont pris en compte sont plutôt les risques sur la vie privée sous le prisme de la sécurité.
L’AIPD n’est pas un outil miracle (vidéo à 55’50). Elle va accompagner, donner des pistes. Mais on se retrouve un peu seul devant sa feuille. On procède alors de manière très empirique. L’avantage de l’AIPD telle que définie par la CNIL est qu’elle permet de bien poser les choses. C’est un outil de conformité, et en cela, il s’avère très utile. Il offre des lignes directrices sur la manière de construire le traitement, et force à se poser les bonnes questions. C’est presque un outil de privacy by design dans la construction des règles de sécurité qui doivent être mis en place.
Quand on arrive à la dernière partie de l’AIPD portant sur l’impact sur les données personnelles et la vie privée, l’AIPD ne donne pas suffisamment d’éléments d’appréciation, qui restent totalement à la discrétion des responsables de traitement, chacun avec leur prisme et leur appétence au risque (d’où l’importance d’une approche multi-métiers). L’outil lui-même permet d’apprécier le risque, mais ce n’est pas suffisant pour qualifier les risques : c’est là que le rapport de recherche de Claire Levallois-Barth et Jonathan Keller, qui met en avant d’autres pays, d’autres jurisprudences, et d’autres méthodologies, apporte une réelle plus-value.
Thomas Moreau complète et rejoint les propos tenus par les intervenants précédents (vidéo à 1h00) : l’AIPD est un processus qui permet, pour le responsable de traitement, de construire et de démontrer sa conformité. C’est un travail collaboratif, itératif, de toutes les forces vives de l’entreprise.
Les critères sont assez clairs : les scenarios sont estimés en termes de gravité et de vraisemblance. Les événements à prendre en compte sont listés : l’accès illégitime, la modification non désirée des données, et la disparition de données. Il faut se demander dans ces trois situations qui peut agir, quelles sont les données concernées, et envisager ce qui peut se passer pour les personnes concernées.
C’est là qu’une réflexion en profondeur doit être menées en profondeur et à plusieurs. Puis il faut mettre en place les mesures correctrices : un panel de mesures techniques et organisationnelles qui sont prévues et connues, ces mesures pouvant permettre de ré-évaluer le traitement, pour in fine voir s’il reste des risques résiduels. (Voir la vidéo à 1h29’35 où Thomas Moreau reprend ces caractéristiques d’une AIPD point par point).
Un premier échange est proposé par Jonathan Keller, qui a été surpris, en menant ce travail de recherche sur l’AIPD, de la place réservée aux risques par le biais de la cybersécurité, alors que le RGPD vise in fine la question des droits et libertés des personnes concernées (vidéo à 1’h02’20). Du reste, ces considérations sur les droits et libertés avaient été poussées par la CNIL au niveau européen ; cependant, on ne les retrouve pas dans la méthodologie CNIL (vidéo à 1h09’20).
Antonio Kung confirme que les techniciens ont cette culture de la sécurité très chevillée au corps, et mettent en avant la « triade CIA » (Confidentialité, Intégrité, Accessibilité) (vidéo à 1h07’50). Mais il faut souligner que ceci est en train d’évoluer progressivement de la cybersécurité vers la protection de la vie privée, et c’est ce qu’il faut retenir :il y a un cycle d’améliorations qui permet de mieux prendre en compte la protection de la vie privée.
Pour Thomas Moreau, l’AIPD, c’est bâtir un traitement de données qui soit respectueux de la vie privée et du RGPD. C’est tout un processus qui permet de bâtir le traitement. Il en faut pas oublier que les AIPD, notamment les AIPD obligatoires, ont été discutées aux niveau européen avec le CEPD. Il y a une nécessité de cohérence entre les différentes autorités européennes de protection des données, la Cnil n’est pas seule en Europe à décider de ce qui est important ou pas, et les autorités sont soumises au contrôle de cohérence.
Si certains acteurs veulent évaluer d’autres risques que ceux qui sont prévus dans l’AIPD, ils peuvent et doivent le faire, car cela relève de leur responsabilité. Pour un secteur particulier, qu’est-ce qui va éviter que le véhicule fasse l’objet d’une prise de contrôle à distance ? Que les données affichées sur un compteur de batterie soient faussées ?
Ce qui amène au sujet des mesures correctrices, et là, chaque secteur est particulier, avec ses règles propres (par exemple la directive police justice qui prend en compte des spécifiés régaliennes et l’AIPD correspondante). Dans le domaine automobile, l’enjeu est quand-même de se positionner vis-à-vis de la personne située dans le véhicule. À la CNIL, le travail se fait en binôme technicien-juriste, et on peut réagir vis-à-vis de l’acteur sur telle ou telle mesure qui n’a pas été mise en place ou qui devrait l’être.
Il est important, notamment pour les délégués à la protection des données, doivent disposer en interne d’un calendrier sur les mesures correctrices : c’est-à-dire s’assurer par exemple que les mesures de sécurité sont bien financées, mises en œuvre, contrôlées, etc. À cet égard, l’AIPD est un outil qui peuvent aider les ingénieurs à obtenir un budget, car l’AIPD permet de mettre en exergue des risques et de mettre en place ces mesures correctrices. Mais pour autant, l’enjeu est aussi économique. Les mesures de sécurité, l’anonymisation des données ont un coût qui rentrent dans le modèle économique.
Cidalia Beleza souligne un très grand intérêt dans l’AIPD de la CNIL, pour l’avoir beaucoup pratiquée dans le monde de la santé auparavant : dans la dernière étape de cette outil, l’impact sur la vie privée aura été anticipé (vidéo à 1h15’10). Quand on va arriver à cette étape, connaissant les différents critères qui sont retenus pour définir le risque d’impact (gravité, vraisemblance) sur la vie privée, tout cela aura été pris en compte dès le départ dans le cadre de la privacy by design, dans la construction du traitement. Cela fait qu’en règle générale, quand on arrive à la fin de l’AIPD, le risque est finalement acceptable. En cela, c’est un bon outil pour construire son traitement de manière conforme et respectueuse de la vie privée.
Cidalia Beleza ayant été Directrice Juridique de la Société IQVIA (la plus importante entreprise de gestion technologique des données dans le domaine de la santé), la question suivante lui est posée : « Est-ce que vous percevez une différence dans l’analyse de risque préalable entre les deux secteurs (ex. données de localisation et données de santé) ? Est-ce qu’il y a un lien ? » (vidéo à 1h17’50)
La donnée de santé est une donnée sensible, de manière générale, ce que n’est pas le cas de la donnée de localisation. Celle-ci est utile, à la fois pour le conducteur et pour les pouvoirs publics. C’est en regardant la donnée de localisation d’une manière « macro », prise avec d’autres données, qu’elle pourrait devenir une donnée sensible. Avoir traité des données de santé permet d’anticiper ces biais, pour éviter d’arriver à ce qu’une donnée de localisation devienne une donnée sensible.
Antonio Kung rappelle que plus on va faire d’AIPD, plus on va trouver des menaces (vidéo à 1h20’30). Il y a donc un intérêt à communiquer, à échanger, à s’enrichir mutuellement. Dans une seconde phase, on va prendre en compte cela, avec le support de la CNIL, et des mesures vont apparaître plus tard, plus ou moins obligatoires. Mais aujourd’hui on ne peut pas tout prédire, on est obligé de vivre avec notre apprentissage du problème.
Concernant les données de géolocalisation, Thomas Moreau rappelle que ce sont des données à manipuler avec des précautions extrêmes, car elles sont particulièrement révélatrices de la vie privée des personnes (domicile, habitudes de vie, lieu de culte fréquenté etc.) (vidéo à 1h21’20). Cela interroge sur le principe, constitutionnel en France, de pouvoir aller et venir anonymement.
Ces données sont aussi particulièrement intrusives, et les citoyens n’en ont pas forcément conscience. Le terminal est finalement une extension de la vie privée des personnes. Une donnée GPS de navigation, quand elle est nécessaire à la fourniture du service, ne nécessite pas de demander le consentement, mais s’il s’agit d’afficher des publicités contextualisées ou ciblées, là le consentement est requis. Comme il faut un consentement spécifique, on ne met pas la donnée de géolocalisation dans des Conditions générales d’utilisation (CGU) ; il faut ici vraiment un consentement spécifique.
Thomas Moreau annonce à ce propos que la CNIL fera dans les mois prochains une synthèse de tous les usages des données de géolocalisation, dans la perspective d’une communication grand public.
Une question est adressée à Antonio Kung : « Voyez-vous une évolution de l’AIPD au vu des propositions des nouvelles législations européennes (entre autres la proposition de règlement sur l’Intelligence Artificielle), et également des travaux de standardisation ? » (vidéo à 1h25’10)
« À long terme, oui ». Et le cas de l’Intelligence Artificielle est un bon exemple, car l’IA va incorporer encore plus d’échanges de données qu’auparavant. Mais combien de temps cela va prendre ? Rappelons que le RGPD aurait pu être adopté plus tôt, et a pris pas mal de retard. Les standards, en revanche, ont l’avantage d’aller un peu plus vite. On anticipe des choses, avec des visions peut être différentes.
Concernant les normes, Antonio Kung explique qu’au niveau des technologies, tout s’enchevêtre à présent, tout devient interconnecté, alors qu’avant tout était en silos : la protection des données, la safety, les jumeaux numériques, les espaces de données, l’IA, tout est totalement transversal (vidéo à 1h27’00). Cela demande une réorganisation de la manière de travailler. Les ingénieurs en sont conscients, à charge aux politiques de la standardisation, de la réglementation, de clarifier cela dans le futur. C’est un passage obligé.
L’IA va générer à ce propos plein de problèmes sur le cycle des données puisque des données utilisées pour l’apprentissage peuvent être biaisées ou altérées. La réglementation IA va être un bon exemple de ces échanges souhaitables et essentiels entre ingénieurs et politiques.
La question est posée à Thomas Moreau (vidéo à 1h29’10) sur le retour d’expérience venant des entreprises et organismes publics qui consultent la CNIL.
Globalement, on sent une frilosité des acteurs à saisir la CNIL sur le fondement de l’article 36 du RGPD lorsque l’AIPD conclue à la présence de risques résiduels élevés. Les sollicitations sont minimes. La CNIL reçoit en revanche des AIPD de qualité en provenance des responsables de traitements régaliens. Ces AIPD ont comme caractéristiques de nombreux traitements interconnectés, de nombreux acteurs sur le terrain, et tout un circuit de flux de données. La CNIL constate aussi que beaucoup d’acteurs soumettent des AIPD pour rechercher l’aval de l’Autorité, même s’il n’y a pas de risques élevés.
Si ce n’est pas dans les missions du service de l’AIPD de répondre à ce type de demandes, on détecte alors, surtout sur des technologies innovantes (par exemple des caméras de vidéoprotection dans l’espace public), des situations où le cadre juridique est flou, ou bien dans lesquelles plusieurs règles de droit ou des régimes juridiques différents peuvent s’appliquer (la directive ePrivacy, la directive police justice…). On détecte qu’il y a un besoin de clarification, ou de positionnement doctrinal ; c’est alors l’occasion d’accompagner les acteurs. On utilise ainsi les dossiers AIPD de façon extrêmement didactique, avec des délibérations de la CNIL qui insistent sur la nécessité de mettre en œuvre des mesures correctives.
S’ensuit un échange avec Jonathan Keller pour comprendre pourquoi les responsables de traitements hésiteraient à communiquer leur AIPD à la Cnil, notamment à les rendre publiques (vidéo à 1h34’20).
Il est vrai que rien n’empêche un acteur de publier un résumé de son AIPD (vidéo à 1h36’40). Cela pourrait être préconisé, mais délicat, dans la mesure où des mesures de sécurité ou des informations confidentielles pourraient être révélées. Il faut être prudent dans la communication grand public de ce type de documents.
Cidalia Beleza rejoint cet avis. Publier une AIPD, c’est parfois publier des données stratégiques de l’entreprise, son patrimoine, voire des informations portant sur la propriété intellectuelle, par exemple par rapport au design de traitement. Mais on peut aussi voir un autre aspect qui explique le nombre réduit de retours : pour avoir travaillé sur de nombreuses AIPD portant sur des données sensibles, dès qu’on a un risque élevé, le responsable de traietment revoit notre copie. Cela peut expliquer aussi pourquoi les AIPD à risque élevé parviennent moins souvent à la CNIL (vidéo à 1h38’40).
Antonio Kung poursuit le débat sur l’équilibre entre transparence et confidentialité des informations qu’on ne veut pas dévoiler pour une raison valable (vidéo à 1h39’35). Ce problème n’est pas bien résolu, mais il est débattu. En standardisation, un sujet d’étude vient d’être lancée les « modèles de protection la privacy », qu’est-ce qu’on a intérêt à dévoiler ou pas. Des recommandations, éventuellement plus tard des guides, sont nécessaires. Il faut structurer tout cela, car le message est important. Transparence pour qui d’ailleurs ? Pour les autorités, et pour le public où on peut aller un peu moins loin. Il faut viser à une volonté de la transparence, c’est le défi des années à venir.
Jonathan Keller rappelle que la plupart de ces informations sont génériques et que cet effort de transparence est déjà présent par l’obligation d’information des personnes sur le traitement tout en soulevant la question du destinataire de cette information.
Thomas Moreau rappelle qu’on parle de traitements de données personnelles qui impliquent de multiples responsables (vidéo à 1h44’00). Tout l’enjeu, essentiel, est de déterminer à l’origine qui sont ces responsables de traitement. Et notamment dans le cas des sous-traitants. Dans l’écosystème du véhicule connecté, on a pléthore d’acteurs, et au centre, on a le constructeur, qui a une place prépondérante car il assemble, il conçoit, il homologue, il assure l’entretien, il a un contact privilégié avec le client.
Antonio Kung complète : on débat beaucoup des espaces de données (vidéo à 1h45’40) comme Gaia X. La donnée à un cycle de vie, elle commence ici, elle part ailleurs. Le défi est porte sur le respect de la finalité de départ assigné au traitement de données tout au long du cycle de vie d’un produit ou d’un service ? C’est un problème, à résoudre à la fois par l’écosystème et par la technologie. La donnée doit être transmise avec la métadonnée qui explique la finalité. Le texte juridique souligne qu’il s’agit ici d’un point important, mais la technologie ne le fait pas encore.
Une nouvelle question est posée : « Comment s’assurer qu’un traitement de données international est conforme au RGPD. Cela passe par l’AIPD, le contrat, l’audit ? » (vidéo à 1h47’00)
Par les trois, considère Cidalia Beleza. La première chose qui entre en compte lors du choix du prestataire est l’audit. Le contrat va ensuite fixer les règles de sécurité et de gouvernance. Dans les transferts hors UE entrent en jeu les clauses contractuelles types, et récemment les Transfer Impact Assessment. Ces derniers permettent de déterminer si, dans les faits, le sous-traitant peut respecter les engagements, les obligations réglementaires de l’entreprise par rapport au RGPD, et éventuellement de revoir la copie pour s’assurer du respect de la conformité par le sous-traitant.
Antonio Kung complète en citant la norme ISO/IEC 27701, standard international, qui liste des exigences pour gérer les risques pour la vie privée que l’AIPD aura identifiés. Cependant, norme d’une portée mondiale, elle ne peut être totalement alignée avec les dispositions imposées par le RGPD. Il existe en ce moment une initiative open source pour voir la correspondance entre cette norme et les législations ou standards dans le monde.
Thomas Moreau complète également en rappelant l’existence de l’outil de Binding Corporate Rules (règles d'entreprise contraignantes) (vidéo à 1h52’20). À titre de réflexion personnelle, il se demande si une chance dans le secteur automobile ne serait pas la nécessité d’homologuer les véhicules. Ne pourrait-on pas imaginer qu’à terme cette homologation concerne aussi la privacy ?
Antonio Kung rebondit sur ces propos (vidéo à 1h53’50) en rappelant l’évocation, lors de la présentation de la Chaire C3S en début de conférence, de la norme ISO 21434 (Véhicules routiers — Ingénierie de la cybersécurité), standard qui va être utilisé pour l’homologation des véhicules, dès 2022 par le Japon, puis en Europe, et dans quatre ans pour tous les véhicules.
Le public interroge à nouveau la question de la confiance : « Avec autant de règlements, comment le citoyen peut-il savoir si le fournisseur respecte la législation ? Comment le citoyen peut-il disposer de preuves concernant un dysfonctionnement, et devant quelle organisation pourrait-il déposer plainte, si nécessaire ? » (vidéo à 1h55’30).
Si la réponse à la deuxième partie de la question n’est pas complètement abordée, l’équilibre entre transparence et confidentialité, expliqué précédemment, est à nouveau cité. Antonio Kung évoque notamment l’importance des audits (qui peuvent être internes mais indépendants, ou bien externes comme pour l’homologation des véhicules), et les « work product », les informations que l’on fournit lors d’un audit. Quelle est la bonne interface ? L’accès aux seules informations confidentielles ou peut-on se contenter d’un niveau plus facile ? C’est un chantier en cours pour les systèmes complexes qui va prendre pas mal d’années. Ce qui correspond également au temps de la confiance, qui est long à s’établir.
Cidalia Beleza confirme que les acteurs font de gros investissements concernant le respect des règles privacy.
Quid de la présence d’acteurs non-européens, avec des valeurs et des principes différents, dans les instances de normalisation ? demande Claire Levallois-Barth (vidéo à 1h59’10)
L’avantage dans des instances de normalisation, répond Antonio Kung, est qu’en ce qui concerne les questions liées à la sécurité, les acteurs se trouvent dans le même bateau et savent travailler ensemble. On devrait être assez intelligent pour faire la même chose avec la question de la vie privée. La logique des « critères communs » va être transposée sous forme de modèles. On procède en définissant des modèles, et ces modèles, on peut les vérifier, pour ensuite vérifier leur implémentation qui est quelque chose de plus binaires.
vidéo à 2h01’10 « L’AIPD cadre constitue-t-elle un outil pour les solutions innovantes, si l’on se projette sur des questions à venir, comme les infrastructures, les smart cities, et la présence d’autres acteurs-clés de type GAFAM qui entrent dans l’environnement du véhicule connecté via leurs applications mobiles ? »
Antonio Kung illustre sa réponse en citant un document CNIL très didactique sur la question des caméras portées par les policiers. En procédant ainsi, on est certain que tous les commissariats vont avoir les mêmes pratiques. Mais ce n’est pas assez complet. Il faut avoir un PIA cadre, puis pouvoir le modifier, l’amender, via la communauté. Le PIA cadre est juste le début, c’est un ensemble de concepts et de recommandations, de très haut niveau, il faut pouvoir l’instancier ensuite. Ce serait intéressant pour le véhicule connecté, au niveau européen. Thomas Moreau complète en citant sur le site de la CNIL un exemple de PIA cadre, pour les objets connectés. Certains champs sont pré remplis, et d’autres peuvent être complétés en fonction des spécificités des traitements envisagés.
Alors, et en guise de question finale, quel est l’avenir de cette dynamique que nous venons de décrire ? Est-ce qu’il va y avoir de nouveaux documents, une évolution des logiciels en ligne permettant de mener une analyse d’impact relatives aux données personnelles ? (vidéo à 2h06’10)
Pas pour l’instant, répond Thomas Moreau, même si le logiciel PIA fait régulièrement l’objet de mises à jour.
Mais, pour se projeter plus loin, chacun reconnaît que la CNIL est une autorité de protection très technique qui, par son travail, bénéficie d’une certaine aura. La France a donc un leadership sur ces questions, et sur les solutions de conformité.
Claire Levallois-Barth, Enseignante-chercheuse en droit à IMT/Télécom Paris, Coordinatrice de la Chaire VP-IP
Télécharger
Le rapport (PDF, 3,85 Mo)
La présentation du rapport (PDF, 1,38 Mo)
La présentation du document compagnon (PDF, 1,09 Mo)
La présentation de la Chaire C3S (PDF, 1,28 Mo)