GDPR? Y appliquer de l’intelligence – artificielle ou non

Pratique
Par · 21/09/2018

L’un des thèmes choisis par l’association BeCommere, pour la conférence qu’elle organisait cette semaine, était l’intelligence artificielle. IA et GDPR sont-ils compatibles ou antinomiques? Faut-il réguler, imaginer des règles de bonne conduite? Quid des arguments concurrentiels, différenciateurs, d’acteurs locaux, soumis aux dispositions nouvelles édictées par l’Europe face à la concurrence et aux pratiques d’acteurs n’ayant pas les mêmes préoccupations ou “réflexes” éthiques?

Vaste sujet, vaste débat. La table ronde qui avait été organisée a donné lieu à des échanges croisant points de vue purement commerciaux, orientés technique et considérations plus juridiques. Petit aperçu des idées et avis exprimés…

Le GDPR, une bonne ou une mauvaise chose pour la “compétitivité” européenne?

Certes, les dispositions de la Directive européenne sur la Protection des données sont une entrave à l’exploitation – libre ou sauvage, selon l’angle sous lequel on se place – des données mais de là à dire que c’est un frein pour l’innovation ou une balle que l’Europe se tirerait dans le pied, c’est un pas que personne dans le panel n’a franchi.

Au contraire, l’une des réflexions entendues était de dire que, même outre-Atlantique, des voix de plus en plus nombreuses se font entendre pour justifier des mesures qui protègent internautes, citoyens et consommateurs contre les pratiques des Gafa ou acteurs assimilés.

Philippe Van Impe, directeur de DigitYser et animateur de la communauté DataScience, faisait pour sa part remarquer que la puissance commerciale et concurrentielle des grands acteurs américains ne leur vient pas uniquement de l’usage et de l’exploitation qu’ils font de (nos) données personnelles. La question du GDPR n’est donc qu’un aspect d’une réalité concurrentielle plus large. Et, selon lui, l’arrivée de la Directive européenne aura comme effet positif de “forcer les acteurs européens à faire un meilleur travail, pour leurs clients, que leurs homologues américains ou chinois”.

Philippe Van Impe: “Pour obtenir le consentement préalable d’un individu pour pouvoir traiter ses données, il faut avant tout bâtir la confiance avec cette personne. Et cela suppose des équipes respectueuses de l’éthique. Ne prenez pas des raccourcis, veillez à la “propreté” de vos données.”

Le fait d’être éthique portera-t-il néanmoins un coup à la rentabilité des acteurs européens? “Peut-être”, estimait Jan DeCorte, associé du cabinet d’avocats HVG (Holland Van Gijzen) et ex-cofondateur du cabinet Koan Law, “mais n’oublions pas que la vie privée est aussi un “asset”, un cachet ISO 9000. Que le citoyen a effectué une prise de conscience en matière de valeur et d’utilisation des données, d’image des sociétés.”

Réguler ou non?

Anton Delbarre, “chief economist” de Comeos: “Il faut réguler la technologie [et donc les moyens et procédures de traitement et d’exploitation de l’information] mais de manière intelligente. ”Autrement dit, “réguler ce que fait la technologie mais pas la manière dont elle le fait, la manière dont la “boîte noire” fonctionne.” Il fait référence par exemple aux règles internes, à la nature des algorithmes… Là où, selon lui, une régulation est acceptable voire utile, c’est dans le balisage ou le contrôle des usages, et la détermination du type de données que l’on peut utiliser et exploiter.

Nul doute que cet avis ne soit pas partagé par tous, compte tenu du potentiel d’“excavation” que peuvent avoir les outils technologiques, même si on limite le terreau à exploiter à des données considérées comme utilisables.

Faut-il avoir peur des sanctions?

Une société ou un organisme qui ne se conformerait pas aux dispositions de la directive GDPR encourt de solides sanctions – jusqu’à 4% de son chiffre d’affaires mondial. Les sociétés, quelle que soit leur taille, doivent-elles donc craindre la couperet des autorités de régulation nationales?

Réponse du juriste qu’est Jan DeCorte: “Cela ne concerne dans un premier temps que les big boys” – lisez: les Facebook & co. de ce monde, ceux sur lesquels on tapera d’abord sur les doigts. Pour les PME, par contre, un processus de gradation et de sévérité progressive se mettra en oeuvre.

“Peut-être les autorités commenceront-elles par vous poser une question [à propos d’une pratique non conforme] ou demanderont à voir vos registres [de traitements]. Au début, elles se montreront flexibles. Si vous pouvez prouver que vous vous efforcez d’appliquer les contraintes du GDPR, que vous travaillez selon ce que vos moyens vous permettent, vous obtiendrez crédit à leurs yeux.

La véritable sanction, actuellement, se trouve du côté de la perte de réputation aux yeux de vos clients. Les sanctions, pour les petits acteurs, ne viendront sans doute qu’après que les Facebook ou autres aient été punis…”

Et d’ajouter: “les autorités sont bien conscientes et tous autant que nous sommes nous devons nous rendre compte que tout le monde passe actuellement par un processus d’apprentissage de ce que les dispositions du GDPR impliquent réellement en termes de mesures à prendre et de bonnes pratiques, de ce qui constitue réellement un “data breach”. Il s’agit donc surtout de former et d’informer ses propres équipes.”

Jan DeCorte: “Des codes de conduite sont envisageables, par secteur d’activités, mais ils devraient être définis à l’échelon européen.”

Attention toutefois… 

Attention toutefois à ne pas se croire hors d’atteinte. Patrick Van Eecke, associé chez DLA Piper et professeur à la faculté de droit de l’Université d’Anvers (cours de European Information and Communications Law), émettait l’avertissement suivant: “Aujourd’hui, Test Achats a entamé une action collective contre Facebook pour utilisation abusive des données des internautes [suite au scandale de Cambridge Analytics].

Un appel a été lancé, en ce compris via des espaces d’affichage public, pour que les victimes se joignent à cette action. Faites attention à ne pas devenir, d’ici quelque temps, la société qui s’affichera ainsi aux yeux de tous, dans le métro ou ailleurs, et qu’on pointera du doigt…”

Hercule et l’algorithme

Travail d’Hercule ou punition digne de Sisyphe que de devoir passer au crible ses données, fichiers et procédures, à la recherche de tout ce qui n’est pas conforme GDPR? Le thème du jour, à la conférence BeCommerce, étant l’Intelligence Artificielle, le rôle de cette dernière a tout naturellement été invoqué. Pourquoi ne pas charger des algorithmes et des robots virtuels de passer au crible la masse de données et de faire émerger la nature d’information qu’on détient sur des personnes physiques. Cette analyse automatique de données peut alléger la tâche. De même que la mise en oeuvre de processus automatiques pour anonymiser ou “pseudonymiser” les données à caractère personnel.

Même s’il ne faut pas en attendre la solution-miracle. Car, comme le soulignait Philippe Van Impe, “le GDPR est avant tout une question de procédures et de gouvernance de données.”

Petit conseil d’Anton Delbarre: dans le doute, abstenez-vous. Vous ne savez pas trop bien comment tel jeu de données, déniché sur un serveur “oublié”, sur une vieille bécane, dans une quelconque base de données, a été constitué? Est-il l’héritage d’une acquisition ou le fruit d’une collaboration commerciale ou promotionnelle dont on a oublié les conditions? Dans ce cas, gérez ces données comme une archive, ne les utilisez pas dans vos transactions et traitements. Histoire de ne pas risquer une non-conformité.

Bien entendu, cela contrevient à la conviction largement répandue et entrée dans les habitudes – ou préconisée comme telle – qui consiste à utiliser un maximum de données, comme le rappelait Toon Vanagt, directeur de Data.be… Chacun se fera sa religion.