Un cruel manque de responsabilité

Un cruel manque de responsabilité

Explosion des Data Breaches en 2017

Le RGPD/GDPR impose la notification des failles de sécurité aux autorités de contrôles et aux personnes concernées.

Qu’est-ce que cela veut dire ?

Les informations personnelles, qui sont collectées au travers de tous types de supports et qui circulent par tous types de médias, doivent être protégées partout et tout le temps.

Pourquoi ?

On peut toujours arguer que les internautes délivrent nombre d’informations personnelles et qu’ils sont donc responsables de ce qui circule en ligne concernant leurs vies privées.

Oui et non !

D’une part, il existe de plus en plus d’espaces de collecte d’informations permettant d’identifier une personne où il est obligatoire de délivrer ces informations pour obtenir un service. Ceci concerne tout autant les entreprises privées, ayant une activité commerciale, que des organisations publiques (administrations). Pensons aux sites des Mairies, des impôts, de la délivrance de CI ou de Passeport et référons-nous simplement à l’injonction de dématérialisation qui règne depuis de nombreuses années dans les organisations, quelles que soient leurs activités.

D’autre part, et certains en parlent beaucoup mieux que moi, je pense par exemple à Louise MERZEAU (RIP) qui a expliqué comment les « oligarques du web » ont créé une illusion totalement intéressée en nous laissant croire qu’il existerait sur le WEB des zones de confiance (tous les espaces communautaires de valeurs, de pratiques, d’intérêts peuvent se reconnaitre).

Le RGPD/GDPR souhaite rééquilibrer ce rapport entre ceux qui donnent et ceux qui traitent.

Pourquoi ?

La fuite des données peut être impactante pour les personnes et pour les entreprises. Les scandales visibles viennent souvent des Etats-Unis où le niveau de confiance des citoyens dans leurs institutions et entreprises est beaucoup plus important qu’en Europe mais où, du même coup, le sentiment de trahison se manifeste beaucoup plus fortement.

Les plaintes collectives (ou Class actions) illustrent la colère des personnes dont les données n’ont pas été protégées et les montants financiers en jeu sont colossaux.

Une des dernières fuites concernant la société de crédit EQUIFAX a entrainé plus de 50 class actions et on estime à 70 milliards de $ le montant des dommages et intérêts. Fondée au XIXème siècle, cette société a vu son cours de bourse chuter de plus d’un tiers de sa valeur et elle pourrait cesser son activité.

Et nous ?

Nous avons moins confiance dans nos institutions et dans nos entreprises que les Américains : nous sommes donc moins déçus.
En revanche, nous avons plus confiance dans nos lois et la capacité de nos magistrats à les faire respecter.

C’est ici que le bas commence à blesser !

En effet, le courant va vers une « anglo-saxonisation » de nos référentiels et il s’impose doucement. La responsabilisation (ou Accountability) en est l’expression la plus forte.

Face à cette dynamique, celle de la plainte collective est un corollaire indispensable.

Il s’agit d’un devoir d’équilibre que doit imposer l’Europe via le règlement sur la e-Privacy, afin de contribuer à la confiance dans l’économie numérique.

Cela ne doit pas être une option négociable !


L'intelligence artificielle doit-elle être régulée ?

L’intelligence artificielle doit-elle être régulée ?

La réponse est oui, c’est urgent !

Cependant, il faut peut être s’interroger sur ce que produit aujourd’hui l’intelligence artificielle (IA) et identifier à quelle moment et dans quelle mesure cette production nécessite des encadrements juridiques et techniques contraignants (encadrements et sécurités) et dissuasifs (sanctions financières et juridiques) ?

Tout ce que produit cette intelligence n’est pas dangereux.

Si on utilise un bot pour sélectionner et retweeter des articles, même si on y ajoute un apprentissage sémantique et évolutif des mots dans les corps de textes ou une exclusion de certains textes d’auteurs ou de certains mots clés, au pire on fait de la partialité de point de vue et on impose une grille de lecture d’un sujet.
Toute la presse fait cela depuis longtemps et sans IA.

A l’extrême, je dirais que la société doit veiller à ce que toutes les grilles de lectures soient respectées et elle devrait financer celles qui ne répondent pas aux besoins “mainstream”…

Ce que produit l’IA et qui doit rapidement être régulé par la justice, c’est l’aide à la décision discriminatoire en positif ou en négatif.

Si mon assurance santé augmente ou baisse en fonction des données collectées sur mes habitudes alimentaires (frigo connecté), mes habitudes sportives (montre connectée), mes résultats (balance connectée) et au pire mes données de santé (dossier médical), je devrais avoir le droit de me soustraire à tous ces objets connectés et que si c’était le cas, on puisse m’expliquer comment cette décision impactante à été prise en me donnant les moyens de la contester et de me défendre. Je ne suis pas un numéro !

Que dire si mon mon grand-père est renversé par une voiture autonome et qu’une IA embarquée a pris cette décision pour ne pas renverser un enfant de 8 ans ?

Encore une fois, la PRIVACY et le respect de la protection de la vie privée permet d’analyser et de mesurer (PIA) l’impact de ces décisions automatisées sur nos vies privées , la justice peut ainsi mettre en place les processus d’analyse des responsabilités essentielles à la mise en oeuvre de ces systèmes et accessoirement avant leur mise en oeuvre.

Article original sur Medium.com


L'IA doit se nourrir d'erreurs et de controverses, c'est vital pour l'humanité

Si on ne veut pas que l’auto-alimentation efficiente des algorithmes détruisent le vivant, il faut juste penser à réinjecter le vivant dans le Numérique.

On peut le faire, on sait le faire, encore faut-il vouloir le faire et ne pas se laisser envouter par le chant des sirènes qui nous promettent un monde meilleur en limitant le risque, l’échec, l’erreur, le raté …

Il faut juste être vigilant pour que demeure l’hypothèse de Copernic ou les rêves devenus réalité de Jules Vernes.

--

Article original sur Medium.com


Les entreprises ne sont peut être pas suffisamment prêtes...

Les entreprises ne sont peut être pas suffisamment prêtes…

Une étude menée à l’échelle mondiale par Veritas Technologies révèle que les entreprises dans le monde pensent à tort être conformes au règlement général sur la protection des données (GDPR).

Cette étude se compose d’une infographie en Anglais et de sa traduction en Français.

Le périmètre n’est pas donné mais la méthode est assez claire, on demande aux entreprises si elles se sentent prêtent, puis on approfondit un peu les questions pour évaluer cette première réponse.

Pour les professionnels de la Privacy, rien de très surprenant, cette discipline a toujours été considérée comme une contrainte avant tout juridique à laquelle les avocats répondent principalement pour protéger les responsables légaux.

Très peu de responsables légaux considèrent la Privacy comme un levier de développement économique et une assurance de pérennité de ses activités. Quasiment aucun n’a inclus la Privacy comme un système de gestion des données, alors même que beaucoup investissent pour leur transformation digitale en faisant de la donnée le coeur de leur business model.

La discipline de la Privacy doit s’ouvrir à toutes les activités des entreprises, pour servir des stratégies innovantes souvent gourmandes en données, qui doivent respecter les règles pour être capitalisées, valorisées et rentables.


Il est temps de parler de tartes aux pommes ...

Il est temps de parler de tartes aux pommes …

Big Data is a big deal !

Une vidéo sous-titrée en Français pour un TedX qui explique comment la collecte de données à permis de constater que la tarte préférée des américains n’était pas la tarte aux pommes.
Conséquence, la taille de la tarte aux pommes à la vente a diminué et permis de laisser la place à d’autres parfums.

Le goût de la pomme était consensuel, les autres sont individuels.

Voilà pourquoi le Big Data est un enjeu majeur de la transformation des usages et pratiques. Voilà pourquoi l’organisation de la collecte et de la qualification des données sont essentielles.
Quand on parle de tartes aux pommes, on parle de données froides, si on collecte d’autres types d’informations, la gestion du consentement au moment de la collecte doit être organisée avec rigueur.

https://youtu.be/8pHzROP1D-w


La justice prédictive ... l'ère des PreCogn arrive.

La justice prédictive … l’ère des PreCogn arrive.

Ce type d’annonce est toujours impressionnante, personnellement, elles me font peur.

Comment ne pas imaginer rapidement toutes sortes de décisions éminemment impactantes laissées à la libre appréciation de machines apprenantes et insensibles ?

La prédectivité, c’est quoi ?

On peut se souvenir des “precog” de Minority Report pour se faire une idée assez juste. Ces entités, humaines et jumelles accompagnées de leur maman étaient en capacité de prévoir en fonction de l’intégralité des comportements, histoire de vie, psychologie, émotions d’un individu ce qu’il/elle ferait dans une situation précise.

Elles avaient donc pour mission de tout collecter, d’analyser et de prévoir pour une élite policière les lieux, personnes et actes criminelles qui allaient se dérouler et qu’ils devaient donc pouvoir empêcher.

Comment faisaient-elles, nul ne le sait … et le suspense du film repose sur l’obligation de retrouver dans la mémoire d’une de ces entité, l’endroit exact ou une donnée enregistrée a été modifiée, entraînant une prévision erronée et donc une arrestation préventive non justifiée.

Je vous invite à revoir le film pour évaluer le combat pour retrouver cette donnée 🙂

Revenons à la réalité …

Les outils d’aide à la décision permettent aujourd’hui de regrouper immensément plus de données pour décider et ça c’est plutôt bien.

En matière de justice, le magistrat est le garant de la compréhension de l’éco-système pour émettre un jugement et une sanction a partir d’un fait délictuel et/ou criminel.

Ceci explique pourquoi à constat factuel égal, le jugement et les sanctions peuvent être différentes et ça c’est essentiel.

Permettre à ces magistrats d’accéder à une documentation beaucoup plus fine, profonde tant des jugements, sanctions donnés sur des faits similaires en pouvant même en mesurer les résultats sur les personnes concernées (quel type de sanction a éviter de la récidive, a permis de la réinsertion, quel type d’application de la peine a été la plus efficace etc) que d’accéder aux profils psychologique, psychiatriques, aux notes des acteurs (policiers, gendarmes mais aussi avocats) semblent très bien. Cela permettra une rapide construction d’un éco-système plus large, plus fiable et qui s’inscrit dans une évolution pour mieux décider, juger et sanctionner.

Mais, car il y a toujours un mais, nous entrons dans l’air de l’intelligence artificielle et des machines apprenantes qui sélectionnent, en fonction de ce qu’elles apprennent, les données qui leurs semblent pertinentes à nous soumettre pour nous aider à décider.

La loi dite “Lemaire” oblige à expliquer les algorithmes qui nourrissent ces processus de sélection et d’en identifier clairement les critères.

Le GDPR obligera à partir de mai 2018 a pouvoir en cas d’automatisation de décision concernant une personne à pouvoir permettre un recours de cette décision auprès d’un humain qualifié pour réviser le process de décision, le valider ou l’invalider en fonction de son analyse et de son expérience.

Et là, j’ai à nouveau un peu peur car pour permettre aux machines d’apprendre, on les entraîne en leur donnant de la nourriture sous forme de données, de liens entre ses données, d’options de réponses en fonction de ces liens et tourne tourne les itérations pour les rendre de plus en plus intelligentes.

Mais tout comme les “precog”, personne ne sait comment les machines apprennent 🙂

Article d’origine sur Medium.com


Qu'est-ce que la Privacy ?

Qu’est-ce que la Privacy ?

Le mot Privacy signifie “Vie privée”.

C’est une discipline qui régule le marché sur la collecte et la gestion éthique des données à caractère personnel :

  • Elle participe du respect des droits et libertés fondamentales ;
  • Elle interroge les impacts du profilage des individus par les organisations ;
  • Elle garantit une confiance indispensable des personnes dans l’économie numérique.

Cette discipline consiste à faire appliquer des règles strictes de protection des données et d’autre part à responsabiliser les acteurs sur les impacts de cette capacité exponentielle à “ficher “ les individus et l’intégralité de leur vie privée.

C’est cette balance entre le pire et le meilleur que la Loi Informatique et Libertés encadre depuis 1978 et que le RGPD (la nouvelle réglementation sur la protection des données personnelles) régule de façon stricte.

Cette réglementation vise à établir une confiance nécessaire entre des acteurs qui n’ont pas forcément les mêmes objectifs et qui ne partagent pas les mêmes visions de société mais qui doivent évoluer ensemble.

Le RGPD s’appliquera le 25 mai 2018 à toutes les organisations qui collectent des données personnelles de citoyen, nés Européens, directement ou indirectement partout dans le monde.

Pour certaines organisation, les contraintes seront plus importantes que pour d’autres. Pour toutes, les bénéfices seront rapidement plus importants que les investissements.