Eric Filiol
janv. 146 Min
Mis à jour : janv. 22
Eric Filiol est scientifique de formation. Après 22 ans dans l'armée de terre française, où il a toujours fait de la recherche et de l’opérationnel, il a travaillé dans le domaine des technologies de l’information et dans le monde du renseignement. Titulaire d’un diplôme d’ingénieur en cryptologie (BESSSI), d’un doctorat en mathématiques appliquées et informatique de l’Ecole Polytechnique et d’une habilitation à diriger des recherches (HDR) en informatique de l’Université de Rennes, il possède également des qualifications OTAN dans le domaine du renseignement et d’Info Ops. Il est actuellement consultant expert dans le domaine de la protection de l'information et des systèmes.
© DR
Le RGPD (Règlement Général de Protection des Données), publié en 2016 par l’UE et applicable obligatoirement depuis 2018, est perçu de manière différente et souvent diamétralement opposée selon que l’on est une entreprise (collectant ou non des données) ou un utilisateur. Pour certains (les utilisateurs et quelques entreprises), le RGPD, quoique encore imparfait, est porteur de grande vertu et a considérablement fait évoluer les choses vers une meilleure protection de la vie privée.
Pour les entreprises, c’est au mieux une source de difficultés et de coûts (souvent considérés comme inutiles) au pire un frein à l’activité économique en privant les entreprises d’une manne économique considérable générée par la valorisation des données collectées. Pour ces acteurs, le RGPD est considéré comme un vice. Notons d’ailleurs que l’efficacité de toutes les techniques d’IA (Intelligence Artificielle) repose essentiellement sur les données et beaucoup moins sur les algorithmes. Où se situe la vérité? Pour être honnête, vraisemblablement au milieu.
(Re)lisez la dernière chronique numérique: Transformation digitale: chronique d’une faillite annoncée?
Ce n’est pas totalement une vertu car ce texte est en réalité assez méconnu et on lui attribue plus de puissance et de portée qu’il en a. Il ne concerne d’abord que les données personnelles. Si la base la plus connue est celle du consentement (essentiellement dans le B2C), ce n’est pas la seule. Il en existe d’autres, non soumises au consentement: collecte nécessaire à l’exécution d’un contrat, pour satisfaire une obligation légale, pour la sauvegarde des intérêts vitaux, pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique ou nécessaires aux intérêts légitimes poursuivis par le responsable du traitement. Ce qui implique au passage que les Etats ne sont pas tenus à grand-chose (et qui, pour certains au sein de l’UE, pour mettre en place une véritable surveillance de masse) et que finalement cela concerne essentiellement les entreprises.
Ce n’est pas plus totalement un vice. Car il fixe un garde-fou pour éviter les excès même si l’absence de puissance politique de l’UE rend ce texte (au-delà des gesticulations de nos commissaires européens et de nos politiques) totalement inappliqué/inapplicable face aux GAFAM et à leurs équivalents chinois dont nous sommes totalement dépendants. Il a en outre permis à beaucoup d’entreprises de mieux travailler, de s’organiser, d’optimiser leur traitement voire de les réduire ou de les supprimer. Il a fait évoluer pas mal de choses dans le bon sens (gestion des cookies, sécurisation des données, perception de l’importance de la protection de la vie privée…). Ce règlement impose les notions de licéité, de loyauté et de transparence dans le traitement des données. En particulier, il a sensibilisé et éduqué les utilisateurs préoccupés par le respect de leur vie privée en leur inculquant la notion de frugalité et de sécurité.
En réalité, le RGPD n’a pas pour objectif d’empêcher les entreprises de collecter des données mais plutôt d’encadrer la collecte des données pour leur permettre de disposer de bases de données de qualité, fiables et exploitables.
Contrairement à ce que l’on pourrait penser, la finalité du RGPD n’est pas de restreindre le partage des données clients avec et entre les entreprises européennes bien au contraire: il s’agit plutôt de l’accélérer pour créer de nouveaux produits ou services innovants (comme dans le domaine de la santé ou de l’intelligence artificielle) au profit des consommateurs et des entreprises européennes.
Dans cette optique, deux conditions sont nécessaires: disposer de données de qualité et en grande quantité.
L’idée qui sous-tend la réglementation sur les données personnelles est qu’en l’absence de confiance du client, les entreprises ne peuvent pas collecter et traiter des données de qualité et en grande quantité. Sans confiance du client, pas de données personnelles fiables.
Le RGPD répond à cette double nécessité.
D’un côté, il exige que les données, dès leur collecte – Privacy by design – soient «triées» de manière à produire une base de données de qualité (seules les données nécessaires à la finalité de traitement sont collectées et sont ensuite sécurisées). C’est fondamental pour les entreprises car une base de données contenant des données inutiles, redondantes ou obsolètes n’est ni efficace sur le plan opérationnel ni rentable du fait qu’elle génère dans la durée toujours plus de frais de stockage, de traitement (et une empreinte carbone élevée) et de sécurisation. C’est toute la différence entre L’Europe (données de très haute qualité) et les USA/Chine (beaucoup de données mais de piètre qualité). C’est aussi l’enjeu de ces deux blocs de tenter, par tous les moyens, de s’emparer avant l’autre du trésor européen (estimé à 1000 milliards en 2025[1])
D’un autre côté, le RGPD exige des entreprises qu’elles soient transparentes sur les traitements réalisés, notamment en fournissant aux clients une information complète et en facilitant l’exercice de leurs droits en termes de protection des données. Ce principe est porteur de confiance pour les clients/utilisateurs dont les données sont traitées et ne peut que les encourager à fournir davantage de données de qualité.
Même si la réglementation peut impliquer, selon la maturité des entreprises, des coûts initiaux pour les travaux de mise en conformité et de sécurisation, les retours sur investissement (ROI) sont réels et potentiellement importants à moyen terme.
L’autre aspect fondamental concernant la valeur des données repose dans le fait qu’au-delà des données personnelles ce sont toutes les données qui ont de la valeur. Je fais souvent le constat que les entreprises mettent l’effort sur le RGPD (données personnelles) mais négligent les autres données en particulier liées au business et à la stratégie dont elles ne sont pas même capables d’en préciser le niveau de sensibilité. Le RGPD ne doit pas être l’arbre qui cache la forêt. Il est donc essentiel qu’une entreprise établisse une cartographie de TOUTES ses données et applique des règles de protection adaptées pour les différentes classes de données en fonction de leur criticité. De ce point de vue le CISO et le DPO doivent travailler en étroite collaboration)
Le véritable enjeu est donc celui de la sécurité des données et celle des systèmes informatiques qui les traitent ou les stockent. C’est précisément là que tout se joue:
Lors du transfert des données et de leur stockage, le chiffrement techniquement maitrisé est de rigueur. Or, nous sommes actuellement loin du compte et je constate trop souvent le manque d’expertise des entreprises dans le domaine de la cryptologie et de sa mise en œuvre (de la connaissance des exigences de conformité à l’implémentation opérationnelle maîtrisée). L’exploitation de la faille moveIT en 2023 par le groupe Cl0p a montré que près d’une centaine de sociétés (400 sociétés, plus de 20 millions de victimes, pour beaucoup des groupes internationaux) stockaient les données en clair chez les prestataires et n’avaient donné aucune directive à ces derniers pour les chiffrer (via l’annexe RGPD au contrat de services). Si elles avaient été chiffrées le vol aurait été sans conséquences. J’ai pu analyser un grand nombre de ces données et ainsi confirmer la réalité des dégâts tant pour des données personnelles que business.
Lors du traitement en particulier dans le cloud. Les données y sont envoyées pour traitement (et en particulier pour l’analyse qui constitue le plus grand enjeu autour des données, car c’est elle qui les valorise). Les techniques d’anonymisation ou de pseudonymisation ont montré leurs limites et ne règlent qu’une partie du problème: ces techniques ne gèrent pas la protection de la valeur commerciale liée aux données au-delà de la seule capacité à identifier un ou plusieurs individus.
Ces plateformes, qui proposent des environnements et des outils d’analyse (machine learning, big data, deep learning) sont quasi exclusivement non européennes et il est pratiquement impossible de leur imposer le respect du RGPD et encore moins de les empêcher de profiter de la valeur business et stratégique liées à ces données. La seule solution est de pouvoir effectuer ces traitements sous forme totalement chiffrée. C’est tout l’enjeu du chiffrement homomorphe.
Or, à ce jour, la recherche autour de ces techniques s’est un peu essoufflée: si le traitement de ces données ne peut se décomposer en une suite d’additions et de multiplications, les protocoles actuels ne sont guère utilisables pour des applications requérant du calcul intense. En outre, ils sont très lents et énergivores. Des techniques disruptives semblent émerger qui pourraient représenter une solution puissante (une startup identifiée en Estonie qui semble très en avance sur ces techniques) mais qui semblent ne pas susciter d’intérêt de la part des grands acteurs du cloud et professionnels des données. Ce manque d’intérêt pour l’une ou l’autre approche pourrait s’expliquer par le fait que, finalement, les acteurs incontournables du stockage ou du traitement de la donnée voient ces techniques comme contraires à leurs intérêts (capter les données de ceux qui les leur confient pour traitement).
Pour conclure, si la valeur des données est indéniable, elle doit profiter exclusivement à son propriétaire et in fine à ses clients. Le problème n’est pas dans la collecte mais dans cette capacité à assurer sa propre souveraineté. Tout l’enjeu de la valorisation des données se trouve là. C’est une question de survie pour l’Europe. Le chantage données contre pétrole/gaz n’est pas acceptable[2].
[1] Voir https://www.statista.com/statistics/1134993/value-of-data-economy-eu-uk/
[2] Lire en particulier https://www.lemonde.fr/economie/article/2023/07/10/europe-etats-unis-l-accord-transatlantique-controverse-de-transfert-des-donnees-valide-par-bruxelles_6181378_3234.html