L’intelligence artificielle n’est pas un raccourci vers la conformité au RGPD

8 janvier 2018

IA et RGPD

Deux acronymes feront les Unes en 2018 : IA et RGPD.

Gartner a qualifié l’IA la technologie la plus perturbatrice des 10 prochaines années et cette technologie continuera certainement à attirer l’attention avec des progrès et de nouvelles applications en 2018.

Le RGPD (Règlement Général sur la Protection des Données à caractère personnel) a été décrit comme une priorité absolue par 92% des dirigeants d’entreprise qui ont répondu à une enquête récente.
Il y a une date limite à l’application de ce texte : le 25 mai 2018 avec des pénalités importantes en cas de non-conformité. Si une organisation ne respecte pas ce délai, elle est passible d’amendes pouvant aller jusqu’ à 4 % de son chiffre d’affaires mondial annuel ou 20 millions d’euros, le montant le plus élevé étant retenu.
Cela soulève la question suivante : l’IA peut-elle aider les organisations à respecter la date limite de conformité du RGPD et à éviter les pénalités ?
Après tout, l’IA consiste à manipuler et à tirer des enseignements d’une grande quantité de données, et le règlement exige que les organisations parcourent leurs bases de données à la recherche d’une foule de renseignements personnels qui relèvent de la compétence du RGPD.

La réponse : L’IA ne sera probablement pas une panacée, car les entreprises commencent déjà à s’attaquer aux dispositions du règlement.
D’une part, l’IA, malgré toutes ses promesses, n’a pas encore atteint le point de basculement d’adoption nécessaire pour en faire un facteur important dans l’application des mesures du RGPD.
« L’investissement total (interne et externe) en IA a atteint entre 26 et 39 milliards de dollars en 2016, l’investissement extérieur ayant triplé depuis 2013 », indique un rapport McKinsey. Malgré ce niveau d’investissement, l’adoption de l’IA en est toutefois à ses débuts, puisque seulement 20 % des répondants à notre enquête utilisent une ou plusieurs technologies d’IA dans une partie essentielle de leur entreprise, et que seulement la moitié d’entre eux en utilisent trois ou plus.

D’autre part, on peut se demander dans quelle mesure l’IA peut s’attaquer aux exigences du RGPD, dont la plupart ne se prêtent tout simplement pas bien à l’automatisation.
Le texte vise à donner aux citoyens de l’UE un plus grand contrôle sur leurs données à caractère personnel et à responsabiliser les entreprises sur des questions telles que le consentement à l’utilisation des données, l’anonymisation des données, la notification des violations, le transfert transfrontalier de données et la nomination de délégués à la protection des données.
Par exemple, les organisations devront respecter le ” droit à l’oubli ” des individus, le cas échéant en répondant aux demandes de suppression d’information et en fournissant la preuve que cela a été fait. Ils doivent également obtenir la permission explicite, plutôt qu’implicite, de recueillir des données. Et elles sont tenues de permettre aux gens de voir leurs propres données dans un format facilement lisible.

Le RGPD couvre toute information qui peut être utilisée pour identifier directement ou indirectement une personne – comme des noms, des photos, des adresses de courriel, des détails financiers, des messages sur des réseaux sociaux, des renseignements médicaux ou une adresse IP d’ordinateur – peu importe le moment où elle a été recueillie.
En fait, la question se pose de savoir si l’UE va aligner l’IA elle-même dans son viseur car le RGPD affirme que les citoyens européens ont le droit d’obtenir une explication dès lors qu’une décision automatisée est prise à leur sujet. Les complications peuvent donc être sans fin.

Le système résoudra sans aucun doute ces problèmes, mais d’ici là, les entreprises devront se retrousser les manches et adopter une approche rigoureuse et systématique pour se préparer à la date butoir du 25 mai plutôt que de considérer l’IA comme une solution ultime.
Cette stratégie en plusieurs étapes devra inclure les sujets suivants :
Données : Un plan complet pour documenter et catégoriser les données personnelles d’une organisation, d’où elles proviennent et avec qui elles sont partagées.
Avis de confidentialité : Un examen des avis relatifs à la protection de la vie privée afin de s’aligner sur les nouvelles exigences du RGPD.
Droits individuels : Les individus ont des droits renforcés, comme le droit d’être oubliés, et de nouveaux droits, comme la transférabilité des données. Cela exige un contrôle des procédures, des processus et des formats de données pour s’assurer que les nouveaux termes peuvent être respectés.
Base juridique pour le traitement des données personnelles : Les entreprises devront documenter la base juridique du traitement des données à caractère personnel dans les avis de confidentialité et autres.
Consentement : Les entreprises devront examiner la façon dont elles obtiennent et consignent le consentement car elles seront tenues de le documenter. Le consentement doit être une indication positive, il ne peut être implicite.
Les enfants :  Il y aura de nouvelles garanties pour les données relatives aux enfants. Les entreprises devront mettre en place des systèmes pour vérifier l’âge des individus et obtenir le consentement des parents ou des tuteurs pour les activités de traitement des données.
Violation des données :  Les nouvelles règles de notification des infractions et les nouvelles amendes toucheront de nombreuses organisations, ce qui rendra indispensable la compréhension de la façon de détecter, de signaler et d’enquêter sur les infractions aux données personnelles.
Privacy by design : Une approche axée sur la protection de la vie privée by design et la minimisation des données deviendra une exigence juridique expresse. Il est important que les organisations planifient la façon de respecter les nouvelles conditions.
Délégués à la protection des données : Les organisations peuvent avoir besoin de désigner un responsable de la protection des données et de déterminer qui sera responsable de la conformité et comment elles vont positionner le rôle.

Il y a de nombreuses questions dont les organisations doivent tenir compte lorsqu’elles s’assurent de la conformité à la norme RGPD. Mais pour l’instant, seul un humain peut faire le gros du travail requis par ce processus.

Cert article est la transcription d’une intervention pour Venture Beat de David Fowler, Head of Privacy and Digital Compliance chez Act-On Software, un acteur du marketing automation.

Altares Dun & Bradstreet

Altares Dun & Bradstreet

Expert de l’information sur les entreprises, Altares collecte, structure, analyse et enrichit les données BtoB afin de les rendre « intelligentes » et faciliter la prise de décision pour les directions générales et opérationnelles des entreprises. Le groupe propose son expertise sur toute la chaine de valeur de la data. Partenaire exclusif en France, au Benelux et au Maghreb de Dun & Bradstreet, 1er réseau international d’informations BtoB, Altares se positionne comme le partenaire de référence des grands comptes, ETI, PME et organisations publiques, en leur offrant un accès privilégié à ses bases de données sur 500 millions d’entreprises dans 220 pays.

Dans cet article

Bienvenue sur notre espace d’aide en ligne, veuillez choisir une des options ci-dessous.

Prenez rendez-vous avec un expert