Jean-François Forgeron et Benjamin-Victor Labyod évoquent, pour IT Expert Magazine, les « Données sombres », sur fond de transition digitale intelligente.
Les « Dark data » ou « données sombres » sont, selon la définition qu’en donne Gartner, les données qui constituent la base de la valeur informationnelle d’une organisation, collectées, traitées et stockées dans le cadre de ses activités commerciales régulières, mais qui, de manière générale, ne sont pas exploitées pour d’autres finalités (analyses, commerce ou monétisation directe).
Comme l’expliquent Jean-François Forgeron, directeur du pôle Informatique & Droit et Benjamin-Victor Labyod, du cabinet Lexing Alain Bensoussan Avocats, dans l’article qu’ils publient dans IT Expert Magazine, en prenant en compte, par extension, les masses de données auxquelles les entreprises peuvent avoir accès (Big Data), dont l’analyse est facilitée par une intelligence artificielle de plus en plus forte (algorithmes, « Deep learning » et « Machine learning »), l’analyse de ces données ou « Dark analytics » se situe au croisement entre Dark data, Big data et IA et constitue un enjeu majeur de la transition digitale intelligente.
Une chose est sûre : l’introduction de Dark analytics consistant à faire parler les « Dark data », constitue un enjeu d’autant plus important et stratégique que leur collecte, stockage et sécurisation entraînent généralement plus de monopolisation de ressources, de temps, donc de frais, que de valeur.
Un challenge pour le DSI
C’est d’abord un challenge pour le DSI : l’évolution de son rôle a vocation à le placer au cœur de projets visant à permettre l’exploitation de ces données de façon pertinente et valorisante pour l’entreprise, selon le concept de SI Data Centric, véritable challenge consistant à répondre à quatre questions principales :
- quels objectifs ?
- quelles données ?
- quels risques ?
- quels outils et compétences ?
Gestion des risques: les données ne doivent pas rester sombres
C’est un des autres enjeux majeurs : la conduite d’un projet d’analyse des « données sombres » par le DSI fait reposer des risques très significatifs quant à sa propre responsabilité et quant à celle de l’organisation concernée.
Selon Jean-François Forgeron et Benjamin-Victor Labyod, afin de s’assurer du respect de la légalité et de la réglementation en vigueur, une bonne gestion des risques doit être mise en œuvre, qui repose en amont sur la cartographie des données. Il convient de s’assurer que cette cartographie est exhaustive, évolutive et mise à jour constamment, afin que les données ne restent pas des « données sombres » dans un premier temps, afin d’y appliquer une matrice de qualification juridique dans un second temps.
Traitements de données à caractère personnel et protection par conception
On le sait, l’ensemble des traitements de données à caractère personnel doivent être identifiés en vue du respect de la loi Informatique et libertés et du Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD »), adopté le 27 avril 2016, marquant un tournant majeur dans la régulation et applicable dans les Etats membres de l’Union européenne le 25 mai 2018.
Ce règlement impose le respect du principe de protection par conception (« Privacy by Design ») consistant à concevoir des produits et des services en prenant en compte – dès leur conception – les aspects liés à la protection de la vie privée et des données à caractère personnel, tout au long du cycle de vie du produit ou service concerné et de pouvoir rapporter la preuve de sa mise en œuvre auprès des autorités de contrôle (Cnil).
Comme l’expliquent les auteurs de l’article publié dans IT Expert Magazine, Il convient de veiller à ce que l’ensemble des intervenants appliquent les mesures et procédures techniques et organisationnelles appropriées, afin de garantir la conformité des traitements à la réglementation applicable en matière de protection des données personnelles, ainsi que la protection des droits des personnes concernées.
Ces mesures et procédures doivent être intégrées concrètement dans les projets au moyen d’outils de management du risque juridique et d’une organisation adaptée, en concertation avec la direction juridique et le Data Protection Officer (DPO) de l’organisation, chargé de veiller à la bonne application des règles relatives à la collecte et au traitement des données.
Risque élevé et analyse d’impact
Enfin, le traitement de données en masse inhérent à un tel projet, est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques.
Dans ce cadre, le principe d’« Accountability » impose de surcroît la réalisation d’une étude ou analyse d’impact, préalablement à la mise en œuvre des traitements concernés, de sorte à pouvoir être communiquée à la Cnil, à sa demande et à rapporter la preuve de la mise en place des mesures de protection appropriées.
Les organisations concernées doivent dès à présent repenser leur politique de conformité Informatique et libertés, sous peine de se voir exposées à des risques d’atteinte à leur réputation et à de très lourdes condamnations financières avant le 25 mai 2018. Il s’agit d’un enjeu crucial au regard des sanctions encourues (de 2 à 4% du chiffre d’affaires mondial) d’une part, en termes de compétitivité d’autre part.
On le voit, d’un point de vue juridique, plusieurs principes fondamentaux et outils doivent guider la mise en œuvre d’un projet orienté Dark Analytics pour une gestion des risques efficiente.
Jean-François Forgeron et Benjamin-Victor Labyod pour IT Expert Magazine, « Relever le challenge des Dark Analytics », 4 juillet 2017
Eric Bonnet
Directeur du Département Communication juridique