To learn more about the regulation’s details, you can refer to this article: What does DORA mean for Resilience of financial organisations?

The key deadline of January 17, 2025, marks the theoretical compliance date for financial entities. It also signals the beginning of supervisory operations by regulatory authorities.

In this context, Damien LACHIVER and Etienne BOUET, Senior Managers at Wavestone and experts in DORA compliance, with extensive experience supporting CAC40 entities, share their insights into the practical challenges and opportunities brought by this regulation, as well as the regulators’ expectations and essential actions for effective preparation.

How does DORA go beyond mere regulatory compliance?

E.BOUET: DORA should not be seen merely as a compliance exercise. Yes, there are regulatory requirements to meet, but the real challenge lies in building resilience. The question to ask is: how can compliance with DORA effectively enhance operational resilience? This connection is not always straightforward. For instance, gap analyses or cybersecurity audits often reveal vulnerabilities, and compliance alone is insufficient if it doesn’t come with genuine improvements in resilience.

D.LACHIVER: Many entities are still focused on compliance since DORA addresses areas already well established, such as cybersecurity, business continuity, and IT risk management. Large organizations, in particular, already benefit from high compliance levels due to decades of experience.

However, beyond this compliance phase, it is crucial to shift towards remediation and anticipation, implementing initiatives that will not be fundamentally different from the historical programs already initiated. The real focus should be on identifying new scenarios or solutions that can strengthen resilience.

What are the critical scenarios to consider for improving resilience?

D.LACHIVER: Two major scenarios require significant attention and investment:

• Total loss of internal IT systems: how can information systems be restored and fully rebuilt after a large scale cyberattack?
• The sudden loss of a critical third party: what happens if I lose a partner or service provider whose operational disruption has a significant structural impact on my business?

E.BOUET: The growing dependence on third parties has noy yet been fully recognized as a major risk. The associated scenarios are not sufficiently integrated into strategic priorities, leading to a lack of investment in preparedness.

Will financial entities be ready by January 17, 2025?

E.BOUET: It is unlikely that all companies will be fully ready by January. The market as a whole faces delays, although significant progress has been made. For instance, most of the normative documents required for compliance have been finalized, and priorities have been aligned with risk management needs.

D.LACHIVER: Indeed, January 17, 2025, will mark more of a milestone than a conclusion. Most operational projects, such as third-party management, remain to be addressed and will require ongoing effort.

What are the main challenges in implementing DORA?

E.BOUET: Initially, the main challenge was mobilizing a wide range of stakeholders: cybersecurity, risk management, procurement, legal, business, IT… While the topics addressed by DORA were already familiar to these teams, the regulation raises expectations and introduces additional requirements to roles thar are already well-defined.

D.LACHIVER: Historically, these areas have often been handled in a fragmented, siloed manner. However, DORA demands significant and measurable progress in resilience, which requires a more coherent and integrated approach. Today, two key priorities stand out:

• Third-party management, which represents a massive challenge.
• Threat-Led Penetration Testing (TLPT), an ambitious but complex novelty.

Why is third-party management such a significant challenge?

E.BOUET: Third-party management (TPRM) is one of the key challenges posed by DORA. Third parties are everywhere, but they are often poorly managed. It’s not always clear whether they are critical or not, and relationships often lack proper structure. Managing reliance on critical third parties is common sense, but it goes far beyond contractualization: organizations need to identify their third parties, assess their criticality, and manage this dependency operationally, a challenge for many.

D.LACHIVER: Historically, this has been a neglected area, often handled in silos by procurement, cybersecurity, business continuity, and other functions. There is a lack of a comprehensive view of third-party risks. DORA’s aims is precisely to move beyond this fragmented approach and build a cohesive end-to-end management framework throughout the contract lifecycle.

What does “testing exit strategies” with critical third parties mean?

D.LACHIVER: Testing exit strategies means anticipating how an organization would respond if a third party’s services were interrupted, whether voluntarily or involuntarily. For example, in the case of a cyberattack on a service provider, it may be necessary to sever the relationship to protect the organization’s own information systems.

E.BOUET: Tabletop exercises help assess reliance on third parties and theoretically simulate the procedures to follow in different scenarios. They also encourage organizations to rethink their relationships with certain providers, particularly those unable to align with DORA’s requirements.

What makes TLPT (Threat-Led Penetration Testing) a specific challenge?

D.LACHIVER: TLPT is one of the key innovations introduced by DORA. It involves threat-led penetration tests guided by the DORA regulation, the theoretical TIBER framework and adapted by national authorities. While the theoretical framework is well-defined, practical implementation remains challenging, as these tests are not yet common in the financial sector. Their limited frequency (one test every three years) and the regulator’s resources reduce the immediate urgency, but they are crucial for strengthening resilience.

E.BOUET: These tests still raise many questions, as they require a new approach for some players, especially those less experienced with this type of exercise. Currently, we are in a waiting phase, with a few dry-run initiatives underway. The actual implementation will depend on the regulator’s planning and the lessons learned from the first fully executed TLPTs in the coming months.

How can DORA transform IT risk governance?

D.LACHIVER: DORA promotes a unified approach to IT risk management by breaking down silos between various functions, such as cybersecurity, business continuity, and procurement. This involves:

• Harmonizing key terminologies and concepts (for example, ensuring that the concept of criticality is understood consistently across all functions) to streamline and improve interactions with business units.
• Implementing structural changes (such as adopting a CSO model – Chief Security Officer) to establish unified governance across functions, enabling more effective and coherent decision-making.

What are the concrete requirements to comply with DORA by January 17, 2025, and beyond?

E.BOUET: The first major expectation for January 17 is the ability to identify a major incident according to DORA’s criteria and notify the regulator. This requires well-defined operational processes to ensure rapid detection and reporting. This requirement is justified, given the history of IT and security teams in a sector accustomed to managing critical incidents.

D.LACHIVER: Then, by April 30, 2025, financial entities will need to produce a register of information on their third parties. I believe organizations will be able to provide such a register by this date. However, additional work will likely be needed to improve its quality and completeness.

E.BOUET: Finally, throughout 2025, what matters is demonstrating that entities are making progress. Regulators expect projects to be initiated, identified gaps to be gradually addressed, and tangible advancements to be made. The key is to have a clear and structured roadmap to meet DORA’s expectations.

What are the long-term benefits expected from DORA?

D.LACHIVER: DORA has the potential to create a virtuous cycle by strengthening risk management, business alignment, and operational resilience within the sector. It encourages entities to go beyond compliance and integrate these priorities into their overall strategy.

E.BOUET: One key aspect is the reaffirmed responsibility of executive leadership. Their involvement, particularly through regular risk validation, enhances overall awareness and drives the investments necessary to improve resilience.

D.LACHIVER: This connection between operational teams and leadership aligns strategic and operational priorities, fostering a culture of continuous improvement. It also empowers IT risk teams and supports the transformation of organizations toward greater digital resilience.

For any support in achieving DORA compliance, you can contact:

• damien.lachiver@wavestone.com
• etienne.bouet@wavestone.com

Cet article DORA – The Challenges of Digital Resilience in the Financial Sector by 2025 est apparu en premier sur RiskInsight.

The European Union published the Digital Operational Resilience Act, or “DORA”, on December 27^th, 2022, and it entered into force on January 16^th, 2023. It sets new rules for financial entities and their ICT third-party service providers in terms of ICT resilience. Compliance to the text will be mandatory starting January 17^th, 2025.

The Digital Operational Resilience Act aims at simplifying and improving the resilience of financial service organisations by establishing a robust regulatory framework and oversight body. As previously shared in details, in our article Decrypting DORA: what does it mean for resilience of financial organisations?, it introduces requirements across five pillars: 

• ICT risk management
• ICT-related incident management, classification and reporting​
• Digital Operational resilience testing
• Managing of ICT third-party risk​
• Information and intelligence sharing (optional)

Main DORA topics and articles applying to financial entities
(article references between brackets)​

When analysing the content of the regulation and while taking into account the current maturity of the financial sector, the complexity largely differs depending on the topic addressed. As ICT frameworks are already a best practice widely adopted within the financial services sector, the effort will mainly focus on bringing more consistency across the organization. Similarly, ICT-related incident management has already integrated within its processes and tools numerous regulatory constraints in terms of classification and notification. Consequently, integrating the DORA requirements should not present major difficulties.

Nevertheless, meeting the requirements to be compliant will still have its challenges… And opportunities!

An ambitious regulation that puts the finger on known fragilities

The first challenge for many organisations will be to onboard the top management in the initiative. As DORA appoints them as accountable for monitoring, approving, reviewing, and setting the direction in terms of operational resilience, their involvement is key to the success of a potential program. Early onboarding will allow to gain precious time in identifying and validating critical functions in the scope, prioritizing the main threat scenarios, and set the pace on the topic. However, this will imply for the teams to carefully think about the proper and comprehensible KPIs and KRIs to report on the operational resilience level of the organization. As much as possible, give them quickly an overview of the regulation content and their expected role in this context!

The second challenge will be to raise the bar in terms of third-party risk management. Large organisations often have hundreds, if not thousands of third-party providers implying a fastidious sorting to focus on the most critical. Third-party operational resilience risk management mainly relies today on integrating steps within the purchasing processes and, in the end, including specific clauses within the contracts. DORA asks for more with responsibility falling on financial services to make sure third-party compliance to these requirements are met. It also requires working on potential exit strategies and joint testing where relevant. This step up may define a shift in how business is done with suppliers in the future and should be anticipated by the concerned third parties to be able to provide proofs of their operational resilience risk management.

Finally, testing is a crucial point and a challenge within DORA. Organisations will need to structure and regularly test their resilience to continually assess risks and the suitability of their resilience strategies. It requires to gain a strategic vision on the topic, which rarely pre-exists as the tests are often managed in silos (vulnerability tests, penetration tests, business continuity tests…). In this context, they will also need to ensure the proper coverage of their critical functions over the years within the testing approach. Organizations are also expected to conduct threat-led penetration tests in live production every three years at least and potentially including ICT third-party providers.

Overcoming these challenges will not be an easy journey. It is key to start working on these topics quickly as they will ask for true changes for the concerned organizations. Obviously, a detailed gap analysis with the regulation requirements is a good starting point.

Resilience first, compliance second?

Clearly, a regulation such as DORA brings along opportunities for those who will try to see beyond the compliance constraints.

First, the regulation introduces a holistic approach to ICT risk management that could bring more consistency across the organizations. It could constitute a first step in putting together a unified framework, allowing a better assessment of the organization’s ICT risks and simplifying overall reporting to the top management. It could also initiate the idea of a converged governance on ICT risk management gathering cybersecurity, business continuity and IT service continuity. 

Second and foremost, it is a unique opportunity to work on your real resilience level by asking yourself complex questions. If you were to face a no-IT situation tomorrow, would your organization survive? Would your existing capabilities fully cover the needs that such situation asks for? And are you confident that your resilience solution would work on D-day?

Cet article <strong><u>DORA: challenges and opportunities</u></strong> est apparu en premier sur RiskInsight.

Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

“Qwant, le moteur de recherche qui respecte votre vie privée”

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.