Un outil d’évaluation de l’impact sur la vie privée du traitement de données de l’Internet des objets ( IoT )

Introduction

Le règlement général de l’UE sur la protection des données ( RGPD ) a introduit l’analyse d’impact relative à la protection des données ( AIPD ) comme outil d’évaluation des risques associés à la technologie et au traitement des données pour la vie privée. L’AIPD vise ainsi à identifier et réduire les risques de préjudices pour les personnes physiques. Pour ce faire, l’AIPD est effectuée chaque fois qu’il existe une probabilité considérable que le traitement des données puisse engendrer des risques pour les droits et libertés des personnes précitées. Ce type d’évaluation permet non seulement de mesurer la conformité à la législation mais aussi de s’assurer que les questions de protection des données sont prises en compte dès le début du développement et de l’utilisation des technologies de l’information. Ainsi, l’AIPD permet aux contrôleur·se·s de données d’identifier, de traiter et d’atténuer l’impact négatif des technologies de traitement des données sur les individus. Cependant, comme la disposition légale du RGPD est abstraite, la conduite de telles évaluations est critiquée car subjective ( Wagner et Boiten 2018 ). Il est dès lors nécessaire d’introduire des directives concrètes et détaillées dans le processus d’évaluation ainsi que des outils automatisés capables d’accélérer l’analyse.

Démarche de recherche

Dans le but d’améliorer la méthodologie d’évaluation des risques liés à la vie privée, nous avons développé un outil pratique qui permet aux organisations d’effectuer des évaluations plus objectives. Comme ce type d’évaluation varie en fonction du domaine de mise en œuvre, nous abordons un scénario spécifique de traitement de données de l’Internet des objets ( IoT ) dans la surveillance connectée. Les initiatives IoT, avec des appareils portables et des réseaux de capteurs, permettent d’accéder à différents types de données. Elles sont mises en œuvre dans les organisations pour la surveillance numérique principalement pour détecter et prévenir les problèmes de santé et pour atténuer les risques sanitaires. Cependant, leur mise en œuvre s’accompagne de risques pour la vie privée. Nous souhaitons ainsi contribuer à la discussion relative à la mise en œuvre de l’AIPD en proposant une aide pratique aux contrôleur·se·s de données sous la forme d’un outil AIPD automatisé pour les projets IoT. A travers une approche continue de gestion des risques, nous suggérons un processus d’évaluation structuré qui comprend plusieurs phases. Dans la première phase, l’outil répond aux questions liées à l’objectif du projet, au contexte et à la nature du traitement des données. La deuxième phase comprend des questions détaillées sur l’analyse du flux de données : c.-à-d. la collecte, le stockage et l’utilisation des données. Dans cette phase, les différents rôles sont également identifiés pour documenter les différentes personnes impliquées dans le processus. La troisième phase consiste en une analyse de la vie privée, au cours de laquelle les risques d’atteinte à la vie privée sont identifiés au moyen d’une série de questions pertinentes et évalués par rapport aux principes de protection de la vie privée. La phase finale implique la documentation et la visualisation des résultats dans un rapport analysant l’impact sur la vie privée.

Figure 1. Le processus d’évaluation du risque pour la vie privée dans notre outil développé.