LE RGPD EST-IL L’ENNEMI DU BIG DATA ? Cédric CARTAU SYNERGIH – oct 2018

RGPD, IA et Big Data : l’équation impossible Position du médiatique Dr Laurent Alexandre L’express, 24 janvier 2018 Argument 1 : l’IA corrélée au Big Data ne sait pas ce qu’elle cherche avant de le trouver, incompatibilité avec le RGPD qui impose de définir la finalité Argument 2 : cette réglementation fait fuir les entreprises, les GAFA sont tous américains, on nous pille nos données comme on a pillé les gisements de pétrole au début du XXième Analyse contradictoire Monopole des GAFA incomparable Pas de frein réglementaire, juste une question de stratégie industrielle Parallèle avec l’industrie automobile Revenir aux bases du RGPD sécuriser les traitements de données personnelles par une approche centrée sur le risque

L’approche par le risque Le résumé Les mesures de sécurité RGPD en quatre points Le traitement le tryptique habituel L’approche par le risque De la roue de Déming aux 4 modes de traitement du risque Le résumé On ne peut plus faire n’importe quoi avec des données personnelles sans se poser un minimum de questions Les mesures de sécurité Mesures techniques : datacenter sécurisé, sauvegardes, etc. Mesures organisationnelles : séparation des fonctions, traçabilité des accès, etc. Mesures réglementaires : charte utilisateur, contrats de travail, etc.

Le décisionnel, vieux concept Le décisionnel, les domaines phares L’IA, cela n’existe pas Le décisionnel, vieux concept Le décisionnel, les domaines phares Financier RH Décisionnel ou aide à la décision, HIMSS niveau 7 Décisionnel + Big Data <> IA Deep learning : juste une couche logicielle un peu plus basse que les autres

A la frontière des modèles classiques Le décisionnel Les outils tels que SAAS permettent d’aller de données agrégées (camemberts) à la donnée nominative : quels contraintes de traçabilité d’accès ? Que faire des traitements de type analyse des flux de patient pour améliorer la prise en charge ? Que faire des traitements sur l’usage des progiciels par les utilisateurs eux-mêmes (analyse des clics souris sur le DPI) ? Quelles limites poser aux analyses des entrepôts de données : exemple des listes d’absentéisme par code UF et par métier Un cran plus haut, les entrepôts de données Données RH, données médicales, données financières, etc.

Les axes de sécurisation Formalisation des demandes de requêtes, en particulier la finalité; Application du principe de minimisation (redoutable); Audit annuel du parc de requêtes; Formation des data scientist, mise en place d’accréditation Mooc ANSSI Traçabilité des accès Mise en place d’un guichet Intervention du DPO dans les cas complexes

La gestion d’un risque de conformité Conclusion La gestion d’un risque de conformité Nettoyer les traitements les plus sensibles Avoir un plan opposable de mise en conformité globale en cas de contrôle Être en mouvement, les traitements évoluent (et les textes aussi) Revenir à l’esprit du texte On ne peut plus faire n’importe quoi avec les données nominatives Il faut évaluer Cela ressemble bigrement à la certification des comptes, non ? Une chance pour l’établissement ?... De la notion de cercle vertueux … mais surtout pour le DPO/RSSI Un levier sans précédent auprès de la stratégie métier Un levier sans précédent envers des fournisseurs peu regardants… IAM = gros nettoyage de l’annuaire des agents RGPD = gros nettoyage des traitements et des pratiques borderlines

Questions / Réponses ?

Ouvrage