:: News

Privacy-by-Design (PbD): Mettre la technologie au service de la vie privée: enjeux, limites et perspectives

Atelier organisé par le programme Sécurité - technologie - société (STS) de la FMSH pour et avec le concours de l’ANR.

Cet atelier a pour objectif d’examiner le principe de « Privacy-by-design » (PbD) qui souligne la nécessité de prendre en compte le respect de la vie privée des personnes dès la conception des TICs et des technologies de sécurité et de surveillance ainsi que la mise en place des services de réseautage. Les données personnelles constituent de loin « la » composante essentielle de la société de l’information, la société de surveillance et l’économie numérique. Elles sont au coeur des systèmes d’identification électronique (e-ID), des réseaux sociaux et des dispositifs de surveillance et de traçage dont la principale caractéristique est d’être de plus en plus intelligents.

Toutefois, leur exploitation intensive génère de sérieux problèmes d’atteinte à la vie privée des individus. Ces problèmes sont amplifiés par l’utilisation massive des informations et données personnelles dans l’espace du web relationnel qui créé non seulement de nouveaux services et opportunités économiques, mais aussi de nouveaux types de risques. Parallèlement à leur mobilisation sur le web, les données personnelles constituent également les ressources stratégiques des activités de sécurité et justice. Stockées et traitées dans de multiples bases de données et échangées entre différentes agences de sécurité, elles constituent les instruments essentiels de la lutte contre le terrorisme et le crime organisé. Traduit en français par l’expression « la prise en compte de la vie privée dès la conception », le PbD est présenté comme un principe que toute technologie exploitant les données personnelles doit intégrer dès sa conception et s’y conformer tout le long de son cycle de vie. Son objectif est de prévenir le risque d’exploitation abusive de ces données en intégrant un dispositif technique de protection dès la conception des solutions et services. Optionnel au départ, il est en train de devenir l’un des piliers techno-juridiques destinés à garantir la protection des données personnelles et la privacy des individus. Sous l’impulsion de la Commissaire de l’Office de la protection des données d’Ontario au Canada, il est propulsé comme un principe obligatoire à intégrer dans toutes les technologies d’Information et de communication (TIC) et les technologies de sécurité comme la vidéosurveillance basées sur la collecte, l’analyse et l’échange des données personnelles. Au niveau de l’Union Européenne, la Commissaire européenne chargée de la justice, le Contrôleur Européen de la Protection des Données (CEPD) et le G29 en appellent de leurs voeux l’intégration de ce principe dans la législation européenne. Il s’agit in fine d’un principe qui concerne toute institution/organisation publique ou privée pour laquelle les données personnelles sont une ressource fonctionnelle et stratégique de premier ordre.

Si les autorités ne manquent pas d’arguments pour justifier l’introduction du PbD dans les solutions technologiques, le sens précis de ce concept, son efficacité, son coût, sa transposition juridique, la méthodologie qui permet de l’intégrer concrètement dans des systèmes technologiques et ses impacts individuels et sociétaux ne sont pas clairement adressés. Il est donc indispensable de les examiner de façon précise afin de pouvoir évaluer l’apport de ce concept à la protection de la vie privée des individus tant sur le plan de l’efficacité que de l’impact social, éthique et juridique dans un contexte où l’explosion et la globalisation des nouvelles technologies a nécessité la révision de la directive européenne 95/46 relative à la protection des données personnelles. En effet, cette révision a abouti à la refonte du cadre européen qui sera dorénavant fondé sur deux actes juridiques : un règlement général sur la protection des données et une directive portant sur la protection des données utilisées dans le cadre des affaires de police et justice pénale. Dans cette nouvelle configuration la Commission européenne prévoit de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du PbD pour tous les produits/services et systèmes exploitant ce type de données. Cet atelier pluridisciplinaire associera des chercheurs de sciences politiques, des juristes, des sociologues, des philosophes, des économistes, des ingénieurs et des spécialistes de l’informatique ainsi que des industriels et des représentants des organismes de protection des données personnelles.

Programme

8h30 : Accueil des participants - café

9h-9h20 : Ouverture de l’atelier : François Murgadella (ANR) et Michel Wieviorka (FMSH)

9h20- 9h30 : Introduction Ayse Ceyhan (MSH/Sciences Po Paris), Jean-Marc Suchier (Morpho) (français/anglais)

9h30-11h15 Table ronde 1 : Des évolutions sociétales à la fabrication d’une norme techno- juridique de privacy (Séance en français/anglais)

Problématique de l’intégration d’un concept subjectif, contextuel et évolutif dans une solution technologique. Différentes approches de la privacy comme et les méthodes pour les inscrire dans des solutions technologiques. Historique de l’élaboration du PbD et de ses principes. Développements canadiens et logiques à l’oeuvre dans la transformation du PbD en une norme de protection de la vie privée. Réforme de la directive Européenne 95/46 et l’élaboration de deux textes régissant la protection des données personnelles. Conformité ou conflit entre la rationalité technologique, les encadrements juridiques et les demandes individuelles et sociétales. Evolutions dans le contexte des systèmes intelligents. Nouvelles problématiques générées dans le cadre d’Ambient Law et articulations entre normativité juridique, normativité sociologique et normativité technologique. PbD une illusion techniciste ou un horizon plausible ?

Modératrice

Dana Diminescu (ENST/MSH)

Intervenants :

• Anne Cammilleri (Sciences Po Rennes/CERIC)
• Adam Molnar (University of Victoria- Canada)
• Mireille Hildebrandt (Vrije Universitat Bruxelles/Erasmus University Pays Bas)
• Ayse Ceyhan (Sciences Po Paris/MSH)
• Sophie Poirot-Delpech ( Paris I) et Gérard Dubey (Telecom Sud Paris)

Discutante

Dana Diminescu (ENST/MSH)

11h15-11h30 : Pause

11h30-13h15 Table ronde 2: Des principes généraux aux modèles opérationnels: R&T et applications (en français/anglais)

Comment développer une méthode de développement technologique prenant en compte les évolutions de la privacy ? Etat de l’art de la R&T: progrès et limites. Quels modèles de design pour ne pas confondre des objectifs aussi différents qu’anonymisation, minimisation, contrôle d’accès, authentification, etc ? Quels modèles pour sécuriser les données personnelles ? Présentation et discussion des modèles/méthodes développés par les entreprises comme Microsoft et IBM. Applications par les réseaux sociaux. Que signifie « une technologie conforme » (compliant) ? Discussion sur l’applicabilité des modèles proposés. Examen des méthodes de normalisation. AFNOR and ISO. Discussion des avantages et des limites d’une approche de type l’ISO 9000.

Modérateur

Laurent Olmedo (CEA)

Intervenants

• Sophie Tacchi (IBM)
• Dijana Petrovska (Telecom Sud Paris)
• Céline Verchère (CEA)
• Sébastien Gambs (IRISA)

Discutante

Claire Lobet Maris (Université de Namur)

Pause déjeuner (13h15-14h15)

14h15-14h45: Keynote speech:
Vidéo présentation d’Ann Cavoukian (Information and Privacy Commissionner d’Ontario)
Intervention de Michelle Chibba Policy Director at IPC

14h45-16h15 Table ronde 3 : Entre marché et régulation : enjeux économiques du PbD (Séance en français/anglais)

Dilemme libre circulation des données personnelles et leur protection. Examen du PbD selon qu’il s’agit des entreprises productrices de technologies et les fournisseurs de services comme la téléphonie et les réseaux sociaux. Faut-il développer une approche différente d’analyse économique de la privacy selon qu’il s’agit des producteurs et des exploitants et fournisseurs ? Application du PbD à la vidéosurveillance. Impacts sur l’innovation et les modèles de business. Comment garantir l’équilibre protection /intérêt / innovation et sécurité ? Quelle sera la valeur économique de la privacy avec l’introduction des PbD ? Analyse économique des différents types de régulation et examen de leurs limites à l’ère du numérique. Question du contrôle et des contrôleurs. Avantages et limites des réponses juridiques comme la certification et la labellisation. Impact sur les méthodes de privacy assessment.

Modérateur

François Murgadella (ANR)

Intervenants :

• Alain Rallet (Paris XI) et Fabrice Rochelandet (Paris XI)
• Philippe Mouttou (Thales)
• Daniel Le Métayer (INRIA)
• Claire Levallois-Barth (ENST)

Discutant

Robert Picard (CGIET Ministère des Finances)

16h15-16h30 : Pause

16h30-18h  Table ronde 4 : Encadrements juridiques et champs d’application du PbD

Présentation des nouvelles problématiques juridiques liées à la refonte de la législation européenne en matière de la protection des données personnelles et l’élaboration de deux actes juridiques (Règlement sur les données personnelles et Directive de protection des données en matière de police et justice pénale). Place du PbD dans ces dispositifs. Position du CEDP. Conflit et/ou complémentarité avec les autres dispositifs concernant les données personnelles (E-privacy, communications électroniques etc). Discussion sur l’application dans les législations nationales. Position de la CNIL et exemples d’application. Discussion sur l’apport du PbD à la protection des données à caractère personnel : renforcement réel de la protection ou illusion de marketing ? Impact sur la protection des catégories vulnérables : enfants, jeunes et personnes âgées.

Modérateur

Jean-Marc Suchier (Morpho)

Intervenants :

• Alexandra Guérin-François (CNIL)
• Laurène Graziani (Aix-Marseille/ CERIC)
• Anne Cammilleri (Sc Po Rennes/CERIC) et Rémy Prouvèze (Univ de Franche Comté/CERIC)
• Nicolas Desrumaux (CERAPS Lille II)

Discutante

Anne Cammilleri (Sciences Po Rennes/CERIC)

18h15 : Conclusion générale : Peter Burgess (PRIO) (en anglais) et Jean-Marc Suchier (Morpho)

18h35 : Clôture : Ayse Ceyhan (MSH/Sciences Po Paris), François Murgadella (ANR), Jean-Marc Suchier (Morpho)

18h40-19h30 : Cocktail de clôture

Organisation

Ayse Ceyhan (MSH/Sciences Po Paris)