Recevez chaque jour toute l'actualité du numérique

x

L'Institut Montaigne pointe les imperfections du RGPD

Étude L'Europe est devenue une bonne élève sur la protection des données personnelles grâce à l'avènement du RGPD. Mais pour l'Institut Montaigne, ce texte connaît encore des imperfections qu'il serait nécessaire de corriger pour continuer à être un exemple international. Le think tank pointe notamment le manque de transparence autour de l'IA et l'inadaptation des sanctions prononcées en cas de violation du texte européen. 
Twitter Facebook Linkedin Flipboard Email
×

L'Institut Montaigne pointe les imperfections du RGPD
L'Institut Montaigne pointe les imperfections du RGPD © Pixabay/TheDigitalArtist

"L'objectif de protection des données (…) est dans une balance réglementaire avec l'efficacité ou gains économiques pour les individus et les entreprises, et l'intérêt public", schématise François Godement, rédacteur d'une nouvelle étude commandée et publiée le 12 décembre 2019 par l'Institut Montaigne sur le Règlement général sur la protection des données (RGPD). Ce consultant pour le ministère des Affaires étrangères ne tarit pas d'éloges sur ce texte européen, constitué de "88 pages superbement écrites", et qui a réussi un pari complexe : trouver un "équilibre subtil entre protection des personnes physiques, nécessité commerciale des données et des exemptions de protection".

 

Mais même si l'Europe est un exemple en la matière qui a inspiré de nombreuses législations étrangères – la Californie a ainsi adopté son RGPD, baptisé "California Consumer Privacy Act" (CCPA) – l'Institut Montaigne estime que le RGPD est encore imparfait, pour plusieurs raisons.

 

L'explicabilité des algorithmes comme droit

Dans un premier temps, l'étude regrette que les politiques de confidentialité soient encore peu lisibles pour les utilisateurs. Les rendre "plus lisibles et ergonomiques" permettraient "aux particuliers de reprendre le contrôle de leurs données personnelles", qui est l'un des objectifs principales prôné par le RGPD.

 

Dans la même objectif de transparence, les individus devraient avoir "un droit effectif à obtenir une explication" dans le cadre de l'utilisation d'un algorithme. Ce n'est pas la première fois qu'un rapport plaide pour l'intelligibilité de l'intelligence artificielle. Publié en mars 2018, le rapport Villani en a fait son fer de lance expliquant que la transparence permettait de susciter la confiance des citoyens.

 

Créer des actions ex-post

L'étude s'attaque également aux sanctions prononcées en cas de violation du RGPD. Actuellement, les amendes affligées reposent sur une évaluation ex-ante, c'est-à-dire en aval de la conception d'un programme. Leur montant est proportionnel au chiffre d'affaires de l'entreprise concernée. L'étude recommande de créer des sanctions s'appuyant sur des "actions ex-post", soit après la réalisation du dommage.

 

Ce changement exige "une bascule vers une réelle évaluation des dommages causés" et non pas le recours à des seuils préfixés. Cette approche correspond au modèle américain où une entreprise gérant des données personnelles doit prendre les précautions nécessaires si leur coût est inférieur au dommage résultant d’une violation, pondérée par la probabilité du dommage. L'étude admet que dans la pratique cette équation est plus difficile à appliquer. En effet, le préjudice résultant d'une violation de la vie privée est compliqué à évaluer.

 

Les données de santé, entre innovation et confidentialité

Enfin, François Godement soulève la problématique des données de santé. Elles illustrent parfaitement le cas où le traitement "pour des motifs d'intérêt public" est autorisé sans le consentement de la personne. En effet, le recours aux données de santé est indispensable pour "la recherche médicale avancée, la prévention des maladies et la médecine de terrain". Dans le même temps, il est nécessaire de protéger ces informations qui sont parfois très sensibles. Mais comment trouver ce juste équilibre ? 

 

L'étude regrette que les géants pharmaceutiques aient besoin de se tourner vers les bases de données des GAFAM car les bases des organismes publics ne sont pas encore bien façonnées. La France doit continuer à protéger les données de santé tout en les rendant interopérables. La généralisation du Dossier Médical Partagé (DMP) est "une étape dans cette direction". Le lancement du Health Data Hub début décembre 2019 va également dans ce sens, avec pour objectif de favoriser l'utilisation et de multiplier d'exploitation des données de santé.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media