Compréhension de l’entreprise
Home » IA » Étude de cas » Deuxième scénario : L’IA pour la prédiction et la prévention des infractions pénales » Compréhension de l’entreprise

Description

“La phase initiale de compréhension de l’entreprise se concentre sur la compréhension des objectifs du projet d’un point de vue commercial, en convertissant cette connaissance en une définition du problème d’exploration de données, puis en développant un plan préliminaire conçu pour atteindre les objectifs. Afin de comprendre quelles données doivent être analysées plus tard, et comment, il est vital pour les praticiens de l’exploration de données de comprendre pleinement l’entreprise pour laquelle ils trouvent une solution. La phase de compréhension de l’entreprise comprend plusieurs étapes clés, notamment la détermination des objectifs de l’entreprise, l’évaluation de la situation, la détermination des objectifs de l’exploration de données et la production du plan de projet.”[1]

Dans le contexte de la R&D sur les technologies de prédiction et de prévention de la criminalité menée dans le cadre de H2020, la description générale et la structure des tâches doivent être adaptées en conséquence. Cela peut impliquer que la terminologie et le contenu concret de la tâche doivent être interprétés et modifiés pour répondre aux objectifs particuliers.

Les objectifs généraux susmentionnés impliquent quatre tâches principales :

  1. Déterminer les objectifs du projet. Cela signifie :
    • Découvrir les objectifs principaux ainsi que les questions connexes auxquelles le projet (solution envisagée) voudrait répondre.
    • Déterminer la mesure du succès.
  2. Évaluer la situation
    • Identifier les ressources disponibles pour le projet, tant matérielles que personnelles.
    • Identifier les données disponibles pour atteindre l’objectif principal.
    • Dresser la liste des hypothèses formulées dans le cadre du projet.
    • Dresser la liste des risques du projet, énumérer les solutions potentielles à ces risques, créer un glossaire des termes relatifs au projet et au traitement des données, et réaliser une analyse coûts-avantages du projet.
  3. Déterminer les objectifs du traitement des données : décider du niveau de précision prédictive attendu pour considérer le projet comme réussi.
  4. Produire un plan de projet : Décrire le plan prévu pour atteindre les objectifs de traitement des données, y compris les étapes spécifiques et le calendrier proposé. Fournir une évaluation des risques potentiels et une évaluation initiale des outils et techniques nécessaires pour soutenir le projet.

Principales mesures à prendre

Définir les objectifs du projet

Pour notre scénario, les objectifs généraux sont définis par l’appel respectif. Les projets mentionnés ci-dessus se rapportent à l’appel SEC-12-FCT-2016-2017 : Technologies pour la prévention, l’investigation et l’atténuation dans le cadre de la lutte contre le crime et le terrorisme.[2] Le défi spécifique est décrit comme suit : “Les organisations criminelles et terroristes sont souvent à la pointe de l’innovation technologique pour planifier, exécuter et dissimuler leurs activités criminelles et les revenus qui en découlent. Les organismes chargés de l’application de la loi (LEA) sont souvent à la traîne lorsqu’ils s’attaquent à des activités criminelles soutenues par des technologies “avancées” “.

Le champ d’application de cet appel comprend :

  • De nouvelles connaissances et des technologies ciblées pour lutter contre les formes anciennes et nouvelles de criminalité et les comportements terroristes, soutenues par des technologies avancées ;
  • Le test et la démonstration de la nouvelle technologie développée par les LEA impliqués dans les propositions ;
  • Les programmes d’études innovants,la formation et les exercices (conjoints) à utiliser pour faciliter l’adoption de ces nouvelles technologies dans toute l’UE, en particulier dans les domaines des sous-thèmes suivants :

1. cybercriminalité : monnaies virtuelles/crypto désanonymisation/traçage/altération lorsqu’elles soutiennent des marchés souterrains dans le darknet.

2. détection et neutralisation des drones légers/UAV malveillants survolant des zones restreintes, et impliquant comme bénéficiaires, le cas échéant, les opérateurs d’infrastructures.

3.analyse vidéo dans le contexte de l’enquête juridique

et un quatrième sous-thème ouvert.

Les conditions fixées dans le présent appel laissent une certaine marge de manœuvre, bien que limitée, pour la conception du projet. Les candidats sont libres de choisir le type de technologies ; cependant, les stratégies de solutions non techniques semblent ne pas être éligibles au financement. Même si l’éventail des technologies reste ouvert, l’appel exige clairement des solutions techniques, excluant ainsi les approches visant à résoudre les problèmes de sécurité spécifiques abordés sans l’implication de technologies potentiellement très intrusives. Le terme “technologies avancées” suggère au moins une enquête sur le développement et l’utilisation de technologies d’intelligence artificielle et d’apprentissage automatique. Le choix est également limité en ce qui concerne l’objectif, par exemple les formes de criminalité ou les comportements terroristes visés par le projet. Il est donc essentiel d’impliquer les utilisateurs finaux, c’est-à-dire les LEA (services répressifs), dès la phase de décision sur les objectifs et les moyens de les atteindre.

La sélection de technologies spécifiques ou, dans un contexte plus général, de méthodes spécifiques, influe également sur l’éventail des questions d’éthique ou de conformité juridique que pose le projet. Dans le cas de la recherche sur la sécurité, les technologies spécifiquement sélectionnées, dans notre cas des approches particulières d’IA ou d’apprentissage automatique, peuvent, outre les questions d’éthique habituelles comme le traitement des données à caractère personnel, soulever des problèmes d’éthique liés au double usage, à la concentration exclusive de la recherche sur des applications civiles ou à l’utilisation abusive, ce qui nécessite d’examiner les réglementations particulières correspondantes.

Opter pour des solutions techniques explicables et transparentes

Alors que l’explicabilité et la transparence constituent des exigences génériques pour les outils d’IA, elles forment des exigences obligatoires dans le cas des technologies d’IA appliquées aux humains ou ayant des conséquences pour eux (voir également la section “Licéité, loyautéet transparence” dans les “Principes” de la partie II). Dans le cas de l’IA utilisée pour le profilage ou l’aide à la décision dans un contexte de sécurité, ces principes sont fondamentaux. Les outils d’IA sont susceptibles d’être biaisés ; l’explicabilité et la transparence peuvent aider à détecter et à supprimer les biais des algorithmes créés par ces méthodes. Les technologies soutenant la prévention, la détection et la poursuite des infractions doivent fournir des résultats prouvables et attestables en tant que preuves valables, y compris devant les tribunaux. Des résultats inexacts peuvent avoir de graves conséquences pour les individus, notamment sous la forme de faux positifs ou d’issues fatales dans le cas de faux négatifs. Par conséquent, il peut être nécessaire de mettre en œuvre l’outil d’IA comme un soutien aux décisions prises par les humains, ainsi que des mesures obligatoires accompagnant l’emploi. Ainsi, il faut s’assurer que les responsables ne se contentent pas d’appliquer la suggestion du système à leur propre décision, mais qu’ils comprennent qu’ils doivent justifier leur décision, qu’ils suivent la suggestion ou qu’ils s’opposent à une suggestion du système. Pour permettre aux humains de comprendre la suggestion d’un outil d’IA, ces systèmes doivent être très transparents quant aux facteurs qui influencent le résultat d’un calcul. En fin de compte, l’homme doit assumer la responsabilité d’une décision. La transparence est également essentielle pour garantir une compréhension suffisante du modèle et des données utilisés ainsi que des résultats produits, notamment en cas de plainte ou de besoin de preuve.

Les développeurs d’outils d’IA utilisés dans ce contexte pourraient faciliter la mise en œuvre en programmant des applications de soutien pour l’ensemble du processus de décision, par exemple en prévoyant un champ obligatoire à remplir lorsqu’une décision est prise sur la base d’une suggestion du système avant que le résultat puisse être traité ultérieurement.

Mise en œuvre d’un programme de formation

Dans notre cas, “la formation et les exercices (conjoints) à utiliser pour faciliter l’adoption de ces nouvelles technologies à l’échelle de l’UE” figurent déjà dans la description de l’appel. Ces exercices de formation ne doivent pas se limiter à l’utilisation des technologies développées, mais commencer au tout début des activités de recherche et, en particulier, comprendre toutes les personnes impliquées dans la conception des technologies d’IA (par exemple, les concepteurs d’algorithmes, les développeurs, les programmeurs, les codeurs, les scientifiques des données, les ingénieurs). Cette action est l’un des conseils essentiels à prendre en compte dès les premiers instants d’un projet de prédiction et de prévention de la criminalité. Les concepteurs d’algorithmes, qui occupent le premier maillon de la chaîne algorithmique, sont susceptibles de ne pas être conscients des implications éthiques et juridiques de leurs actions. L’un des principaux problèmes des outils d’IA consacrés à la lutte contre la criminalité et le terrorisme est qu’ils utilisent souvent des données personnelles incluses dans de grands ensembles de données, comprenant de grandes fractions de citoyens, par exemple les utilisateurs de réseaux sociaux spécifiques. Alors que l’analyse de données de surveillance de masse par des outils d’IA peut être autorisée par des juridictions nationales spécifiques ou des transpositions de la directive relative à l’application de la loi sur la protection des données (directive 2016/680), elle reste très problématique pour plusieurs raisons. Premièrement, la conformité juridique peut être une condition nécessaire à la conformité aux principes éthiques, mais ne peut jamais être considérée comme une condition suffisante. Un document d’information fourni par la commission européenne sur “l’éthique et la protection des données”[3] indique clairement que “le fait que certaines données soient accessibles au public ne signifie pas qu’il n’y a pas de limites à leur utilisation” (voir encadré 4, page 13). Deuxièmement, la conformité avec la législation nationale ou européenne n’implique pas nécessairement la conformité juridique avec les droits fondamentaux. La directive sur la conservation des données[4] est un exemple connexe important, car elle a été annulée par la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 8 avril 2014[5] parce que la Cour a estimé que la directive “comporte une ingérence de grande ampleur et particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, sans que cette ingérence soit limitée au strict nécessaire”. Troisièmement, l’opinion publique et l’acceptabilité par les citoyens doivent être respectées. Des consultations citoyennes à grande échelle sur les technologies de surveillance ont révélé que les citoyens acceptent en général les intrusions sérieuses dans leur vie privée si elles sont fondées sur des soupçons concrets et plausibles, mais rejettent les mesures de surveillance de masse non ciblées.[6] L’application de l’extraction de données pour détecter des activités criminelles ou terroristes peut être comparée à la recherche d’une aiguille dans une botte de foin[7] . Cela signifie également que le traitement comprendra des données à caractère personnel de personnes concernées qui ne sont pas actuellement ou n’ont pas été dans le passé impliquées dans des activités criminelles ou terroristes. En fonction du ciblage des données analysées, les données traitées peuvent concerner principalement ou presque exclusivement des personnes innocentes. Ce traitement de données viole la présomption d’innocence, modifie la relation entre les citoyens et l’État et peut avoir de graves conséquences sociétales et individuelles (en cas de faux positifs).

En tant que concepteur d’algorithmes, vous devez donc être capable de comprendre les implications de vos actions, tant pour les individus que pour la société, et être conscient de vos responsabilités en apprenant à faire preuve d’une attention et d’une vigilance constantes. Suivre ces conseils peut vous aider à éviter ou à atténuer de nombreux problèmes éthiques et juridiques. En ce sens, une formation optimale de toutes les personnes impliquées dans le projet, avant même qu’il ne démarre, pourrait être l’un des outils les plus efficaces pour économiser du temps et des ressources en termes de conformité avec la protection des données, l’éthique, le droit européen et national ou l’acceptabilité sociétale. Cela implique également la participation d’experts en éthique et en droit, tant dans les activités de formation que dans l’exécution du projet. Des mesures adéquates pour garantir la confidentialité méritent également une attention particulière (voir “Mesures en faveur de la confidentialité” dans la section “Intégrité et confidentialité” sous “Principes” dans la partie II). La sécurité et la confidentialité des données traitées, d’une part, sont essentielles ; la connaissance générale des types de données exploitées, des personnes concernées ou des algorithmes appliqués, d’autre part, est obligatoire pour garantir le respect des droits de l’Homme et des valeurs européennes. La conformité avec l’État membre le plus restrictif soutient également les objectifs de l’entreprise, en permettant la mise en œuvre et l’utilisation des systèmes développés sans qu’il soit nécessaire de procéder à des ajustements individuels.

Utilisation du cadre juridique applicable au traitement des données

Pour les projets de R&D liés à la sécurité, cette étape est particulièrement complexe et difficile. Pour le projet de recherche en tant que tel, la réglementation RGPD s’applique ; pour les mises en œuvre ultérieures, les règles et les dispositions de la directive d’application de la loi sur la protection des données (directive 2016/680) doivent être suivies. En outre, il convient de tenir compte des éventuelles divergences entre les législations des États (membres) concernés. Par conséquent, les technologies et systèmes développés doivent au moins prévoir une adaptabilité et une flexibilité pour faire face aux différentes réglementations. Du point de vue des droits de l’Homme et de l’éthique, la conformité avec les règles les plus restrictives devrait être incorporée dans les technologies créées, favorisant ainsi un respect maximal des droits fondamentaux et des valeurs connexes, tout en réduisant ou en éliminant, comme nous l’avons déjà mentionné, le besoin de modifications en cas d’application dans des pays où les réglementations sont divergentes.

Selon l’article 5, paragraphe 1, point a), du RGPD, les données à caractère personnel sont “collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités”. Le concept de légitimité n’est pas bien défini dans le RGPD, mais le groupe de travail Article 29 a déclaré que la légitimité implique que les données doivent être traitées “conformément à la loi”, et que la “loi” doit être comprise comme un concept large qui inclut “toutes les formes de droit écrit et de common law, la législation primaire et secondaire, les décrets municipaux, les précédents judiciaires, les principes constitutionnels, les droits fondamentaux, les autres principes juridiques, ainsi que la jurisprudence, telle que cette “loi” serait interprétée et prise en compte par les tribunaux compétents”.[8]

Il s’agit donc d’un concept plus large que la licéité. Elle implique le respect des principales valeurs des réglementations applicables et des grands principes éthiques en jeu. Par exemple, certains outils d’IA concrets nécessiteront l’intervention d’un comité d’éthique. Dans d’autres cas, des directives ou tout autre type de réglementation non contraignante peuvent être applicables. Vous devez veiller à respecter cette exigence en élaborant un plan pour cette étape préliminaire du cycle de vie de l’outil (voir “Légitimité et licéité” dans “Licéité, loyauté et transparence” sous “Principes” dans la partie II). À cette fin, vous devez être particulièrement attentif aux exigences posées par la réglementation applicable au niveau national. Le développement d’algorithmes liés à la prédiction et à la prévention de la criminalité nécessite clairement l’implication des comités d’éthique dès le début et, conformément à l’art. 35 du RGPD, une analyse de l’impact sur la protection des données doit être réalisée. Comme nous l’avons déjà mentionné, l’art. 10 du RGPD exige de vérifier si le traitement est autorisé par le droit de l’Union ou des États membres dans le cas du traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions ou à des mesures de sécurité connexes. Assurez-vous que votre plan de recherche répond bien à toutes ces exigences pour les deux phases, la conduite du projet de recherche et les futures mises en œuvre des systèmes développés.

Le guide d’éthique fourni pour les recherches financées par l’UE (voir note de bas de page 426) constitue un cadre complet pour vérifier la conformité à l’éthique, qui doit être consulté en plus des règlements éthiques ou des codes de conduite institutionnels, que votre recherche reçoive ou non un financement de la CE. Sachez que l’évaluation de l’éthique n’est pas une activité qui se limite à une liste de contrôle, mais qu’elle comprend toujours une pesée des normes potentiellement conflictuelles. En particulier, l’application des TIC émergentes et la prise en compte du respect de la vie privée dès la conception dans un domaine aussi sensible exigent une réflexion prospective de la part des deux parties, les chercheurs concernés et les évaluateurs éthiques.

Même si votre projet ou votre institution de recherche n’est pas soumis à des réglementations éthiques spécifiques, il est essentiel d’observer et de respecter les réglementations nationales ou européennes pertinentes. Dès que vous mettez les technologies et systèmes développés sur le marché, la conformité est essentielle à la fois pour la mise en œuvre au sein de l’UE et pour l’obtention de licences d’exportation pour l’exploitation commerciale en dehors de l’UE.

Adopter une approche de réflexion fondée sur le risque

La création de votre algorithme impliquera probablement l’utilisation de plusieurs catégories particulières de données à caractère personnel, par exemple les opinions politiques, les convictions religieuses ou philosophiques ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique dans le cas de l’exploration de données sur les réseaux sociaux. Par conséquent, vous devez vous assurer que vous mettez en œuvre des mesures appropriées pour minimiser les risques pour les droits, les intérêts et les libertés des personnes concernées (voir “Principe d’intégrité et de confidentialité” dans la partie II section “Principes” des présentes lignes directrices). À cette fin, vous devez évaluer les risques pour les droits et libertés des personnes participant au processus de recherche et de développement et juger de ce qui est approprié pour les protéger. Dans tous les cas, vous devez veiller au respect des exigences en matière de protection des données.

Dans le contexte des technologies de prédiction, de prévention, de détection ou d’investigation de la criminalité, une approche fondée sur le risque rend obligatoire une analyse d’impact sur la protection des données (AIPD), car au moins l’une des trois conditions spécifiques de l’art. 35(3) du RGPD s’applique nécessairement :

3. L’analyse d’impact sur la protection des données visée au paragraphe 1 est notamment requise dans les cas suivants :

(a) une évaluation systématique et extensive d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative de façon similaire ;

(b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10 ; ou

(c) une surveillance systématique d’une zone accessible au public à grande échelle.

L’analyse fondée sur les risques doit également inclure les questions d’éthique potentielles liées aux utilisations abusives[9] des technologies développées et au double usage[10] des restrictions à l’exportation qui peuvent s’appliquer aux systèmes développés.

Il faut également considérer que les risques ne se limitent pas aux impacts des systèmes développés sur la protection des données et la vie privée. Les droits constitutionnels et autres droits de l’Homme tels que la présomption d’innocence, l’égalité d’accès à la justice, la non-discrimination ou la liberté d’expression peuvent également être violés ou altérés. En outre, ces effets ne se limitent pas aux suspects potentiels, mais touchent la société dans son ensemble. Ils sont exacerbés par le manque de transparence et de contrôlabilité humaine de nombreux outils d’IA.

Préparer la documentation du traitement

Quiconque traite des données personnelles (qu’il s’agisse de responsables du traitement ou de sous-traitants) doit documenter ses activités, principalement à l’intention des autorités de contrôle compétentes. Vous devez le faire au moyen de registres du traitementqui sont conservés de manière centralisée par votre organisation pour l’ensemble de ses activités de traitement, et d’une documentation supplémentaire qui se rapporte aux activités individuelles de traitement des données (voir la section Documentation du traitement dans le chapitre Actions et outils). Cette étape préliminaire est le moment idéal pour mettre en place une méthode systématique de collecte de la documentation nécessaire, puisque c’est à ce moment-là que vous pourrez concevoir et planifier l’activité de traitement.

Le développement de votre outil d’IA peut impliquer l’utilisation de différents jeux de données. Les registres doivent assurer la traçabilité du traitement, l’information sur la réutilisation possible des données, et l’utilisation de données appartenant à différents jeux de données dans différentes ou dans les mêmes étapes du cycle de vie.

Pour les systèmes utilisés à des fins répressives, la documentation du traitement doit également comprendre la documentation de l’accès au système une fois celui-ci mis en œuvre, afin de prévenir et de détecter d’éventuelles utilisations abusives, par exemple l’accès non autorisé aux résultats générés.

Comme indiqué dans les Exigences et tests d’acceptation pour l’achat et/ou le développement du logiciel, du matériel et de l’infrastructure employés (sous-section de la section Documentation du traitement), l’évaluation des risques et les décisions prises “doivent être documentées afin de se conformer à l’exigence de protection des données dès la conception (de l’article 25 du RGPD). En pratique, cela peut prendre la forme de :

Exigences deprotection des données spécifiques pour l’achat (par exemple, un appel d’offres) ou le développement de logiciels, de matériel et d’infrastructures,

Tests d’acceptation qui vérifient que les logiciels, les systèmes et l’infrastructure choisis sont adaptés à l’usage prévu et offrent une protection et des garanties adéquates.

Cette documentation doit faire partie intégrante de l’évaluation des risques et des opportunités de développement.

Enfin, vous devez toujours être conscient que, conformément à l’art. 32(1)(d) du RGPD, la protection des données est un processus. Par conséquent, vous devez tester, évaluer et apprécier l’efficacité des mesures techniques et organisationnelles régulièrement. Cette étape est le moment idéal pour construire une stratégie visant à relever ces défis.

Vérification du cadre réglementaire

Le RGPD comprend des règles spécifiques concernant le traitement à des fins de recherche scientifique (voir la section “Protection des données et recherche scientifique” du chapitre “Concepts principaux”).[11] Votre outil d’IA pourrait être classé dans la catégorie de la recherche scientifique, indépendamment du fait qu’il soit créé dans un but lucratif ou non. “Le droit de l’Union ou des États membres peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits sont susceptibles de rendre impossible ou de nuire gravement à la réalisation des finalités spécifiques, et où ces dérogations sont nécessaires à la réalisation de ces finalités” (article 89, paragraphe 2, du RGPD). En outre, selon l’article 5, point b), “le traitement ultérieur des données collectées, conformément à l’article 89, paragraphe 1, ne serait pas considéré comme incompatible avec les finalités initiales (“limitation de la finalité”)”. Certaines autres exceptions particulières au cadre général applicable au traitement à des fins de recherche (telles que la limitation du stockage) devraient également être envisagées”.

Il est possible que vous puissiez bénéficier de ce cadre favorable, en fonction des pays où la recherche est menée et de la forme juridique des partenaires impliqués, par exemple s’il s’agit d’entités universitaires ou commerciales. Néanmoins, vous devez être conscient des réglementations (nationales) concrètes qui s’appliquent à cette recherche (principalement, les garanties à mettre en œuvre). Elles peuvent inclure des exigences spécifiques, en fonction des lois nationales respectives.

Être prudent implique également que vous devez tenir compte des limites juridiques et éthiques de la recherche envisagée. Ce n’est pas parce que des réglementations (nationales) spécifiques autorisent le traitement des données prévu qu’il est également acceptable ou conforme du point de vue de l’éthique. Par analogie, la conformité à l’éthique ne doit pas être utilisée à tort comme une échappatoire[12] aux réglementations.

Définition des politiques de stockage des données

Selon l’article 5, paragraphe 1, point e), du RGPD, les données à caractère personnel doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées”. Cette exigence est double. D’une part, elle concerne l’identification : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire. Par conséquent, vous devez mettre en œuvre des politiques visant à éviter l’identification dès qu’elle n’est pas nécessaire au traitement. Ces politiques impliquent l’adoption de mesures adéquates pour garantir qu’à tout moment, seul le degré minimal d’identification nécessaire à la réalisation des finalités doit être utilisé (voir la sous-section “Aspect temporel” de la section “Principe de limitation du stockage” de la partie II, section “Principes” des présentes lignes directrices).

D’autre part, le stockage des données implique que les données ne peuvent être conservées que pendant une période limitée : le temps strictement nécessaire aux fins pour lesquelles les données sont traitées. Toutefois, le RGPD autorise “le stockage pour des périodes plus longues si la seule finalité est la recherche scientifique” (ce qui pourrait être le cas pour la phase de R&D).

L’exception relative à la recherche scientifique augmente le risque que vous décidiez de conserver les données plus longtemps que ce qui est strictement nécessaire. Vous devez être conscient que même si le RGPD peut autoriser le stockage pour des périodes plus longues, vous devez avoir des raisons justifiables d’opter pour une telle période prolongée. Pour les systèmes développés, vous devez inclure des précautions organisationnelles et techniques pour pouvoir vous conformer aux différentes réglementations légales nationales concernant les périodes maximales de stockage des données. Ce pourrait également être le moment idéal pour envisager des délais pour l’effacement (automatique) de différentes catégories de données et pour documenter ces décisions (voir “Principe de responsabilité” dans la partie II, section “Principes” des présentes lignes directrices).

Nomination d’un délégué à la protection des données

Conformément à l’art. 37(1) du RGPD, vous devez désigner un DPD :

” 1) Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où :

(a) le traitement est effectué par une autorité ou un organe public, à l’exception des tribunaux agissant dans l’exercice de leurs fonctions judiciaires ;

(b) les activités principales du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée et/ou de leurs finalités, requièrent un suivi régulier et systématique des personnes concernées à grande échelle ; ou

(c) les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données conformément à l’article 9 et des données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10.”

 

 

  1. Shearer, Colin, Le modèle CRISP-DM : The New Blueprint for Data Mining, p. 14.
  2. https://ec.europa.eu/research/participants/data/ref/h2020/wp/2016_2017/main/h2020-wp1617-security_en.pdf
  3. https://ec.europa.eu/info/sites/default/files/5._h2020_ethics_and_data_protection_0.pdf
  4. Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, Journal officiel de l’Union européenne <https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32006L0024&from=en>.
  5. https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-data-retention-directive
  6. Strauß, S. (2015). D 6.10-Sommets citoyens sur la vie privée, la sécurité et la surveillance : Rapport de synthèse. <http://surprise-project.eu/wp-content/uploads/2015/02/SurPRISE-D6.10-Synthesis-report.pdf>
  7. Ce qui signifie également que la recherche d’un plus grand nombre de données ne fait qu’augmenter la botte de foin, pas nécessairement le nombre d’aiguilles.
  8. Groupe de travail Article 29 (2013) Avis 03/2013 sur la limitation de la finalité Adopté le 2 avril 2013, WP203. Commission européenne, Bruxelles, p.20. Disponible sur : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
  9. Voir https://ec.europa.eu/research/participants/data/ref/h2020/other/hi/guide_research-misuse_en.pdf
  10. Voir https://ec.europa.eu/research/participants/data/ref/h2020/other/hi/guide_research-dual-use_en.pdf
  11. Ce cadre spécifique comprend également des objectifs de recherche historique ou des objectifs statistiques. Toutefois, la recherche sur les TIC n’est généralement pas liée à ces objectifs. Par conséquent, nous ne les analyserons pas ici.
  12. Wagner, B. (2018). L’éthique comme échappatoire à la réglementation : De l’ethics-washing à l’ethics-shopping ? Dans E. BayamlioĞLu, I. Baraliuc, L. Janssens, & M. Hildebrandt (Eds.), Being Profiled (pp. 84-89) : Amsterdam University Press.

 

Aller au contenu principal