Académique Documents
Professionnel Documents
Culture Documents
données numériques
Maryse Salles
Maryse.Salles@ut-capitole.fr
M2 Miage-ISIAD
Université Toulouse I - Capitole
2018-2019
Objectifs du cours
Sensibiliser aux problèmes éthiques soulevés par
l'usage des données, et, notamment, des
grandes masses de données (Big data)
Favoriser la prise de conscience
• du rôle joué par les systèmes d'information dans les
organisations
• de la responsabilité en tant que concepteurs SIADs
• des risques liés à certains usages des outils
numériques dans la vie personnelle et professionnelle
4
Plan
I. Introduction
II. Éthique des SI, éthique des SIAD, et
éthique des données massives (Big Data)
III. Point sur les législations liées aux
données numériques
IV. Conclusion
5
I. Introduction
discussion autour des notions d'éthique, morale et
droit
point sur le plagiat
rappels sur les données et les Big Data
rappel de la place centrale, dans la vie des
organisations, des systèmes d'information en tant
que systèmes de formalisation de visions du monde
Discussion autour des notions
d'éthique, morale et droit
Quelques exemples de situations
Pour un particulier :
1. Ne pas chercher si une information est vraie ou fausse et la relayer
2. Copier un extrait de texte sur un site et l'intégrer dans un texte que l'on est
en train d'écrire soi-même
3. Propager volontairement une fausse information
4. Entretenir une relation sur Internet en ayant créé un faux profil
5. Entrer dans le SI d'une organisation, sans y faire de dégâts
Pour une entreprise cotée en bourse :
6. Ne pas diffuser une information importante (perte d'un très gros marché…)
Pour un moteur de recherche :
7. Ne pas donner les mêmes résultats à 2 internautes différents qui posent la
même requête
Pour un état :
8. Tenter d'éliminer (par ex. à l'aide de drones) des personnes dont le
comportement correspond à un profil particulier 8
Le plagiat
Toute citation, qu'elle soit issue d'un texte sur papier ou d'un
site internet, doit être clairement désignée comme telle
• guillemets, note indiquant la référence précise de la source, avec
notamment l'auteur, la page...
10
Éthique, morale, droit
Éthique : « tout le questionnement qui précède l’introduction de
l’idée de loi morale » (Ricœur, 1998)
• ce qu'une personne juge juste, bien…
Morale : « tout ce qui, dans l’ordre du bien et du mal, se rapporte à (…) des normes, des impératifs » (Ricœur,
1998)
Idée d’une chaîne qui reconstruit « tous les intermédiaires entre la liberté, qui est le point de départ, et la loi,
qui est le point d’arrivée » (Ricœur, 1998)
12
Rappels sur les données
et les Big Data
14
Ceci n'est pas la mer
méditerranée .
Le logiciel COMPAS calcule un score de risque
de récidive à partir de données quantifiées
sur 18 thèmes
Criminal Involvement, Noncompliance
History, Violence History, Current Violence
Criminal Associates/Peers,
Social Environment, Criminal Opportunity
Bernard Parker
Family Criminality, Vocation/Education Score COMPAS : 10
(le plus haut)
Substance Abuse, Financial Problems
Social Isolation, Social Adjustment,
Socialization Failure, Residential Instability
Criminal Thinking, Criminal Personality, Leisure/Boredom
• ex. : on compare les données biologiques, d'activité physique… d'une personne donnée à
l'ensemble des profils sanitaires calculés, pour déterminer son niveau de risque
• ex. : on compare le type de navigation dans un site marchand, les produits regardés, les achats
effectués avec ceux des groupes de consommateurs que l'on a définis…
25
Rappel : les SI en tant que
systèmes de formalisation de
visions du monde
Les SI : des systèmes de
formalisation de visions du monde
Les données sont un des composants des SI
• quels autres composants selon vous ?
Exemples de formalisations de visions du monde
• Nomenclatures tâches infirmières qui n'inclut pas la
communication vers les familles
• Critères de Maastricht (tous financiers) pour représenter la
convergence économique des pays européens
• Jeu de valeurs biologiques pour évaluer l'état de santé
• Indicateurs de nombre d'arrestations pour mesurer
l'efficacité de la police
• etc. 27
Sur la représentation d'un pays
au travers de son PNB…
"Our Gross National Product, now, is over $800 billion dollars a year,
but that GNP - if we judge the USA by that - that GNP counts air
pollution and cigarette advertising, and ambulances to clear our
highways of carnage. It counts special locks for our doors and the jails
for the people who break them. It counts the destruction of the
redwood and the loss of our natural wonder in chaotic sprawl. It counts
napalm and counts nuclear warheads and armored cars for the police
to fight the riots in our cities. It counts (…) the television programs
which glorify violence in order to sell toys to our children. Yet the GNP
does not allow for the health of our children, the quality of their
education or the joy of their play. It does not include the beauty of our
poetry or the strength of our marriages, the intelligence of our public
debate or the integrity of our public officials. It measures neither our
wit nor our courage, neither our wisdom nor our learning, neither our
compassion nor our devotion to our country, it measures everything in
short, except that which makes life worthwhile. "
Robert F. Kennedy, University of Kansas, March 18, 1968 28
Personnes impactées par les SI
29
Les entités concernées par
l'éthique et le droit des SI
D'après vous, quelles sont les entités
(personnes, organisations, groupes…)
concernées par
• l'éthique informatique
• le droit (portant sur le numérique)
30
Plan
I. Introduction
II. Éthique des SI, éthique des SIAD,
éthique des données massives (Big Data)
31
II. Éthique,
éthique des SI, des SIAD,
et des données massives
Petite introduction à l'éthique
Bref historique de l'éthique informatique
État de l'art (très) résumé de l'éthique
informatique
Éthique : une aide à la décision
Aide à la décision
• personnelle pour l'ingénieur décisionnel
• collective pour l'organisation
Comment prendre une décision quand
• plusieurs niveaux (éthique, morale, déontologie, droit) sont en
opposition
morale et droit, éthique et déontologie, éthique et droit, etc.
• au sein d'un même niveau, des valeurs sont en opposition
Dans ces situations : la réponse à la question "que
dois-je faire ?" dépend de la personne ou de
l'organisation, c'est-à-dire de leur éthique
33
Petite introduction à l'éthique
Discussion : que pensez-vous des
2 citations suivantes ?
"Les tabous sur la vie et la mort ont des conséquences.
L’explicitation des arbitrages liés à la santé, par exemple,
soulève des controverses, dont l’effet premier est parfois
l’augmentation du nombre de décès. Nos réticences à
faire des calculs entre le nombre de personnes à sauver et
les moyens mis en œuvre coûtent des vies à des millions
de personnes chaque année. N’est-il pas absurde, par
exemple, de dépenser des millions d’euros dans un
service chirurgical pour sauver une vie lorsqu’on pourrait
consacrer la même somme dans un autre service pour
sauver davantage de vies ? La possibilité de ces calculs
choque ; mais il est tout aussi choquant de refuser par
principe de les faire, car le prix à payer pour ce refus est
important en nombre de vies perdues."
35
"(…) le professeur Gary Becker remarquait à propos
du don d’organes que l’interdiction de vendre son
rein limitait les donations, condamnant ainsi chaque
année des milliers de personnes aux États-Unis à
mourir faute de donneurs. Pour lui, les détracteurs
du marché d’organes ne doivent donc pas se draper
dans leur vertu, leur idéal de moralité, qui s’avère
aussi coupable de la mort des malades en demande
d’organes. On ne peut pas se targuer de moralité
quand on est contre le commerce des organes (…)."
Dans l’éthique kantienne, c'est l'intention de l'action (et elle seule) qui
permet d’en qualifier la valeur morale
• les conséquences de l’action ne peuvent permettre de déterminer sa valeur morale
(opposition avec l'utilitarisme)
procurer le bonheur au plus grand nombre ne peut être le critère d'une action juste
rendre un homme heureux n'est pas le rendre bon, le rendre habile à gérer ses intérêts n'est pas le rendre
vertueux (cf. révélations des Panama papers et des Paradise papers…)
ex. d'action non éthique de par son intention
– une entreprise qui applique principes de non-discrimination pour améliorer son image : l'intention est la
recherche d'un intérêt => action non juste
– voir charte CIGREF « pour préserver la confiance »
• les conséquences d'une action peuvent être mauvaises mais l'action rester juste, de par
l'intention qui est à son origine 42
Éthique kantienne, éthique du devoir
(déontologie au sens philosophique) 2/2
La définition de la liberté par Kant est très différente de celle des libertariens
• nous pouvons agir librement parce que nous avons la capacité de raisonner
• il distingue autonomie et hétéronomie
• être autonome (et donc véritablement libre) c'est, en suivant une loi que l'on se donne,
entreprendre une action pour elle-même, en tant que fin en soi (et non à la recherche
d'un intérêt, d'un plaisir…)
43
Aristote ou l’importance des fins
Pour Aristote, le but de la vie est la « vie bonne »
• L’éthique est assimilable à la recherche du bonheur (eudaimonia), lequel
ne peut s’atteindre que par le développement des vertus
le bonheur est distinct des plaisirs
• L’action morale est donc celle qui va rendre l’individu meilleur, et c’est à
l’aide de ses vertus (en particulier la capacité de choisir le juste milieu, la
phronesis) qu’il pourra distinguer les actions morales de celles qui ne le
sont pas
Le rôle de la société
• « Celui qui n’est capable d’appartenir à une communauté ou qui n’en a pas
besoin parce qu’il se suffit à lui-même n’est en rien une partie d’une cité, si
bien que c’est soit une bête, soit un dieu. » (Aristote, cité par Sandel)
il nous faut donc participer à la vie de la cité, être des citoyens à part entière
• la communauté (pour Aristote : la Cité) doit avoir pour but de rendre les
citoyens bons et juste. Ceux qui la dirigent doivent être supérieurs par leur
vertus civiques et leur capacité à identifier le bien commun 45
Les liens individus / société
Pour les approches évoquées, hormis celle d’Aristote,
l’individu a très peu ou pas de devoir envers la société à
laquelle il appartient
• ses choix éthiques dépendent de lui et ne sauraient, pour l’essentiel,
lui être imposés
47
L’éthique au niveau de
l'entreprise
L’éthique de l’entreprise vue comme une entité spécifique => éthique
des affaires (business ethics)
• deux approches principales (mais il en existe d'autres)
1. Théorie de l’actionnaire (stockholder theory)
• éthique de type conséquentialiste/utilitariste
• la seule mission de l’entreprise est de faire du profit, en particulier pour
rémunérer les actionnaires
• représentant le plus connu : Milton Friedman, qui a titré un article
« The Social Responsability of Business is to Increase its Profit »
Valeurs défendues
• Valeurs a minima : PAPA
privacy, accuracy, property, accessibility
plus récemment : non-discrimination, utilisabilité pour
tous, neutralité (freedom from bias), imputabilité,
consentement éclairé, transparence, bien-être humain,
démocratie
56
Éthique informatique 2/2
58
Que pensez-vous de cette citation ?
« Les "rapports standard" peuvent être un
atout pour une organisation parce qu'ils
limitent le choix pour les utilisateurs quand il
s'agit de rechercher les informations pour
prendre les décisions. En disant aux
utilisateurs quelle information ils devraient
regarder, le concepteur des "rapports
standard" supprime le fardeau de décider ce
qui est important et ce qui ne l'est pas »
(Craig et al., 1999), cités par (Meredith & Arnott, 2003)
59
Deux approches de l'éthique
pour les SIAD
1. L’éthique centrée sur les décisions prises
• considère la qualité des décisions prises à l’aide d’un SIAD et
leurs conséquences, et suggère que les décideurs devraient
être alertés sur ces conséquences par le SIAD même
• idée que les concepteurs de SIAD ne doivent pas considérer
uniquement les facteurs techniques, mais aussi les
considérations éthiques et morales
• notion d'ethical decision support systems (EDSS)
2. L’éthique centrée sur le processus de décision
• s’intéresse à l’influence que le SIAD peut avoir sur la façon
dont la décision est prise
« (...) Les systèmes d'aide à la décision (...) dans une mesure plus
ou moins grande, usurpent ou imposent des structures à
l'autonomie du décideur humain » (Meredith & Arnott, 2003) 60
Éthique des Big Data : dimensions
(Davis & Patterson, 2012)
La vie privée
• problème éthique : il est possible d’identifier automatiquement des personnes par le
rapprochement de données qui ne sont pas des identifiants
L’identité
• multifacette (vie professionnelle, activités associatives, goûts musicaux, positions politiques,
religion, relations amicales…), sans que l’on souhaite forcément que ces facettes soient
publiquement reliées
• problème éthique : la capacité des fournisseurs de Big Data de corréler ces différents aspects
de notre identité, sans notre consentement
La réputation
• la notion a drastiquement changé avec le nombre de personnes qui peuvent, au travers des
informations qu’elles trouvent, se former une opinion sur un individu donné. Les Big Data
accentuent cet effet
La propriété
• le droit d’auteur garantit la propriété des œuvres de l’esprit
• mais les informations qui décrivent une personne comme sa date de naissance, son poids, ses
habitudes alimentaires ou sa pression sanguine sont-elles assimilables à une œuvre ?
• une compagnie privée a-t-elle le droit de posséder des informations sur une personne sans que
celle-ci les lui ait vendues ou cédées ? 61
Éthique des Big Data : valeurs
Cinq valeurs éthiques que les Big Data devraient respecter (Abrams, 2014)
Les usages considérés sont avant tout les usages grand public
• les SI dans les organisations, et leur impact sur les conditions et le
contenu du travail ne sont pas traités
• l’impact des SI sur la démocratie d’entreprise ne sont pas ou très
évoqués
• les usages en aide à la décision sont peu pris en compte
64
Remarques sur l’éthique
informatique 2/2
L'éthique informatique cherche avant tout à protéger des
individus, mais pas une organisation, ni la société dans son
ensemble
Les valeurs défendues par l’éthique informatique sont de niveaux
très variés
• il n’y a pas d’organisation générale, ni même une hiérarchie
• or certaines valeurs peuvent être « génériques » (ex. démocratie) et entraîner
« automatiquement » le respect d’autres valeurs
• et d’autres valeurs peuvent être contradictoires entre elle
Elles laissent de côté la question des visions du monde
• la plupart des travaux en éthique informatique se situent au niveau micro, en
considérant le niveau macro comme donné
• le niveau macro correspond aux représentations, ou visions du monde, ou
encore au telos d’Aristote
il est déterminant de tous les choix faits en aval
65
Plan
I. Introduction
II. Éthique, éthique des SI, des SIAD, et des
données massives (Big Data)
III.Point sur les législations liées aux
données numériques
Conclusion
Bibliographie
III. Le droit des données
numériques
Point sur les législations
Les institutions impliquées
Remarques
Quelques exemples de codes professionnels
éthiques (déontologie)
Point sur les législations
Diversité des approches des
données
Pour le droit des données numériques, il y a
différents types de données
• données personnelles
protégées sur le fondement des droits de la vie privée, de la
personne
• données relevant du droit d'auteur
protégées sur le fondement de la propriété
– droit d'auteur (basé sur l'originalité de la production)
– pour les bases de données, au-delà du droit d'auteur, le droit dit sui generis qui
protège une base de données sous la condition d'un investissement substantiel
pour sa constitution
• Pour vous, y a-t-il d'autres types de données qui pourraient être considérées comme
personnelles ?
Données sensibles
• "Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou
l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou
l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données
biométriques aux fins d'identifier une personne physique de manière unique, des données concernant
la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique."
• Pour vous, y a-t-il d'autres types de données qui devraient être considérées comme
sensibles ?
73
Principes et définitions 4/5
74
Principes et définitions 5/5
Les données sont collectées et traitées de manière loyale et licite
Elles sont adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et de leurs traitements ultérieurs
Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures
appropriées doivent être prises pour que les données inexactes ou incomplètes au
regard des finalités pour lesquelles elles sont collectées ou traitées soient
effacées ou rectifiées
Elles sont conservées sous une forme permettant l'identification des personnes
concernées pendant une durée qui n'excède pas la durée nécessaire aux
finalités pour lesquelles elles sont collectées et traitées
75
Principaux droits instaurés par
ces lois 1/4
Attention : ces droits ne s'appliquent pas pour certains fichiers de
l'administration (police, justice, services fiscaux, sécurité sociale, etc.)
Rappel : ne peuvent pas être collectées les "données sensibles"
• exceptions : par exemple les fichiers nécessaires aux droits des justiciables, à la
recherche médicale ou justifiés par l'intérêt public (sûreté de l'État, sécurité
publique...)
Nota : les recours doivent pouvoir être effectués par voie électronique
Droit d'information/accès
• Accès direct : toute personne peut demander au responsable d'un fichier s'il
détient des informations sur elle et de les lui communiquer
• Accès indirect : pour certains fichiers sensibles => en s'adressant au président
de la Cnil
Droit de rectification
• toute personne peut faire corriger, compléter, mettre à jour, verrouiller ou
effacer les informations la concernant
si elles sont inexactes, incomplètes, équivoques ou périmées,
ou si leur collecte, leur utilisation, leur communication ou leur conservation est interdite.
• le responsable du fichier doit prouver qu'il a procédé aux opérations nécessaires
il est possible d'exiger une copie gratuite des données modifiées
Droit d'opposition
• toute personne peut s'opposer à la présence de données la concernant dans un
fichier
il faut un motif légitime
• elle peut également s'opposer à ce que des données soient utilisées à des fins
commerciales
pas de motif nécessaire
voir plus loin transparent "Se protéger" 77
Principaux droits instaurés par
ces lois 3/4
Droit à la portabilité des données personnelles (y compris d'usage en ligne)
• toute personne a le droit de recevoir les données à caractère personnel la
concernant, dans un format structuré, couramment utilisé et lisible par machine, et
a le droit de transmettre ces données à un autre responsable de traitement
ex. de données d'usage en ligne : compte utilisateur d’une banque en ligne, d’un service de e-commerce
ou encore les préférences sur un site d’écoute musicale en ligne
Mort numérique
• Testament numérique
"Toute personne peut définir des directives relatives à la conservation, à l'effacement
et à la communication de ses données à caractère personnel après son décès."
Sanctions prévues
• Deux plafonds suivant nature des manquements (telle que définie
dans la RGPD)
maximum de 10 M€ (ou 2% CA mondial)
maximum de 20 M€ (ou 4% CA mondial)
79
Les obligations de l'organisation qui crée
une base de données personnelles 1/2
Suppression de l'obligation de déclaration à la CNIL
Protection des données dès la conception (" Privacy by
design")
• le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens du traitement qu'au moment du
traitement lui-même, des mesures techniques et organisationnelles
appropriées, telles que la pseudonymisation, qui sont destinées à
mettre en œuvre les principes relatifs à la protection des données
80
Les obligations de l'organisation qui crée
une base de données personnelles 2/2
Étude d’impact
• obligation de réaliser des analyses d’impact relatives à la protection des
données (analyse des risques d’atteintes aux droits et libertés individuelles)
Nota sur la protection des données à caractère personnel traitées à des fins
répressives
• chaque Etat membre doit suivre un cadre commun tout en développant sa propre
législation qui devra reprendre toutes les règles de base en matière de protection
des données personnelles
notamment : la collecte de données personnelles ne peut être faite sans objectif clair, sans
durée limitée et les justiciables auront des droits clairs, comme celui de savoir quelles sont les
données collectées, à quelle fin, et combien de temps elles seront conservées
81
Les obligations des plateformes
Obligations liées au RGPD en matière de
"traitement loyal et transparent"
• profilage : "la personne concernée doit être
informée de l'existence d'un profilage et des
conséquences de celui-ci"
82
Les institutions impliquées :
pouvoir législatif, autorités de
contrôle
Le pouvoir législatif et les
organes de contrôle
Institutions générales détentrices du pouvoir
législatif
• France : parlement national
• Europe : parlement européen, conseil de l'Union européenne,
commission européenne (pour les propositions de loi)
Anticiper et innover
• dans le cadre de son activité d’innovation et de prospective, la CNIL
s’intéresse aux signaux faibles et aux sujets émergents.
• elle a pour mission de conduire une réflexion sur les problèmes éthiques
et les questions de société soulevés par l’évolution des technologies 86
CNIL : 4 missions principales 2/2
Contrôler et sanctionner
• Le contrôle sur place, sur pièces, sur audition ou en ligne
permet à la CNIL de vérifier la mise en œuvre concrète de
la loi
• Lors d’un contrôle sur place, la CNIL peut :
accéder à tous les locaux professionnels
demander communication de tout document nécessaire et d’en prendre
copie
recueillir tout renseignement utile et entendre toute personne
accéder aux programmes informatiques et aux données
• Ex. de sanctions possibles (après mise en demeure)
pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de
3 millions d’euros (Règlement UE pour 2018 : 20 M€)
injonction de cesser le traitement
retrait de l’autorisation accordée par la CNIL
87
Le Data Protection Officer (DPO) 1/2
Source : site CNIL
Voir https://www.cnil.fr/fr/dpo-par-ou-commencer
Obligatoire pour
• Les autorités ou les organismes publics
• les organismes dont les activités de base les amènent à
réaliser un suivi régulier et systématique des personnes à
grande échelle
• les organismes dont les activités de base les amènent à
traiter à grande échelle des données dites « sensibles » ou
relatives à des condamnations pénales et infractions
• En dehors des cas de désignation obligatoire, la désignation
d’un délégué à la protection des données est encouragée par
les membres du G29
88
Le Data Protection Officer (DPO) 2/2
Missions : organise et met en œuvre la conformité en
matière de protection des données au sein de son
organisation. Pour cela il est chargé
• d’informer et de conseiller le responsable de traitement ou le
sous-traitant, ainsi que leurs employés
• de contrôler le respect du règlement et du droit national en
matière de protection des données
• de conseiller l’organisme sur la réalisation d’une analyse
d'impact relative à la protection des données et d’en vérifier
l’exécution ;
• de coopérer avec l’autorité de contrôle et d’être le point de
contact de celle-ci.
Nota : le délégué n’est pas personnellement responsable en cas
de non-conformité de son organisme avec le règlement 89
CNIL : coopérations internationales
Conseil de l’Europe
• La CNIL suit les travaux de modernisation de la convention 108
et des activités du Comité consultatif de la convention 108 (T-PD)
comme représentant de la Conférence Internationale des
Commissaires à la Protection des Données et de la Vie Privée
91
Conseil National du Numérique
(CNNum)
Source : site du CNNum : https://cnnumerique.fr/
France
Le Conseil national du numérique a pour mission de formuler de
manière indépendante et de rendre publics des avis et des
recommandations sur toute question relative à l’impact du numérique
sur la société et sur l’économie
• exemple : le CNNum exprime ses "préoccupations" à propos du mégafichier TES
À cette fin, il organise des concertations régulières, au niveau national
et territorial, avec les élus, la société civile et le monde économique
Il peut être consulté par le Gouvernement sur tout projet de
disposition législative ou réglementaire dans le domaine du numérique
Intervention sur les algorithmes des grandes plateformes
• le CNNum va élaborer un outil permettant aux utilisateurs de noter toutes leurs
mauvaises expériences avec ces algorithmes
92
Contrôle des plateformes
Projets sur les algorithmes (France)
Projet du CNNum (grand public et entreprises)
• outil pour stocker mauvaises expériences avec algorithmes
Préconisation rapport CGE (Conseil général des entreprises)
• créer "une plateforme collaborative scientifique, destinée à favoriser le
développement d’outils logiciels et de méthodes de test d’algorithmes "
• logique d'autorégulation
=> Projet TransAlgo de l'Institut national de recherche dédié aux sciences
et technologies du numérique (INRIA) (recherche) www.transalgo.org
• pour définir normes définissant un algorithme "loyal" (non coupable de
discriminations raciales, géographiques, financières, liées à l'âge, au sexe…), fiable…
• pour lancer une plate-forme permettant à toute entreprise de tester son algorithme
pour voir s’il est en conformité avec les normes qui auront été établies
• pour aider à la diffusion de savoir-faire et de bonnes pratiques auprès de
l'ensemble des acteurs (publics, privés, citoyens)
93
Remarques
Petit rappel historique : de
SAFARI au TES
SAFARI
• Projet de centraliser les répertoires régionaux d’identification et de les
interconnecter avec les fichiers CNAV et celui des cartes d’identité (1971)
• Perçu comme une grave atteinte à la liberté, manifestations…
• => création de la CNIL, loi informatique et liberté (1977-1978)
• aujourd’hui, toutes ces centralisations et interconnexions ont été faites
(mais avec un certain contrôle de la CNIL)
Projet TES
• rassemble toutes les empreintes biométriques des Français
• étendu à tous les départements de France d’ici fin mars 2017
• malgré protestations dans la société civile, malgré avis très critiques de la
CNIL et du CNNum (qui demande la suspension du projet) …
https://cnnumerique.fr/nos-travaux/fichier-des-titres-electroniques-securises-tes
• mais il devrait être possible de refuser que ses empreintes soient fichées
dans le cas d'une demande de carte d'identité
Votre avis sur cette évolution ? Votre avis sur le fichier TES ? 95
Le difficile équilibre entre
sécurité et liberté
Il est impossible d'avoir une sécurité très élevée sans
atteinte aux libertés individuelles
• même si les mesures en matière de sécurité qui ont réduit les
libertés peuvent être contestables sur le plan de leur efficacité
réelle
Illusion de l'anonymisation
• il est possible d’identifier automatiquement des personnes par
le rapprochement de données qui ne sont pas des identifiants
possible d’identifier 70% des citoyens des États-Unis dès lors que l’on dispose
de leur date de naissance, sexe et code postal
avec 5 informations, les chances peuvent grimper à près de 99 %
"En 1993, le New Yorker a publié un célèbre dessin avec des chiens devant un
ordinateur, dont la légende suivante: «Sur Internet, personne ne sait que vous
êtes un chien» (...). À l'époque, c'était drôle parce que c'était vrai.
Aujourd'hui, cependant, à l'ère des Big Data, il est non seulement possible
pour les gens de savoir que vous êtes un chien, mais aussi de quelle race vous
êtes, votre nourriture favorite, votre lignée, et si vous avez déjà gagné un prix 98
Trois illusions dangereuses 2/2
104
Code de l'ACM 1/2
3. Product
• Software engineers shall ensure that their products and related
modifications meet the highest professional standards possible.
4. Judgment
• Software engineers shall maintain integrity and independence in
their professional judgment.
Code de l'ACM 2/2
5. Management
• Software engineering managers and leaders shall subscribe to and
promote an ethical approach to the management of software
development and maintenance.
6. Profession
• Software engineers shall advance the integrity and reputation of the
profession consistent with the public interest.
7. Colleagues
• Software engineers shall be fair to and supportive of their
colleagues.
8. Self
• Software engineers shall participate in lifelong learning regarding
the
practice of their profession and shall promote an ethical approach to
the practice of the profession.
106
Code du CyberSecurity Institute 1/2
"Our students, employees, contractors, and those testing for the CyberSecurity Forensic
Analyst (CSFA)™ certification must agree to and abide by this Code of Ethics and
Conduct"
1.I will observe and honor any other code of ethics or conduct for the organizations I am
a member of or employed by.
2.I will respect the confidential nature of any information, methodologies, or techniques
that I become aware of in relation to computer forensics/forensic computing.
3.I will strive to keep my technical skills current.
4.I will be honest and forthright in my dealings with others.
5.I will not reveal facts, data or information without the prior consent of my client or
employer except as authorized or required by law.
6.I will not accept compensation for my services based on contingency.
7.I will not permit the use of my name by, or associate in business ventures with, any
person or firm that I believe to be engaged in fraudulent or dishonest practices.
8.I will perform services only in areas I am competent in. I will rely upon other qualified
parties for assistance in matters that are beyond my area of expertise.
9.I will maintain custody and control over whatever materials are entrusted to my care. 107
Code du CyberSecurity Institute 2/2
10.
I will refuse or terminate involvement in any work when I feel that I am being coerced into a
particular opinion.
11.
I will disclose all known or potential conflicts of interest that could influence or appear to
influence my judgment or the quality of my services.
12.
I will not falsify my qualifications or permit misrepresentation of my associates'
qualifications, nor will I misrepresent or exaggerate my responsibilities in or for the subject
matter of prior assignments, employment, or past accomplishments.
13.
I will always acknowledge my errors and will not distort or alter the facts.
14.
I am to be committed to the integrity of my profession, and will avoid situations in business
or personal life where I might contribute to the wrongdoing of others or find myself viewed
as a contributor to wrongdoing.
15.
I will conduct my work based upon established, validated principles.
16.
I will only render opinions that are demonstratively reasonable.
17.
I will do my best to thoroughly examine and analyze all evidence, and will not withhold any
of my findings, whether inculpatory or exculpatory.
18.
I will provide assistance to those involved in my profession, as long as my assistance does not
conflict with any other provision of this Code of Ethics and Conduct.
19.
I will conform to all laws - federal, state, and local - pertinent to my profession .
If I am unsure of the laws in a given situation, I will seek the assistance of legal counsel. 108
France : chartes et rapports 1/3
Ce qui est mis en avant par les entreprises dans les chartes : la question de la
confiance des clients envers l'entreprise
• "construire une éthique commune entre l'entreprise et son éco-système [pour] préserver la
confiance" (CIGREF)
• "l'utilisation des données, dans un cadre défini, n'est légitime que si elle sert l'intérêt de nos clients.
Nous souhaitons maintenir le capital confiance élevé du groupe" (Crédit Agricole)
113
Se protéger de la surveillance,
se protéger des fausses
informations
Se protéger de la surveillance
Transparents 115 à 120 : inspirés de « Data and Goliath » de Bruce Schneier
Éviter la publicité
• Refuser que vos données personnelles soient utilisées à des fins
commerciales
Fichiers Robinson-Stop publicité : www.e-robinson.com (téléphone et e-mail)
Téléphone (Orange) : liste orange
119
Trouver un équilibre
• Les solutions évoquées peuvent vous priver
d’avantages ou vous rendre la vie plus
difficile
ex. : ne pas avoir de carte de fidélité vous fais perdre certaines offres
commerciales
ex. : payer en espèces demande de s’organiser pour avoir toujours de
l’argent liquide sur soi
ex. : ne pas avoir son mobile avec soi peut être compliqué…
120
Vérifier les informations diffusées
sur internet
Sites de vérifications des faits (« fact checking »)
Sites généraux
• recensement de sites : https://reporterslab.org/fact-checking/#
• réseau :
http://www.poynter.org/2015/fact-checkers-of-the-world-unite/379716/
En France
• Sites de la presse
http://desintox.blogs.liberation.fr/
http://lemonde.fr/lesdecodeurs (crowd checking)
• Sites spécialisés
sur les canulars (Web, mails…) : http://www.hoaxbuster.com/
124
La responsabilité des parties
prenantes dans la conception de
SI et de SIAD
La responsabilité des parties prenantes dans la
conception de SI et de SIAD
Enjeux sociaux, environnementaux, économiques ou culturels majeurs
Risque que les outils d'aide à la décision orientent les décision de façon
souterraine, non perceptible
• importance de la phase de définition du problème, déterminée par les représentations
incluses dans les SIAD
Il est nécessaire d'interroger la façon dont ces systèmes sont construits
de prendre conscience des valeurs éthiques à respecter
et de les intégrer dès le début de la conception