Les données n’ont jamais été aussi omniprésentes et accessibles. Mais si cette tendance représente des opportunités considérables d’un point de vue commercial et social, il est par ailleurs devenu plus important que jamais de veiller à la protection des informations confidentielles.
Dans ce domaine, l’Union européenne a fourni des efforts remarquables et est parvenue à instaurer un cadre réglementaire complet, capable de préserver les droits des utilisateurs, sans pour autant bloquer l’innovation. Il s’agit en effet d’un enjeu capital pour gagner la confiance des citoyens et garantir le futur de l’économie de la data.
C’est justement un des points soulevés par les invités de notre podcast Étant Données, qui donne la parole aux acteurs et aux actrices de la data. À l’occasion d’un LinkedIn Live, Laure Lucchesi, ex-directrice d’Etalab, Gilles Mazars, Head of Advanced Innovation de wefox, Aurélie Le Cain, Head of data pour les technologies de lunettes connectées d’EssilorLuxottica, Audrey Raveneau, Chief Data Officer de la Direction Matériel de SNCF Voyageurs, et Laurent Martini, Vice-président Europe du Sud et marchés émergents de Splunk, ont accepté de revenir sur ces thèmes d’actualité en répondant aux questions du journaliste Bertrand Lenotre.
L’Europe au cœur de la dynamique de partage des données
Les deux premières parties de ce LinkedIn Live ont confirmé la place prépondérante qu’occupaient dorénavant les données à tous les niveaux de l’entreprise. Mais, selon Laurent Martini, leur utilisation à grande échelle suppose également de renforcer ou de repenser les mesures d’encadrement afin de prémunir efficacement la population contre les dérives potentielles.
Le RGPD a représenté à ce titre une avancée de taille pour la protection des données personnelles, mais le texte adoptait une approche plutôt restrictive. Aujourd’hui, l’Union européenne semble au contraire davantage encourager le partage de l’information, notamment par le biais de trois initiatives :
- Le Data Governance Act
Le Data Governance Act (DGA), ou loi européenne sur la gouvernance des données, qui entrera en vigueur en septembre 2023, vise « à renforcer la confiance dans le partage des données, (…) à accroître (leur) disponibilité et à surmonter les obstacles techniques à (leur) réutilisation ». La diffusion de l’information entre les entreprises ainsi qu’avec les particuliers est donc au cœur de cette loi, qui établit par ailleurs le statut de prestataire de services de partage de données et offre un cadre législatif au principe de data altruisme, tel que l’évoque Maxime Havez dans le podcast.
- Le Data Act
Le Data Act, ou loi sur les données, promet d’aller encore plus loin que le DGA en obligeant les entreprises à échanger un certain nombre de données avec d’autres organisations privées ainsi qu’avec des administrations, voire des États. Ce positionnement découle en partie des leçons tirées de la crise du COVID-19, qui a permis de réaliser à quel point la mise en commun des informations pouvait donner un avantage considérable pour affronter les pires situations.
- La création de l’espace européen des données de santé
Il est par ailleurs intéressant de souligner les efforts de l’Union européenne dans certains secteurs spécifiques. Il est ainsi envisagé de créer un espace européen des données de santé afin de faciliter la mutualisation des connaissances dans le domaine de la recherche.
Ces initiatives montrent bien que l’Europe a pleinement pris la mesure de ces enjeux en se dotant d’une véritable stratégie à même de favoriser encore davantage l’ouverture des données.
Un cadre législatif à la recherche de son point d’équilibre
D’après Laure Lucchesi, avec le RGPD, le DGA, le Data Act, la directive ISP (information du secteur public), qui identifie un ensemble de datasets à forte valeur devant être mises à disposition gratuitement, ainsi qu’avec bien d’autres textes, l’Union européenne a su se doter d’un arsenal législatif très complet. En tant qu’ex-directrice d’Etalab, elle a d’ailleurs directement contribué à formuler les positions françaises sur les récentes réglementations adoptées par la Commission. Et l’on doit désormais compter avec le cadre réglementaire sur l’intelligence artificielle (AI Act), adopté le 14 juin dernier, ainsi qu’avec de nombreuses législations sectorielles.
Ces textes ne sont toutefois pas une fin en soi. Il est également nécessaire que les acteurs métiers comprennent les opportunités commerciales et stratégiques qui en découlent. Pour tirer toute la valeur de ces initiatives, il est en effet essentiel de prendre une longueur d’avance et d’anticiper la manière dont elles vont se traduire dans les futurs outils que nous allons utiliser, tout en gardant à l’esprit deux enjeux particulièrement importants :
- la nécessité de trouver le bon équilibre entre la création d’un marché de la data à l’échelle européenne et la protection des libertés fondamentales afin d’éviter toute situation d’immobilisme pouvant être causée par la défiance de certains acteurs ;
- le besoin de mettre en place des cadres sans pour autant freiner l’innovation afin de préserver la souveraineté et la compétitivité de l’Europe.
Ces problématiques sont déterminantes pour que l’Europe poursuive sur sa lancée et adopte une approche encore plus adaptée à l’ère du numérique.
La réglementation au service de l’innovation
Dernièrement, l’Europe a fait des avancées majeures dans le domaine de la data. Des textes comme l’AI Act montrent notamment à quel point l’UE est capable d’adopter une posture avant-gardiste, à même de promouvoir des concepts tels que les foundations models évoqués par Gilles Mazars dans la première partie du podcast. Cette loi met par ailleurs l’accent sur les deux piliers fondamentaux d’une IA éthique : la responsabilité et la transparence.
Cependant, l’arsenal législatif européen n’a pas émergé du néant au cours des quelques années qui viennent de s’écouler. Des régulations existaient déjà dans de nombreux secteurs et des notions de droit plus générales peuvent être mobilisées pour protéger les utilisateurs, surtout en ce qui concerne les questions de propriété. Mais encore faut-il les respecter ! Et quand on voit les débats qui font rage autour de la propriété du contenu utilisé pour entraîner les algorithmes de machine learning ou produits par ces modèles, il semble évident que le sujet est loin de faire l’unanimité.
Pour avancer sur ces points, il pourrait être intéressant de mettre davantage l’accent sur les bénéfices d’une régulation claire en matière d’innovation. Car l’incertitude peut être un frein important. On parle en effet surtout de liberté et de protection, mais les entreprises ont aussi besoin de savoir dans quel cadre elles pourront mettre en œuvre les technologies qu’elles développent. Les propositions européennes pourraient à ce titre se révéler déterminantes pour les sociétés travaillant sur les solutions d’IA éthique du futur.
Régulation et responsabilité des entreprises
Ces lois sont certes essentielles, mais sont-elles suffisantes ?
Une utilisation éthique de la data
D’après Aurélie Le Cain, au-delà des questions purement réglementaires, il est essentiel que les organisations s’emparent elles aussi de ces problématiques et qu’elles intègrent l’éthique et les droits humains au cœur de leurs valeurs.
EssilorLuxottica a ainsi choisi de mettre en place un programme interne de conformité sur la protection des données personnelles associé à une politique de cybersécurité cohérente. Cette approche permet non seulement à l’entreprise d’offrir des garanties supplémentaires aux utilisateurs, mais également d’harmoniser l’ensemble des pratiques du groupe. Au-delà des lunettes connectées, la marque mène en effet des études cliniques pour mesurer l’efficacité de ses produits et est donc tenue de se conformer à une multitude de lois et réglementations à travers le monde.
Cette stratégie cohérente et respectueuse des enjeux sociaux et environnementaux pourrait en tout cas être la clé d’une véritable data responsable.
L’exemple de SNCF Voyageurs
Selon Audrey Raveneau, il est évident que les entreprises doivent désormais protéger leurs données afin de conserver leur maîtrise, leur savoir-faire ainsi que leur avantage concurrentiel. Il est par ailleurs nécessaire que les acteurs comprennent cette data et soient en mesure d’identifier son niveau de sensibilité et de pertinence. SNCF Voyageurs a donc mis en place un certain nombre de mesures dans le but de préserver ces ressources et de les utiliser de manière efficace :
- une organisation dédiée afin d’analyser et de contractualiser tout échange de données en dehors de SNCF Voyageurs ;
- des contrats cadres permettant de sécuriser et de valoriser le partage de données entre les différentes entités SNCF, tout en se conformant à l’obligation de traitement des entreprises ferroviaires ;
- des contrats de licence qui définissent précisément les cas d’usage et la notion de propriété intellectuelle pour encadrer la transmission des données vers des acteurs externes.
Enfin, l’entreprise a dû mettre en œuvre un certain nombre de processus afin de communiquer en toute sécurité les données et les documents relevant de l’obligation d’ouverture à la concurrence du service public des transports ferroviaires.
Quelle que soit l’approche des intervenants de ce podcast, tous s’accordent sur le fait que les choses vont de plus en plus vite et que les organisations ne peuvent plus se contenter de réagir. Le mot d’ordre est désormais à l’anticipation et à la résilience grâce à des outils qui permettent de prévoir l’imprévu et d’assurer la continuité des services, même dans les conditions les plus difficiles.
Ce sera justement un des thèmes centraux de notre nouvelle série de podcasts Les Résilients, dont le premier épisode est attendu pour fin septembre. En attendant, pour en savoir plus sur l’avenir de la data, nous vous invitons à visionner l’intégralité du LinkedIn Live et à télécharger notre e-book hors-série La data du futur : l’ère de la démocratisation.
Pour aller plus loin
