Section 2 : Les mesures techniques
La mise en oeuvre de mesures techniques et organisationnelles
pour garantir le privacy by design et le privacy by default
est conditionnée à « l'état des
connaissances231 ». Il convient donc de définir
l'état de l'art des technologies garantissant la vie privée avant
de définir un régime spécifique de traitement par un
logiciel d'intelligence artificielle. D'après l'EDPS seule l'ENISA est
compétente pour définir l'état de l'art des
PETs232.
Il existe deux grandes catégories de PETs
adaptées au traitement du big data. Il s'agit du chiffrement
(§1) et de la pseudonymisation (§2)233. Ces
procédés se distinguent par leur finalité. Le premier vise
à garantir la sécurité d'un canal de communication par un
codage à clé, dont l'information ne peut être
décodée qu'avec une clé secrète. Le second vise
à éviter l'identification d'un individu en évitant qu'un
attribut soit mis en relation avec une donnée en permettant ainsi de
ré-identifier une personne concernée234. Ces
techniques permettent de protéger les données, les bases de
données et leurs infrastructures. Trois dimensions sont à prendre
en compte : le contrôle de la divulgation statistique, l'exploration des
données dans le respect de la vie privée et la
récupération de données privées235.
227 C. Villani, « Donner un sens à l'intelligence
artificielle », mars 2018, p.147
228 Commission Européenne « Robustesse et
explicabilité de l'intelligence artificielle », 2020, p. 23
229 G. D'acquisto, J. Domingo-ferrer, ENISA, « Privacy by
design in big data», décembre 2015, p. 60
230 B. Nguyen, « Survey sur les techniques
d'anonymisation : Théorie et Pratique », Journée CERNA
sur l'Anonymisation, P.50
231 Art. 25 1. RGPD
232 EDPS, « avis préliminaire sur le respect de la
vie privée dès la conception », avis 5/2018, 31 mai 2018,
p.20
233 G. D'acquisto, J. Domingo-ferrer, ENISA, « Privacy by
design in big data», décembre 2015, p27,38 et s.
234 G 29, Avis 05/2014 sur les Techniques d'anonymisation,
0829/14/FR WP216, 2014 p.32
235 G. Danezis, J. Domingo-Ferrer, ENISA, Privacy and Data
protection by design, op. cit., p. 32
- 43 -
Les moyens d'autorégulation adaptés à
l'intelligence artificielle
§1. Les techniques de chiffrement
1.1. Les procédés de chiffrement
Le mécanisme de cryptographie est défini
à l'article 29 de la Loi pour la confiance dans l'économie
numérique comme « tout matériel ou logiciel conçu
ou modifié pour transformer des données, qu'il s'agisse
d'informations ou de signaux, à l'aide de conventions secrètes ou
pour réaliser l'opération inverse avec ou sans convention
secrète.236 ». Il existe deux types de chiffrement
: asymétrique et symétrique. Le chiffrement est un
procédé réversible consistant à remplacer la valeur
d'une donnée par une donnée pseudonyme appelée «
clé d'identification » ou « token »237. Le
processus de chiffrement fonctionne avec une table de correspondance. Il faut
donc sécuriser les serveurs qui hébergent ces tokens, voire
chiffrer la table de correspondance. Il est par ailleurs recommandé
d'effectuer une séparation physique entre le lieu de stockage des
données pseudonymisées et les tokens. La CNIL recommande l'usage
d'algorithmes de hachage à clé secrète tel que le HMAC.
L'ANSSI a publié des référentiels relatifs aux
mécanismes cryptographiques238, aux clés
cryptographiques239, et à l'identification240.
Le chiffrement permet de protéger le matériel,
les bases de données, et les fichiers241. Il
représente un intérêt tout particulier en matière de
souveraineté numérique puisqu'il permet d'empêcher un
intermédiaire de décrypter une donnée et ainsi
empêcher les autorités étrangères de demander la
divulgation de ces informations242. Ce procédé permet
ainsi d'empêcher l'identification directe de la personne concernée
en cryptant la donnée.
1.2. Les opportunités offertes par la technologie
Blockchain
La technologie Blockchain peut contribuer à la mise en
oeuvre des principes de privacy by default et de privacy by
design. En effet, elle permet tout d'abord de «
décentraliser la protection des données243
». Le rapport parlementaire « numérique et libertés
»244 juge que cette
236 Loi pour la confiance dans l'économie numérique
n° 2004-575, 21 juin 2004
237 A. Jomni, « RGPD : un atout ou un frein pour la
sécurité ? », Dalloz IP/IT, P.352, Juin 2019
238 ANSSI, « Mécanismes
cryptographiques», 26 janvier 2010
239 ANSSI, « Gestion des clés
cryptographiques», 24 octobre 2008
240 ANSSI, « authentification »,13 janvier
2010
241 CNIL, «Analyse d'impact à la protection des
données, les bases de connaissances », p. 13
242 F. Montaugé, G. Longuet, Rapport Commission
d'enquête sur la souveraineté au numérique, « le
devoir de souveraineté numérique : ni résignation, ni
naïveté » version provisoire, n° 7 tome I
(2019-2020) , 1 octobre 2019, P. 74
243 G. Zyskind, O. Nathan and A. S. Pentland,
"Decentralizing Privacy: Using Blockchain to Protect Personal Data," 2015
IEEE Security and Privacy Workshops, San Jose, CA, 2015, P. 180-184
244 Rapport à l'Assemblée nationale n°3119
« Numérique et libertés, un nouvel âge
démocratique », présenté par C. Paul et C.
Féral-Schuhl 2015, P. 118
- 44 -
Les moyens d'autorégulation adaptés à
l'intelligence artificielle
technologie présente un intérêt au regard
de la sécurité des données du fait de son système
de registre décentralisé sécurisé.
Cette technologique pourrait également proposer une
forme d'anonymat car la Blockchain permet de conserver un réel anonymat
par le mécanisme du Zero Knowledge Proof,
(ZKP). Cette technologie permet par un mécanisme
d'isomorphisme d'effectuer une vérification sur la validité de la
donnée, sans avoir accès à cette
dernière245. Néanmoins, à l'heure actuelle, le
procédé de chiffrement ne peut constituer un processus
d'anonymisation tant que la clé ou les données originales sont
accessibles, mêmes lorsqu'elles sont mises en séquestre par un
tiers246.
Il faudra par ailleurs réévaluer la
fiabilité de ces techniques selon les évolutions de la
technologie quantique247.
| 
