Henri Verdier : la donnée comme infrastructure essentielle
La Cnil et l'Administrateur général des données, Henri Verdier, ont chacun remis dernièrement un rapport décrivant le caractère essentiel de la production, de l'exploitation et du contrôle des données, dans une économie reposant de plus en plus sur cette matière première. Ils appellent à une mobilisation forte, notamment en matière d'intelligence artificielle.
La reconnaissance de la donnée comme un actif stratégique, déjà actée depuis longtemps dans le secteur privé, est désormais bien intégrée dans la sphère publique. Alors que l'administrateur général des données (AGD), Henri Verdier, vient de remettre son deuxième rapport, intitulé “La donnée comme infrastructure essentielle”, la Commission nationale de l'informatique et des libertés (Cnil) a publié au même moment son rapport d'activité 2017, relevant la préoccupation croissante des citoyens en matière de données.
La donnée comme infrastructure essentielle
Dans ce rapport remis à Mounir Mahjoubi, secrétaire d'État auprès du Premier ministre chargé du Numérique, Henri Verdier prône la création d'une infrastructure de la donnée, devenue aujourd'hui essentielle, au même titre qu'un réseau de transports, d'énergie ou de télécommunications. "2018 marquera probablement une nouvelle étape", décrit-il. "En effet, l'explosion des données disponibles et de la puissance de calcul a donné un second souffle à une discipline scientifique essentielle : l'intelligence artificielle (IA)." En grand promoteur de "l'État plateforme", l'AGD - qui occupe la fonction de “Chief Data Officer” au sein de l'État - s'est fixé pour les deux années à venir une feuille de route en cinq volets. Il entend tout d'abord renforcer le réseau des administrateurs ministériels des données, dont il assure la coordination. L'État doit selon lui devenir l'un des premiers utilisateurs de l'intelligence artificielle, et à ce titre, développer une expertise pour en faire bénéficier l'action publique. Les trois autres axes concernent la mutualisation des infrastructures de données, la circulation des données au sein de la sphère publique, et le soutien à l'écosystème des utilisateurs de données produites par l'administration.
La Cnil face aux enjeux du RGPD
Le "gendarme de la donnée" a publié son rapport annuel d'activité, livrant par la même occasion un aperçu des grands enjeux auxquels il sera confronté pour l'année 2018. Avec un budget annuel de 17 millions d'euros, les missions de la Cnil concernent aussi bien la régulation par le contrôle que la formation et la certification dans le domaine des données. La Cnil a autorisé en 2017 près de 3.000 autorisations de transfert de données hors U.E et a traité 29 demandes de labels "conforme RGPD". Concernant son activité répressive, elle a procédé à 256 contrôles sur place pour 65 contrôles en ligne, donnant lieu à 9 sanctions financières et 5 avertissements contre des sociétés en infraction dont Facebook, Darty et Hertz France.
Mobilisée en vue de l'application du RGPD au 25 mai 2018, la Cnil a proposé de nombreux outils pratiques pour permettre aux professionnels de s'approprier ce nouveau règlement, comme un modèle de registre des données personnelles (qui compte à ce jour 30.000 téléchargements), ou encore un logiciel d'analyse d'impact sur la protection des données.
Le contrôle des données ne fait que commencer
La Cnil constate, pour l'année 2017, une préoccupation croissante des personnes quant à l'utilisation qui est faite de leurs données : elle a reçu 8.360 plaintes (+6% par rapport à 2016) dont 27% concernaient une demande de suppression ou rectification des données personnelles sur un blog ou réseau social, tandis que 25% concernaient le secteur du marketing, et principalement la prospection par courriel, téléphone ou courrier. Cette prise de conscience citoyenne, cumulée aux responsabilités renforcées confiées à la Cnil dans le projet de loi pour la transposition du RGPD en discussion au Parlement, place le gendarme des données dans une situation de forte sollicitation pour les années à venir.
Concernant la conformité aux disposition du RGPD, la Cnil promet un contrôle "pragmatique", c'est-à-dire souple, à partir du 25 mai 2018 : "pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d'accompagner les organismes dans une courbe d'apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes". Ainsi, la mission d'accompagnement de la conduite du changement qu'assume la Cnil se poursuivra après le 25 mai, avec notamment l'élaboration d'outils de mise en conformité et de référentiels (construits à l'échelle européenne des homologues de la Cnil), indiquant notamment la liste des traitements qui seront soumis - ou non - à la réalisation d'une analyse d'impact.
Le règlement devrait se traduire, en France, par la désignation d'un délégué à la protection des données - qui pourra être certifié par la Cnil - dans 80.000 à 100.000 organismes au minimum.
La mission prospective de la Cnil
Face à la montée en puissance des techniques d'exploitation de la donnée, la mission prospective de la Cnil prend tout son sens. Après avoir animé un débat public en 2017 sur les enjeux éthiques des algorithmes, elle a d'ailleurs choisi d'orienter ses travaux, restitués dans des Cahiers Innovation et Prospective, sur des champs bien identifiés de l'industrie de la donnée : l'intelligence artificielle, la conformité de la blockchain au regard des dispositions du RGPD, et enfin le "design de la privacy", une manière alambiquée de désigner et d'étudier l'apport des sciences cognitives et comportementales dans la conception des outils numériques décisionnels.