Le numérique est un levier de performance pour les organisations, une souplesse dans leur fonctionnement et un outil de réponse optimale aux attentes de leurs salariés et leurs consommateurs/usagers. 

Cependant, comme tout outil, il fait peser des responsabilités sur les entreprises, administrations etc tant sur les modalités de collecte, les algorithmes utilisés et la sécurité des données collectées, que ce soit sur leurs parties prenantes ou sur leurs données internes.

1/ Collecte et stockage des données

L’entreprise collecte et produit des données en permanence, que ce soit des données d’entreprise classiques  (courriels, documents, bases de données, historiques de processeurs métiers…) aussi bien que des données issues de capteurs, des contenus publiés sur le web (images, vidéos, sons, textes), des transactions de commerce électronique, des échanges sur les réseaux sociaux, des données transmises par les objets connectés (étiquettes électroniques, compteurs intelligents, smartphones…), des données géolocalisées, etc. 

Ainsi via son application de réalité augmentée (qui est une innovation de procédés concernant la distribution de leurs produits), l’Oréal collecte de nombreuses informations sur les tendances, goûts et appétences des utilisateurs-trices de cette application.

Cependant, les données collectées auprès de ces consommateurs ou de tiers est soumis à un traitement particulier : celui des données personnelles

Qu’est ce qu’une donnée personnelle?

Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » selon l’article 4 du Règlement européen sur la protection des données.

Les règles s’appliquent lorsqu’elles sont utilisées, conservées ou collectées numériquement ou sur papier.

Quelles données personnelles sont les plus collectées?

Les données les plus souvent collectées par les organismes sont les suivantes :

• les informations démographiques : nom, prénom, âge, sexe, marié ou célibataire…
• les informations comportementales : les habitudes d’achats, les sites visités, la durée de session…
• les centres d’intérêts : (sports, hobby, politique, divertissements…)
• les données relatives à la navigation : le type d’appareil utilisé, la localisation précise ou encore le numéro de portable ou le numéro IMEI (International Mobile Equipment Identity)

La RGPD

Le Règlement général sur la protection des données (RGPD) : première régulation mondiale des données personnelles

Le RGPD est la première régulation des données personnelles. Adoptée en 2018, elle vise à encadrer les collectes et l’usage des données personnelles. Elles imposent aux organisations  une obligation générale de sécurité et de confidentialité pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

• L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.). Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.
• Une obligation d’information et de recueil de l’accord des clients.
• Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées, notamment via l’acceptation des cookies sur les sites internet et sur le contrôle de l’utilisation qui est faite des données que les internautes envoient dans les formulaires de contact. Par exemple, il n’est plus possible que la case « j’accepte de recevoir la newsletter » soit pré-cochée lors de l’envoi d’un formulaire de contact dans lequel l’e-mail est renseigné.

Stockage des données 

Le stockage : principes

Le stockage s’effectue dans des bases de données. Une base de donnée est une collection d’informations organisées afin d’être facilement consultables, gérables et mises à jour. Au sein d’une database, les données sont organisées et indexées afin de pouvoir facilement trouver les informations recherchées à l’aide d’un logiciel informatique. Chaque fois que de nouvelles informations sont ajoutées, les données sont mises à jour, et éventuellement supprimées. Elles se chargent elles-mêmes de créer, de mettre à jour ou de supprimer des données. Elles effectuent également des recherches parmi les données qu’elles contiennent sur demande de l’utilisateur, et de lancer des applications à partir des données. source Les bases de données sont stockées sur des serveurs internes selon plusieurs protocoles (SQL pour les bases de données relationnelles, ou en NOSQL pour le Big Data par exemple ) ou encore optimisée ou directement créée pour les environnements virtualisés comme le cloud.

le cloud computing

Le principe du cloud est la livraison de ressources (stockage, calculs) et de services à la demande par internet. Il désigne ainsi le stockage et l’accès aux données par l’intermédiaire d’internet plutôt que via le disque dur d’un ordinateur. Il s’oppose ainsi à la notion de stockage local, consistant à entreposer des données ou à lancer des programmes depuis le disque dur.

En cloud computing, les entreprises ne se servent plus de leurs serveurs informatiques, mais accèdent à des services en ligne d’une infrastructure gérée par le fournisseur. Les services peuvent être ainsi des espace de stockage alloué, service de messagerie, outils collaboratifs, productions, gestion de la relation client, réseau social d’entreprise. La synchronisation des données  est une pierre angulaire du Cloud Computing, même si l’accès aux fichiers se fait de façon locale.

L’accès aux services est effectué via Internet, l’organisation est donc dépendante de la qualité du débit internet/fibre. De même, les données sont confiées à des tiers, et l’organisation ne maîtrise pas le lieu d’hébergement de ses données, ce qui peut se révéler problématique pour des données stratégiques.

L’impératif de sécurité des données personnelles

La sécurité des systèmes d’informations

“La sécurité des systèmes d’information a pour objectif de protéger les intérêts de ceux qui dépendent des systèmes d’information et de communication qui délivrent l’information, contre les préjudices imputables à des défauts de disponibilité, de confidentialité, et d’intégrité ».

La sécurité informatique vise généralement cinq principaux objectifs 

• La confidentialité : rendre l’information inintelligible à d’autres personnes que les seuls acteurs de la transaction. (cryptage etc)
• L’intégrité : déterminer si les données n’ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
• La disponibilité :  garantir l’accès à un service ou à des ressources.
• La non–répudiation: garantir qu’aucun des correspondants ne pourra nier la transaction.
• L’authentification : assurer l’identité d’un utilisateur, c’est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être. 

La technologie de la blockchain

La blockchain est une technologie numérique qui permet de stocker et de numériser des informations de manière sécurisée et transparente. 

Celle-ci fonctionne sans organe ou instance de contrôle. 

La blockchain forme également une base de données distribuée qui tient les listes de toutes les transactions entre utilisateurs réalisées depuis sa mise en route.

• la rapidité des transactions grâce au fait que la validation d’un bloc ne prend que quelques secondes à quelques minutes
• la sécurité du système, qui est assuré par le fait que la validation est effectuée par un ensemble d’utilisateurs différents, qui ne se connaissent pas. Cela permet de se prémunir du risque de malveillance ou de détournement, puisque les nœuds surveillent le système et se contrôlent mutuellement
• les gains de productivité et d’efficacité générés grâce au fait que la blockchain confie l’organisation des échanges à un protocole informatique, ce qui réduit mécaniquement les coûts de transaction ou de centralisation existant dans les systèmes traditionnels (frais financiers, frais de contrôle ou de certification, recours à des intermédiaires qui se rémunèrent pour leur service ; automatisation de certaines prestations, etc.).

La sécurité des systèmes d’informations

La sécurité d’un système informatique est souvent comparée à une chaîne en expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du maillon le plus faible.  Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

#Internet : des hackers revendent nos données médicales.
Nos données médicales intéressent les hackers. Un dossier médical peut ainsi se revendre jusqu'à 250 euros sur le darknet. Les cybercriminels peuvent même pirater du matériel médical connecté https://t.co/2Kox372WSg]

— Jonathan Chan 💡📣 (@ChanPerco) February 10, 2021

On peut ainsi identifier trois types de causes :

• humaine
• causes extérieures à l’organisation
• techniques

Parmis les causes humaines, on peut ainsi relever la maladresse (traitement non souhaité, effacer involontairement des données ou des programmes…), mais aussi l’inconscience (introduction de programmes malveillants, un mot de passe trop simple ou inscrit sur un post-it sur son écran d’ordinateur…), et bien évidemment la malveillance. Dans cette dernière hypothèse, une personne parvient à s’introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes.

Depuis quasiment 10 ans je prends le train et je vois des consultants ou de gros cadres travailler sur des sujets confidentiels…. À voix haute. https://t.co/KBqdYONq77

— Jade Le Maître 🤖 (@Aratta) March 18, 2021

Les causes extérieures peuvent relever d’évènements comme des incendies, inondation, coupures ou surtensions électriques dues à un orage…

Les causes techniques sont peuvent petre ainsi une surchauffe des serveurs. Les processeurs produisent de la chaleur, et la salle serveur, mal ventilée, est montée en température et les serveurs se mettent en sécurité, en s’éteignant. L’usure des matériels est aussi inévitable. Sans oublier les opérations de cyber attaque (deny of service, ransomware, cheval de troie…)

2/ Traitement et analyse des données

Ces données nécessitent donc une mise en réseau de toutes les solutions logicielles ou sources de données, jusqu’à élaborer un écosystème numérique, à partir duquel une transformation, organisée par des systèmes d’intelligence artificielle devient possible. La production d’information obtenues sert ensuite à la prise de décision, en vue de garantir le bon fonctionnement du système de production mais aussi son amélioration. 

Les algorithmes

Un algorithme, c’est une suite d’instructions, qui une fois exécutée correctement, conduit à un résultat donné. Si l’algorithme est juste, le résultat est le résultat voulu. L’algorithme est donc avant tout et surtout un raisonnement logique qui permet d’obtenir un résultat déterminé à partir d’instruction. 

Les algorithmes sont partout, ils sont nécessaires à l’exploitation des données. Ils vont permettre de rentrer des données dans une base, de les affecter (type de données : numérique etc), de les trier et les combiner.

L’intelligence artificielle

La combinaison d’algoritme vise également à reproduire la notion d’intelligence. L’intelligence artificielle ou IA est une discipline scientifique et technologique visant à l’exécution par des machines (ordinateurs et programmes informatiques) de processus cognitifs jusque-là réservés aux capacités du cerveau humain, dans les domaines de :

• la compréhension,
• la communication (dialogue entre machines et avec l’humain),
• la structuration de la mémoire,
• le raisonnement critique,
• l’adaptation,
• l’apprentissage en autonomie (Deep Learning)…

La convergence d’une intelligence, à savoir la capacité d’une machine à collecter, analyser des données et les traiter pour la transformer en information avec les data est devenu un enjeu majeur pour les entreprises mais aussi les Etats. Pour les entreprises, l’enjeu est ici d’optimiser leur expérience client, leur efficacité opérationnelle, ou leur cybersécurité. Grâce à des outils analytiques et à la modélisation de données, des chercheurs, des entreprises, des administrations peuvent faire de l’analyse tendancielle ou prédictive, dresser des profils, anticiper des risques et suivre des phénomènes en temps réel…

Le principe de transparence des algorithmes publics

« Les algorithmes publics se différencient de ceux employés par le secteur privé par leur vocation à servir de l’intérêt général : ils appliquent la loi et sont incontournables à la différence d’un moteur de recherche auquel on peut décider de ne pas recourir” Simon Chignard

L’Etat utilise ainsi des algorithmes pour l’attribution d’allocations familiales ou de bourses scolaires,  le calcul du montant de l’impôt sur le revenu,l’orientation scolaire pour l’enseignement supérieur etc. L’État, par la loi loi pour une République numérique du 7 octobre 2016 a organisé la transparence du fonctionnement des algorithmes utilisés.

Ainsi toute administration d’État, collectivité, organisme de droit public ou privé intervenant dans le cadre d’une mission de service public, utilisant un traitement algorithmique  qui aboutit à la prise de décision administratives individuelles envers des personnes physiques ou morales, de droit public ou privé doit d’une part informer de l’existence de ce traitement et communiquer sur simple demande les principes du fonctionnement de l’algorithme. Sont cependant exclus de cette obligation les activités pouvant bénéficier du sceau du secret telles que les délibérations du gouvernement, a défense nationale, la conduite de la politique extérieure, la sûreté de l’État, la sécurité publique,la  sécurité des personnes ou des systèmes d’information, la recherche et la prévention d’infractions.

Par exemple, la plateforme Parcours Sup propose une solution d’aide à la décision pour les établissements de l’enseignement supérieur, pour automatiser le traitement des candidatures. Ce code a été rendu public. Cependant, les établissements pouvaient aménager les critères de sélection en fonction de leurs critères, ce qui estompait ce principe de transparence. A la suite de la décision du Conseil constitutionnel du 3 avril 2020, les formations doivent désormais présenter leurs critères de sélection, dans un rapport de jury a posteriori, consultable sur la plateforme.