Print

Veille technologique

Veille technologique

Le rythme croissant de la numérisation et l’émergence de technologies nouvelles et disruptives ont mis la législation sur la protection des données à l’épreuve. Certaines technologies émergentes améliorent simplement la rapidité ou la fiabilité de la manière dont nous traitons les données personnelles, d'autres changent la donne en apportant de nouvelles opérations de traitement et remettent en question l'applicabilité des principes de protection des données. Être proactif en veille technologique est devenu une nécessité pour les autorités de protection des données.

Rôle clé du CEPD : Le Contrôleur européen de la protection des données (CEPD) comprend l'importance d'évaluer les technologies émergentes et leur impact possible sur la base du cadre juridique européen en matière de protection des données. À cette fin, le CEPD:

  • Surveille et évalue les développements technologiques tels que l'informatique quantique, les monnaies numériques des banques centrales ou l'intelligence artificielle explicable qui pourraient avoir un impact sur la vie privée.
  • Comprend les effets potentiels des politiques axées sur la technologie et fournit des avis experts.
  • S'engage dans le débat public sur les nouvelles technologies affectant la vie privée à travers des initiatives telles que TechDispatch et Internet Privacy Engineering Network (IPEN).
  • Agit comme point de référence pour les institutions européennes, les autorités nationales de protection des données et le grand public, en apportant des éclaircissements sur les problèmes de vie privée liés à la technologie.
  • Surveille et évalue les technologies émergentes pour identifier celles qui pourraient être utilisées pour construire des systèmes informatiques suivant les approches de « protection des données dès la conception » et de « protection des données par défaut ».

Le CEPD défend les activités avant-gardistes, visant à identifier de manière proactive les technologies émergentes susceptibles d'affecter la vie privée et la protection des données des individus. Parmi ces activités figurent la publication des rapports TechSonar et TechDispatch ou l'organisation d'événements Internet Privacy Engineering Network (IPEN). Toutes ces activités font partie de la stratégie de veille technologique du CEPD, comme expliqué dans les paragraphes suivants.

L’approche du CEPD en veille technologique

Au CEPD, nous ne considérons pas les activités de veille technologique comme des exercices isolés et ponctuels. La plupart de nos activités de veille technologique sont étroitement liées, de sorte que notre connaissance et notre compréhension des développements technologiques s'appuient sur des niveaux successifs et que nous puissions apporter la plus grande valeur ajoutée à nos missions d'élaboration de politiques et de supervision.

À cette fin, le CEPD suit un cycle de veille technologique annuel représenté dans le graphique ci-dessous.

techmonitoring
  1. À l’aide du service TIM Analytics du Centre commun de recherche, le CEPD identifie les premiers signaux de technologies émergentes. Parmi ces technologies émergentes qui pourraient avoir un impact sur la protection des données et la vie privée, nous sélectionnons des tendances technologiques pour un horizon à moyen terme. Pour l’horizon à court terme, nous sélectionnons des tendances suite à une discussion interne. Pour plus de détails sur notre méthodologie TechSonar, veuillez consulter la section « Méthodes » du dernier TechSonar.
  2. Le CEPD choisit l’une des tendances technologiques de TechSonar comme thème de la prochaine conférence IPEN, rassemblant des experts pour des discussions approfondies.
  3. Les conclusions de la conférence IPEN, associées aux recherches du CEPD, sont ensuite publiées dans un TechDispatch dédié.

La méthodologie décrite ici représente un cadre de travail général conçu dans un souci de flexibilité. Cette méthodologie ne limitera pas la capacité du CEPD à réagir aux évolutions technologiques selon les besoins. Par exemple, nous pourrions avoir un IPEN sur plusieurs technologies ou se concentrer sur une technologie pertinente mais qui ne faisait pas partie d'un TechSonar précédent, ou nous pourrions publier des TechDispatches sur des technologies qui n'ont pas été traitées lors d'un événement IPEN.

L’approche de veille technologique et de prospective du CEPD englobe plusieurs initiatives : TechSonar, TechDispatch et IPEN.

TechSonar

Il s'agit de l'activité phare de prospective du CEPD, dans laquelle nous examinons les technologies ayant un impact dans deux cadres temporels : un horizon à court terme d'un an et un horizon à moyen terme de trois à cinq ans. Pour chaque technologie, que nous appelons TechTrend, nous donnons une description concise mais significative, signalons les impacts positifs et négatifs potentiels sur la protection des données et suggérons des lectures supplémentaires.

TechSonar entend être un premier contact avec des technologies que nous espérons pertinentes à court ou moyen terme en raison de leurs effets potentiels sur le traitement des données personnelles. TechSonar s'adresse à un large public et évite intentionnellement les descriptions approfondies et le jargon technique. Cependant, pour ceux qui souhaitent en savoir plus, chaque TechTrend comprend une courte liste de lectures supplémentaires qui constituent la prochaine étape dans l'approfondissement du sujet.

Retrouvez la liste complète de nos TechSonars ici.

TechDispatch

Alors que TechSonar constitue un premier et bref contact avec certaines technologies, les TechDispatches constituent un examen plus approfondi de technologies spécifiques qui méritent l’attention du CEPD.

Les TechDispatches proposent des descriptions factuelles, des évaluations préliminaires sur l’impact sur la vie privée et des lectures recommandées. Certains TechDipatches peuvent concerner les technologies incluses dans TechSonar (par exemple, la monnaie numérique de banque centrale), tandis que d'autres non (par exemple, la reconnaissance des émotions faciales).

Les TechDispatches évitent, autant que possible, le jargon technique ou juridique, mais incluent des considérations sur l'impact des technologies sur l'application des principes du RGPD et des droits des personnes concernées. Le public cible est par conséquent plus restreint que celui de TechSonar.

Retrouvez la liste complète de nos TechDispatches ici.

Internet Privacy Engineering Network (IPEN)

Créée en 2014 par le CEPD, l'initiative IPEN promeut l'avancement de l'ingénierie de la vie privée. Il prend en charge la création d'outils technologiques et de modèles de conception réutilisables tout en favorisant la collaboration communautaire entre les ingénieurs chargés de la protection de la vie privée. Au moins une fois par an, les membres d'IPEN se réunissent pour discuter d'un ou plusieurs sujets liés à l'ingénierie de la vie privée.

Les événements IPEN rassemblent des autorités publiques, des universités, des projets open source et des entreprises privées dans le but de trouver des solutions techniques aux problèmes de vie privée. Les événements IPEN constituent également l'un des moyens dont dispose le CEPD pour favoriser le débat sur les tendances technologiques pertinentes. Nous utilisons ce que nous avons appris de cette discussion dans le reste de nos activités de veille technologique.

Depuis 2020, chaque événement IPEN se concentre sur un sujet spécifique, allant des données synthétiques à l'intelligence artificielle explicable. Cependant, en fonction des évolutions technologiques, IPEN pourrait être dédié à plus d'un sujet ou technologie.

Trouvez plus d’informations sur nos précédents événements IPEN ici.

Outils de protection des données et de vie privée

En 2018, le CEPD a développé le Website Evidence Collector (WEC) pour l’utiliser dans ses propres inspections à distance de sites Internet.

Le WEC collecte des preuves de traitement des données personnelles, telles que les cookies et technologies de suivi similaires. Les paramètres de collecte sont configurés avant d'exécuter l'outil puis la collecte s'effectue automatiquement. Les preuves collectées, structurées dans un format lisible par l'homme et la machine (YAML et HTML), permettent aux responsables du traitement du site Internet, aux délégués à la protection des données et aux utilisateurs finaux de mieux comprendre quelles informations sont transférées et stockées lors d'une visite d'un site Internet.

Au CEPD, nous pensons que les logiciels produits à partir de ressources publiques devraient être publics. En permettant aux propriétaires de sites Internet et aux responsables de traitement d'accéder au WEC, nous leur fournissons des moyens d'auto-évaluer la conformité de leurs sites et de favoriser la responsabilisation. En le mettant à disposition des internautes, nous leur donnons les moyens de vérifier si les sites Internet respectent le cadre réglementaire. Par conséquent, nous avons pris la décision de rendre le WEC et son code source accessibles au public sur notre page GitHub dédiée sous licence publique de l'Union européenne (EUPL v1.2).

Vous trouverez plus d’informations sur le WEC ici.