SlideShare une entreprise Scribd logo
1  sur  128
Maryse Salles
Maryse.Salles@ut-capitole.fr
M2 Miage-ISIAD
Université Toulouse I - Capitole
2018-2019
Éthique et droit liés aux
données numériques
Objectifs du cours
 Sensibiliser aux problèmes éthiques soulevés par
l'usage des données, et, notamment, des
grandes masses de données (Big data)
 Favoriser la prise de conscience
• du rôle joué par les systèmes d'information dans les
organisations
• de la responsabilité en tant que concepteurs SIADs
• des risques liés à certains usages des outils
numériques dans la vie personnelle et
professionnelle
 Informer de l'existant en matière de législation
2
Avertissement :
ce que ce cours n'est pas
 Le cours ne sera pas
• un cours de philosophie
• un cours de droit
• un cours de sécurité informatique…
 …même si des notions issues de ces disciplines
seront évoquées et/ou utilisées
 L'objectif central du cours est de favoriser
• la prise de conscience des problèmes relevant de
l'éthique informatique
• la prise de recul sur ces problèmes
3
Forme du cours
 Des apports (notions d'éthique du
numérique, règlementations…)
 Mais avant tout : des échanges, des
réflexions en commun, des discussions…
 Et donc : un besoin important de
participation de votre part !
4
Plan
I. Introduction
II. Éthique des SI, éthique des SIAD, et
éthique des données massives (Big Data)
III.Point sur les législations liées aux
données numériques
IV.Conclusion
5
 discussion autour des notions d'éthique, morale et
droit
 point sur le plagiat
 rappels sur les données et les Big Data
 rappel de la place centrale, dans la vie des
organisations, des systèmes d'information en tant
que systèmes de formalisation de visions du monde
I. Introduction
 Discussion autour des notions
d'éthique, morale et droit
Quelques exemples de situations
 Pour un particulier :
1. Ne pas chercher si une information est vraie ou fausse et la relayer
2. Copier un extrait de texte sur un site et l'intégrer dans un texte que l'on est en
train d'écrire soi-même
3. Propager volontairement une fausse information
4. Entretenir une relation sur Internet en ayant créé un faux profil
5. Entrer dans le SI d'une organisation, sans y faire de dégâts
 Pour une entreprise cotée en bourse :
6. Ne pas diffuser une information importante (perte d'un très gros marché…)
 Pour un moteur de recherche :
7. Ne pas donner les mêmes résultats à 2 internautes différents qui posent la même
requête
 Pour un état :
8. Tenter d'éliminer (par ex. à l'aide de drones) des personnes dont le comportement
correspond à un profil particulier
8
Le plagiat
 Toute citation, qu'elle soit issue d'un texte sur papier ou d'un
site internet, doit être clairement désignée comme telle
• guillemets, note indiquant la référence précise de la source, avec
notamment l'auteur, la page...
 En l'absence d'un signalement de la citation, il s'agit tout
simplement de plagiat
 Dans les devoirs que vous me rendrez
• les citations devront être clairement indiquées (voir ci-dessus)
• chaque citation ne pourra excéder une longueur de quelques lignes
(3 à 4 maximum)
• le rapport ne pourra cependant être composé uniquement de citations
mises bout à bout : la proportion totale des citations (en nombre de
mots ou de caractères) ne devra pas excéder 25% du total du texte
9
Éthique, morale, droit
 Les situations du transparent précédent
relèvent-elles de
• l'éthique ?
• la morale ?
• le droit ?
 Comment définiriez-vous la différence
entre ces trois termes ?
10
Éthique, morale, droit
 Éthique : « tout le questionnement qui précède
l’introduction de l’idée de loi morale » (Ricœur, 1998)
• ce qu'une personne juge juste, bien…
 Morale : « tout ce qui, dans l’ordre du bien et du mal, se
rapporte à (…) des normes, des impératifs » (Ricœur, 1998)
• ce que le groupe social/culturel auquel on appartient juge juste,
bien…
 Droit : la codification d'un consensus social sur ce qui est
juste, bien…, codification faite sous forme de lois explicites,
adoptées par le Parlement, s'appliquant à tous
• ce qui est permis ou défendu dans la société où une personne vit
 Idée d’une chaîne qui reconstruit « tous les intermédiaires
entre la liberté, qui est le point de départ, et la loi, qui est
le point d’arrivée » (Ricœur, 1998)
11
Éthique, morale, droit, déontologie
 Éthique : « tout le questionnement qui précède l’introduction de l’idée de loi morale »
• ce qu'une personne juge juste, bien…
 Morale : « tout ce qui, dans l’ordre du bien et du mal, se rapporte à (…) des normes, des impératifs »
(Ricœur, 1998)
• ce que le groupe social/culturel auquel on appartient juge juste, bien…
 Déontologie : ensemble des devoirs que l'on doit respecter dans
l'exercice d'une profession (+ parfois droits dont disposent ses
membres)
 ce qu'une profession se donne comme code moral, que ceux qui
l'exercent doivent respecter
 peut être accompagné de règles de droit (et de sanctions en cas de non
respect de ce code)
 Droit : la codification d'un consensus social sur ce qui est juste, bien…, codification faite sous forme
de lois explicites, adoptées par le Parlement, s'appliquant à tous,
 ce qui est permis ou défendu dans la société où une personne vit
 Idée d’une chaîne qui reconstruit « tous les intermédiaires entre la liberté, qui est le point de
départ, et la loi, qui est le point d’arrivée » (Ricœur, 1998)
12
 Rappels sur les données
et les Big Data
14
Ceci n'est pas la mer
méditerranée .
Le logiciel COMPAS calcule un score de risque
de récidive à partir de données quantifiées
sur 18 thèmes
 Criminal Involvement, Noncompliance
History, Violence History, Current Violence
 Criminal Associates/Peers,
Social Environment, Criminal Opportunity
 Family Criminality, Vocation/Education
 Substance Abuse, Financial Problems
 Social Isolation, Social Adjustment,
Socialization Failure, Residential Instability
 Criminal Thinking, Criminal Personality, Leisure/Boredom
Score COMPAS : 10
(le plus haut)
Les 137 données recueillies
sur Bernard Parker sont-elles
Bernard Parker
16
Le score de probabilité de
récidive de Bernard Parker
 Aux États-Unis, le score d'un prévenu est transmis au juge qui
doit décider de la peine et de ses éventuels aménagements
• notamment décider d'une peine d'emprisonnement, de
sa durée
 Il est également utilisé pour les décisions de remise de peine,
de mise en liberté conditionnelle, etc.
 Une différence de catégorie de score (ex. risque élevé vs
risque moyen ou bas) peut entraîner une différence de peine
ou de montant de caution, suivant le juge concerné
 La représentation de Bernard Parker permettant le
calcul de son score de probabilité de récidive a un
impact immédiat et majeur sur sa vie, à court,
moyen et long terme
17
Ne pas confondre la carte et le
territoire
 Existence d'erreurs
• notamment du fait de problèmes organisationnels
 L'illusion d'une représentation exhaustive
• oubli des "angles morts" (en particulier Big Data)
 Ce qui est perdu dans la numérisation
• la donnée codée ne doit pas être confondue avec le
réel
• le codage d'un "objet" n'est pas l'objet lui-même,
mais seulement une représentation numérique
construite dans un but particulier
 les rubriques décrivant sur un client, un sentiment codé par
l'informatique affective, la somme des traces numériques
laissées par un étudiant sur le Web…
18
Les données ne sont pas
données, mais bien construites
 Une donnée codée numériquement est le
résultat d'un ensemble de choix
• choix des éléments du réel qui seront codés
• choix des caractéristiques retenues pour décrire
ces éléments
• choix de la périodicité et du mode de collecte
• choix du type de codage (nombre, texte,
image…)
 Selon vous, quels sont les facteurs qui
influencent ces choix ?
19
 Big Data et algorithmes : rapide
présentation
 Qu'est-ce que les Big Data ?
Big Data
 Grandes masses de données qui mémorisent des "traces" de
l'activité d'êtres vivants, de machine, etc. ou leurs états
successifs
• très gros volumes de données : unités de mesure actuelles téraoctet
(1012 octets), pétaoctet (1015), exaoctet (1018)
 Collecte des données : principalement automatique
• "traçage" fait sans acte volontaire de la part de la personne "tracée"
 Données "historicisées"
• les données s'accumulent, gardent la trace des différentes valeurs dans
le temps
 Grand nombre de "dimensions" pour décrire une personne, ou
un objet
• ex. pour une personne : données biologiques, noms des amis sur
Facebook (et les amis de leurs amis), CV, photo, engagements
associatifs, conduite automobile, les lieux où elle se rend, les numéros
de téléphone entrants et sortants, les sites consultés…
21
Big Data : ce qui est nouveau
 La diversité des domaines concernés
• Exemples ?
 La masse des données traitées, en progression exponentielle
• notamment par la multiplication des objets connectés
 La masse des données concernant des personnes
• permettant, malgré les protections, une identification relativement aisée des
individus
 Possibilité de corréler différents aspects (personne) jusque là dissociés
• vie actuelle, vie passée, vie professionnelle, activités associatives, goûts musicaux,
positions politiques, religion, relations amicales…
 Le caractère caché des algorithmes de traitement
 La volonté d'agir sur le futur au niveau des individus
 L'accompagnement de cette volonté par des incitatifs (ou des menaces)
puissants
22
Algorithmes pour les Big Data
 Traitements pour identifier des groupes d'entités se comportant d'une manière
proche => profils
• les données d'une nouvelle entité seront comparées aux profils déjà définis afin de la classer ,
ce qui permet d'inférer son comportement futur sur la base des comportements des entités
de son profil
• ex. : on compare les données biologiques, d'activité physique… d'une personne donnée à
l'ensemble des profils sanitaires calculés, pour déterminer son niveau de risque
• ex. : on compare le type de navigation dans un site marchand, les produits regardés, les
achats effectués avec ceux des groupes de consommateurs que l'on a définis…
 Ces traitements cherchent à établir des corrélations entre certaines variables
(c'est-à-dire des liens qui font qu'elles évoluent en même temps)
• ex. de corrélations : précocité maladie Alzheimer et niveau de diplôme, consommation
chocolat et nombre de prix Nobel (mais aussi consommation chocolat et nombre de tueurs
en série !), baisse de nombre de cigognes et de la natalité en Allemagne après-guerre…
• attention : un lien de corrélation n'équivaut pas à un lien de cause à effet.
La variable 1 peut être la cause de la variable 2… ou l'inverse (performance d'une entreprise
et présence de femmes au CA).
Les variables 1 et 2 peuvent être la conséquence d'une troisième variable inconnue au
moment du traitement (cigognes et natalité).
En analyse statistique, le lien de causalité est toujours une interprétation
23
Quelques exemples d'utilisation
 Utilisation dans la recherche scientifique, par aide à la compréhension
de phénomènes impliquant de grands nombres de variables
quantifiables
• ex. : météorologie, épidémiologie, changement climatique…, sociologie des
usages d'Internet, des comportements électoraux…
• ex. : nouveaux domaine comme la "physique sociale"
 Recherche de modification de comportement
• ex. : achats suggérés sur Internet, modulation des tarifs d'assurance en fonction
du comportement (assurance automobile, assurance santé)…
• ex. : interface UBER pour pousser les chauffeurs à rester en service (alors que leur
espoir de revenu est faible sur le créneau)
 En aide à la prise de décision. Quelques exemples :
• aide au recrutement, à la sélection des étudiants (États-Unis)
• maintenance préventive de machines (suggestion de pièces à changer)
• planification de travaux dans l'espace public
• répartition des forces de police dans les quartiers (États-Unis)
• aide aux décisions de justice (peines, libérations sous caution…) (États-Unis),
aide à l'identification de terroristes potentiels 24
Remarque sur le titre du cours
 Titre officiel du cours :
Éthique et droit de la donnée
 Que vous évoque l'expression "la donnée"
(au singulier), par opposition à "les
données" (au pluriel) ?
• idem les Big Data / le Big Data
25
 Rappel : les SI en tant que
systèmes de formalisation de
visions du monde
Les SI : des systèmes de
formalisation de visions du monde
 Les données sont un des composants des SI
• quels autres composants selon vous ?
 Exemples de formalisations de visions du monde
• Nomenclatures tâches infirmières qui n'inclut pas la
communication vers les familles
• Critères de Maastricht (tous financiers) pour représenter la
convergence économique des pays européens
• Jeu de valeurs biologiques pour évaluer l'état de santé
• Indicateurs de nombre d'arrestations pour mesurer
l'efficacité de la police
• etc.
27
Sur la représentation d'un pays
au travers de son PNB…
"Our Gross National Product, now, is over $800 billion dollars a year,
but that GNP - if we judge the USA by that - that GNP counts air
pollution and cigarette advertising, and ambulances to clear our
highways of carnage. It counts special locks for our doors and the jails
for the people who break them. It counts the destruction of the
redwood and the loss of our natural wonder in chaotic sprawl. It
counts napalm and counts nuclear warheads and armored cars for the
police to fight the riots in our cities. It counts (…) the television
programs which glorify violence in order to sell toys to our
children. Yet the GNP does not allow for the health of our children,
the quality of their education or the joy of their play. It does not
include the beauty of our poetry or the strength of our marriages, the
intelligence of our public debate or the integrity of our public
officials. It measures neither our wit nor our courage, neither our
wisdom nor our learning, neither our compassion nor our devotion to
our country, it measures everything in short, except that which makes
life worthwhile. "
Robert F. Kennedy, University of Kansas, March 18, 1968
28
Personnes impactées par les SI
 D'après vous, dans une organisation
• quelles sont les personnes impactées par
les SI ?
• dans quelle(s) dimension(s) (contenu du
travail, relations aux autres, bien-être…) ?
• de quelle manière ?
29
Les entités concernées par
l'éthique et le droit des SI
 D'après vous, quelles sont les entités
(personnes, organisations, groupes…)
concernées par
• l'éthique informatique
• le droit (portant sur le numérique)
30
Plan
I. Introduction
II. Éthique des SI, éthique des SIAD,
éthique des données massives (BigData)
III.Point sur les législations liées aux
données numériques
IV.Conclusion
31
 Petite introduction à l'éthique
 Bref historique de l'éthique informatique
 État de l'art (très) résumé de l'éthique
informatique
II. Éthique,
éthique des SI, des SIAD,
et des données massives
Éthique : une aide à la décision
 Aide à la décision
• personnelle pour l'ingénieur décisionnel
• collective pour l'organisation
 Comment prendre une décision quand
• plusieurs niveaux (éthique, morale, déontologie, droit) sont en
opposition
 morale et droit, éthique et déontologie, éthique et droit, etc.
• au sein d'un même niveau, des valeurs sont en opposition
 Dans ces situations : la réponse à la question "que
dois-je faire ?" dépend de la personne ou de
l'organisation, c'est-à-dire de leur éthique
33
 Petite introduction à l'éthique
Discussion : que pensez-vous
des 2 citations suivantes ?
 "Les tabous sur la vie et la mort ont des conséquences.
L’explicitation des arbitrages liés à la santé, par
exemple, soulève des controverses, dont l’effet
premier est parfois l’augmentation du nombre de
décès. Nos réticences à faire des calculs entre le
nombre de personnes à sauver et les moyens mis en
œuvre coûtent des vies à des millions de personnes
chaque année. N’est-il pas absurde, par exemple, de
dépenser des millions d’euros dans un service
chirurgical pour sauver une vie lorsqu’on pourrait
consacrer la même somme dans un autre service pour
sauver davantage de vies ? La possibilité de ces calculs
choque ; mais il est tout aussi choquant de refuser par
principe de les faire, car le prix à payer pour ce refus
est important en nombre de vies perdues."
35
 "(…) le professeur Gary Becker remarquait à
propos du don d’organes que l’interdiction de
vendre son rein limitait les donations, condamnant
ainsi chaque année des milliers de personnes aux
États-Unis à mourir faute de donneurs. Pour lui,
les détracteurs du marché d’organes ne doivent
donc pas se draper dans leur vertu, leur idéal de
moralité, qui s’avère aussi coupable de la mort des
malades en demande d’organes. On ne peut pas se
targuer de moralité quand on est contre le
commerce des organes (…)."
 Nota : l'auteur et la source des 2 extraits seront donnés en cours
36
L’éthique au niveau de l’individu
 L’éthique est une branche de la philosophie, qui traite de la manière
dont on attribue les valeurs. Elle se situe en amont des normes
morales et des lois
 Les théories de l’éthique sont très nombreuses et ont donné lieu à
d’innombrables débats depuis près de trois millénaires
 Les théories éthiques concernent pour l’essentiel les choix de
l’individu, et, plus rarement ses liens avec la communauté à laquelle
il appartient
 L’éthique appliquée peut concerner une organisation dans son
ensemble (ex. : l’entreprise)
 Quelques unes des principales approches dans le champ de l’éthique
personnelle
• le conséquentialisme (en particulier utilitarisme)
• le libertarisme
• l'éthique kantienne
• l'éthique aristotélicienne
37
Conséquentialisme/utilitarisme
 Pour le conséquentialisme (en particulier
l’utilitarisme de Bentham et Mill), seules les
conséquences d’une action peuvent permettre de
juger de son caractère moral
• ce qui est moral est ce qui maximise le solde de bien-être
pour tous les êtres sensibles concernés (animaux inclus)
 solde = (bien-être total produit) – (mal être total produit)
 si le solde final est positif, on peut accepter que le bien-être de
certaines minorités ait été diminué
• les motifs de l'agent moral (générosité, intérêt personnel,
désire de nuire…), ne sont pas à considérer
• une action ne peut être morale en soi : selon les
contextes, une même action peut avoir un solde positif et
donc être morale, ou un solde négatif et donc ne pas
l'être
38
Qqs critiques faites à
l'utilitarisme
Transparents 39 à 46 : très inspirés de "Justice" de Michael Sandel
 Non-respect des droit des individus
• car seul le solde global de bien-être est considéré
• ex. : torture d'un terroriste pour éviter un attentat (bombe
à retardement) + suite si ne parle pas
 Une seule valeur pour mesurer toutes les
dimensions du bien-être : la notion d'utilité
• le plus souvent assimilée à une valeur monétaire
• ex. étude Philip Morris qui montrait que le tabagisme
représentait un gain net de $147 millions pour l'État (Rép.
Tchèque)
 taxes, mais aussi mort prématurée des fumeurs
 mais mauvaise application de l'utilitarisme : il faut rajouter au calcul le
coût d'une mort prématurée pour la famille…
pb. de l'évaluation : ici, du prix de la vie humaine
39
Le libertarisme
 Pour être morale, une action doit respecter la
liberté de chacun, son droit à disposer de ce
qu'il possède (ses biens, son corps, sa vie)
• dans le respect du droit des autres à faire de même
 Les libertariens défendent une liberté totale
des marchés
• ils s'opposent à toute régulation étatique au nom de
la liberté individuelle
 redistribution des richesses
 lois qui protègent les gens d'eux-mêmes
 lois qui promeuvent les convictions morales de la majorité
 ex. Milton Friedman opposé au salaire minimum car contraire à
la liberté des individus de passer des contrats volontaires entre
eux
40
Qqs critiques faites au
libertarisme
 la propriété de soi a-t-elle une limite ?
• ex. : vente d'un rein pour une "œuvre d'art"
• ex. : vente de son deuxième rein
 les choix faits sont-ils vraiment libres ?
• exemples pour une personne qui se trouverait dans
une grande pauvreté
 accepter un travail très peu payé, dans des conditions
sanitaires très mauvaises
 vendre un rein pour payer des soins médicaux à son enfant
 accepter de partir à la guerre à la place d'un autre contre
une somme d'argent
– Nota : composition des armées de métier => les classes défavorisées sont
surreprésentées
41
Éthique kantienne, éthique du devoir
(déontologie au sens philosophique) 1/2
 Base de l'éthique de Kant : nous sommes des êtres rationnels, qui
méritent d'être traités avec dignité et respect
• l'éthique a pour objet le respect des personnes en tant que fins en soi
• « Je dis : l'être humain , et en général tout être raisonnable, existe comme fin en
soi, et non pas simplement comme moyen pour l'usage que pourrait en faire, à
son gré, telle ou telle volonté. » (cité par Sandel)
• le respect de soi et le respect des autres sont basés sur le même principe du
respect de l'humanité en tant que telle, et de sa capacité de raison
 Dans l’éthique kantienne, c'est l'intention de l'action (et elle
seule) qui permet d’en qualifier la valeur morale
• les conséquences de l’action ne peuvent permettre de déterminer sa valeur
morale (opposition avec l'utilitarisme)
 procurer le bonheur au plus grand nombre ne peut être le critère d'une action juste
 rendre un homme heureux n'est pas le rendre bon, le rendre habile à gérer ses intérêts n'est
pas le rendre vertueux (cf. révélations des Panama papers et des Paradise papers…)
 ex. d'action non éthique de par son intention
– une entreprise qui applique principes de non-discrimination pour améliorer son image :
l'intention est la recherche d'un intérêt => action non juste
– voir charte CIGREF « pour préserver la confiance »
• les conséquences d'une action peuvent être mauvaises mais l'action rester juste,
de par l'intention qui est à son origine
42
Éthique kantienne, éthique du devoir
(déontologie au sens philosophique) 2/2
 La définition de la liberté par Kant est très différente de celle des
libertariens
• nous pouvons agir librement parce que nous avons la capacité de raisonner
• il distingue autonomie et hétéronomie
• être autonome (et donc véritablement libre) c'est, en suivant une loi que l'on se
donne, entreprendre une action pour elle-même, en tant que fin en soi (et
non à la recherche d'un intérêt, d'un plaisir…)
 Notion d'"impératif catégorique" (c'est-à-dire universel, non liés à
une situation, un contexte)
• Premier impératif catégorique : « Agis uniquement d’après la maxime qui fait
que tu peux vouloir en même temps qu’elle devienne loi universelle »
 Nota : "maxime" a ici le sens de règle, principe qui sous-tend l'action
 le critère de l’action morale est donc qu’elle puisse être universalisable, qu'elle ne soit pas
liée à mes intérêts et ma situation propres
• Deuxième impératif catégorique : « Agis toujours de telle façon que tu traites
l’humanité dans ta propre personne et dans celle d’autrui, non pas seulement
comme un moyen, mais toujours aussi comme une fin en soi »
 pour Kant, respecter la dignité humaine, c'est traiter les personnes, toujours, comme des fins
en soi (et non des moyens)
 peut aller très loin : Kant récuse le droit au suicide, car dans ce cas, pour lui, on se traite soi-
même comme un moyen de soulager sa souffrance
43
Aristote ou l’importance des fins
 Pour Aristote, le but de la vie est la « vie bonne »
• L’éthique est assimilable à la recherche du bonheur (eudaimonia),
lequel ne peut s’atteindre que par le développement des vertus
 le bonheur est distinct des plaisirs
• L’action morale est donc celle qui va rendre l’individu meilleur, et c’est
à l’aide de ses vertus (en particulier la capacité de choisir le juste
milieu, la phronesis) qu’il pourra distinguer les actions morales de
celles qui ne le sont pas
 Deux idées centrales concernant ce qui est juste
• définir des droits exige de définir le telos (la finalité, la raison d’être)
de l’entité en question : objet, institution, pratique sociale etc.
 ex. : le telos d’un violon est d’être utilisé par un violoniste, celui d’un très
bon violon est d’être joué par un très bon violoniste
• réfléchir au telos d’une entité revient en partie à réfléchir à quelles
vertus cette entité devrait récompenser (et plus largement honorer)
 ex. : un violon Stradivarius ne devrait jamais être dans les mains d’un
collectionneur ou dans le coffre fort d’une banque, mais il devrait être dans
les mains d’un excellent violoniste
44
La participation à la vie de la
société
 Mais plusieurs personnes peuvent avoir des visions divergentes
du telos de l’entreprise, de l’État, de l’université, de la
recherche, du sport…
• il faut pouvoir discuter de ces différentes visions
• pour Aristote la finalité de la politique (de polis, la cité, la ville) est
« de délibérer à propos du bien commun, de former leur jugement, de
prendre part au gouvernement (…), de se soucier du sort de la
communauté considérée comme un tout » (et non comme une somme
d’individus) (M. Sandel)
 Le rôle de la société
• « Celui qui n’est capable d’appartenir à une communauté ou qui n’en a
pas besoin parce qu’il se suffit à lui-même n’est en rien une partie d’une
cité, si bien que c’est soit une bête, soit un dieu. » (Aristote, cité par Sandel)
 il nous faut donc participer à la vie de la cité, être des citoyens à part
entière
• la communauté (pour Aristote : la Cité) doit avoir pour but de rendre les
citoyens bons et juste. Ceux qui la dirigent doivent être supérieurs par
leur vertus civiques et leur capacité à identifier le bien commun
45
Les liens individus / société
 Pour les approches évoquées, hormis celle d’Aristote,
l’individu a très peu ou pas de devoir envers la société à
laquelle il appartient
• ses choix éthiques dépendent de lui et ne sauraient, pour
l’essentiel, lui être imposés
 Or, on peut considérer que nos choix viennent de notre
histoire personnelle, laquelle est elle-même fonction de
l’histoire de la société à laquelle on appartient
• => notion de devoir de solidarité envers ceux qui font partie
de la même société
• => nécessité de réfléchir à la société comme une entité en soi,
un tout, et non comme une somme d’individus
 que signifie « la vie bonne » pour cette société,
 comment faire vivre une culture politique qui permettent
l’expression des divergences sur cette question, et qui rende possible
le débat
46
Les éthiques appliquées :
entreprise, informatique
 Les éthiques appliquées sont parfois très
loin de ce qui précède
• soit elles ne font aucune référence aux
approches de l’éthique en philosophie
 c’est souvent le cas en éthique informatique
• soit elles adoptent une de ces approches sans
l'expliciter, et a fortiori sans justifier ce choix par
rapport à l’objet concerné
47
L’éthique au niveau de
l'entreprise
 L’éthique de l’entreprise vue comme une entité spécifique =>
éthique des affaires (business ethics)
• deux approches principales (mais il en existe d'autres)
1. Théorie de l’actionnaire (stockholder theory)
• éthique de type conséquentialiste/utilitariste
• la seule mission de l’entreprise est de faire du profit, en particulier pour
rémunérer les actionnaires
• représentant le plus connu : Milton Friedman, qui a titré un article
« The Social Responsability of Business is to Increase its Profit »
2. Théorie des parties prenantes (stakeholder theory)
• éthique de type kantienne : aucune partie prenante ne doit être
considérée uniquement comme un moyen par les dirigeants de
l’entreprise, mais doit être respectée comme une fin
• la liste des parties prenantes varie
 en général, parties prenantes soit qui sont vitales pour la réussite de l’entreprise, soit
qui sont vitalement affectées par elle : actionnaires, salariés, fournisseurs, clients,
habitants et pouvoirs locaux des zones d’activité de l’entreprise
 mais peut considérer une liste extensive, incluant parfois la société dans son ensemble 48
 Bref historique de l'éthique
informatique
Une préoccupation qui
commence avec l'informatique
 La préoccupation éthique s’exprime dès l’arrivée des
premiers ordinateurs
 Norbert Wiener perçoit dès 1948 les effets potentiels
considérables au niveau social de la cybernétique
• "Bien avant Nagasaki et la prise de conscience publique
concernant la bombe atomique, il m'était apparu que
nous étions ici en présence d'une autre potentialité
sociale d'une importance jamais vue dans le bien et dans
le mal"
• Il s'inquiète des usages possibles de la cybernétique
comme instrument de contrôle par certains groupes ("Les
fascistes, les puissants du monde des affaires, et le
gouvernement")
• "la cybernétique est une arme à double tranchant, tôt ou
tard elle vous blessera profondément"
50
Message des année 70 : être
vigilant, poser des frontières
 Mowshowitz (1976)
• « La plupart des systèmes informatiques de traitement de l'information (...)
sont conçus pour servir l'une des deux fonctions sociales générales : la
coordination de la diversité ou le contrôle du désordre. La coordination et le
contrôle signifient les extrêmes d'un continuum de choix sociaux »
• selon lui, il faut organiser la vigilance pour éviter une dérive vers le pôle
« contrôle » de ce continuum.
 Weizenbaum (1976), suite à l'expérience "Eliza", définit les
domaines dans lesquels les applications informatiques ne devraient
jamais être utilisées
• Il propose de poser une frontière éthique infranchissable entre le vivant et les
systèmes informatiques, et, par ailleurs, d’exclure de l’informatisation toutes
les fonctions humaines qui impliquent des relations interpersonnelles
• « Le point est (...) qu'il existe des fonctions humaines pour lesquelles les
ordinateurs ne doivent pas être remplacés. Cela n'a rien à voir avec ce que les
ordinateurs peuvent ou ne peuvent pas faire. Le respect, la compréhension et
l'amour ne sont pas des problèmes techniques. »
 D'après vous, où en sommes-nous aujourd'hui ?
51
Années 80 : l'arrivée des
philosophes
 À partir des années quatre-vingt, l’éthique
informatique se constitue en champ de recherche
à part entière
 Elle devient pluridisciplinaire, accueillant en
particulier des chercheurs en philosophie
• deux voies non convergentes : celle des philosophes, celle
des professionnels de l'informatique
 L’éthique informatique restera longtemps
marquée par cette discordance
• les apports des philosophes paraîtront souvent abstraits
voire obscurs aux spécialistes des SI
 et surtout difficilement applicables dans leur pratique
professionnelle
52
Années 90 : l'éthique
professionnelle
 Dans les années quatre-vingt-dix, une branche de
l’éthique informatique voit le jour, celle de
l’éthique professionnelle
• plaide pour l’intégration de l’éthique dans les cursus de
formation des développeurs et dans les méthodes de
développement des SIN
 Début des chartes éthiques et codes
déontologiques (surtout E.-U.)
• "Ten Commandments of Computer Ethics" (1992), "Code
of Ethics and Professional Conduct" de l'ACM (1992)…
 21ème siècle : focus sur l’usage d’Internet, puis sur
les Big Data
53
Remarque
 Au 20ème siècle : en général, relatif désintérêt des
informaticiens pour l’éthique
• très peu de publications dans les revues majeures du domaine
• en France : éthique pratiquement absente des cursus
 quand présente : traite presque uniquement du respect des règlements de la
CNIL
• en cause selon nous :
 la confusion science/technique, qui fait de l'informatique une science
(computer science) sans qu'elle ait mené une réflexion épistémologique sur
son ou ses objets, ses méthodes, son histoire, ses relations avec d'autres
sciences
 les liens entre informatique et marché, les liens étroits entre finance et
informatique
 Evolution à partir du milieu des années 2000, du fait des
problèmes liés à l’usage d’Internet et aux Big Data
• mais l’éthique reste peu abordée par les chercheurs en
informatique
• ce sont essentiellement d’autres disciplines qui en traite 54
 État de l'art (très) résumé
de l'éthique informatique
Éthique informatique 1/2
 Valeurs défendues
• Valeurs a minima : PAPA
 privacy, accuracy, property, accessibility
 plus récemment : non-discrimination, utilisabilité pour
tous, neutralité (freedom from bias), imputabilité,
consentement éclairé, transparence, bien-être humain,
démocratie
56
Éthique informatique 2/2
 Méthodes de conception de SI éthiques
• très peu de méthodes pour inclure l’éthique dès la conception
• proposition d’utiliser l'éthique du discours d’Habermas pour
accompagner les négociations entre les différentes parties prenantes
(Mingers & Walsham)
 afin de donner aux diverses parties prenantes des droits égaux, et de parvenir à
un consensus dans les meilleures conditions possibles
 peut être intégré dans des méthodes existantes
• un ex. de méthode spécifique : Value Sensitive Design (VSD), avec 3
types d’analyse
 l’analyse conceptuelle : détermine quelles sont les parties prenantes directement
ou indirectement impactées par le système à développer, puis identifie les valeurs
impliquées, enfin élabore des définitions précises pour ces valeurs
 l’analyse empirique : étudie le contexte humain et social, individuel et
organisationnel, dans lequel le système doit fonctionner
 l’analyse technique :
1) cherche à évaluer si les solutions techniques envisagées peuvent constituer
une aide, ou au contraire un obstacle à la prise en compte des valeurs retenues
2) propose des développements spécifiques pour soutenir telle ou telle valeur
57
Éthique pour les SIAD
 Ici aussi, relatif désintérêt de la
communauté informatique
« Étant donné la popularité des entrepôts de
données, business intelligence et autres
systèmes d'aide à la décision, il est regrettable
que l'éthique de l'aide à la décision comme
sujet spécifique ait reçu si peu d'attention par
rapport aux questions de vie privée et d'autres
questions d'éthique informatique générale »
(Meredith &Arnott, 2003)
58
Que pensez-vous de cette citation ?
 « Les "rapports standard" peuvent être un
atout pour une organisation parce qu'ils
limitent le choix pour les utilisateurs quand il
s'agit de rechercher les informations pour
prendre les décisions. En disant aux
utilisateurs quelle information ils devraient
regarder, le concepteur des "rapports
standard" supprime le fardeau de décider ce
qui est important et ce qui ne l'est pas »
(Craig et al., 1999), cités par (Meredith & Arnott, 2003)
59
Deux approches de l'éthique
pour les SIAD
1. L’éthique centrée sur les décisions prises
• considère la qualité des décisions prises à l’aide d’un
SIAD et leurs conséquences, et suggère que les décideurs
devraient être alertés sur ces conséquences par le SIAD
même
• idée que les concepteurs de SIAD ne doivent pas
considérer uniquement les facteurs techniques, mais
aussi les considérations éthiques et morales
• notion d'ethical decision support systems (EDSS)
2. L’éthique centrée sur le processus de décision
• s’intéresse à l’influence que le SIAD peut avoir sur la
façon dont la décision est prise
 « (...) Les systèmes d'aide à la décision (...) dans une mesure
plus ou moins grande, usurpent ou imposent des structures à
l'autonomie du décideur humain » (Meredith & Arnott, 2003)
60
Éthique des Big Data :
dimensions (Davis & Patterson, 2012)
 La vie privée
• problème éthique : il est possible d’identifier automatiquement des personnes par le
rapprochement de données qui ne sont pas des identifiants
 L’identité
• multifacette (vie professionnelle, activités associatives, goûts musicaux, positions
politiques, religion, relations amicales…), sans que l’on souhaite forcément que ces
facettes soient publiquement reliées
• problème éthique : la capacité des fournisseurs de Big Data de corréler ces différents
aspects de notre identité, sans notre consentement
 La réputation
• la notion a drastiquement changé avec le nombre de personnes qui peuvent, au
travers des informations qu’elles trouvent, se former une opinion sur un individu
donné. Les Big Data accentuent cet effet
 La propriété
• le droit d’auteur garantit la propriété des œuvres de l’esprit
• mais les informations qui décrivent une personne comme sa date de naissance, son
poids, ses habitudes alimentaires ou sa pression sanguine sont-elles assimilables à une
œuvre ?
• une compagnie privée a-t-elle le droit de posséder des informations sur une personne
sans que celle-ci les lui ait vendues ou cédées ?
61
Éthique des Big Data : valeurs
Cinq valeurs éthiques que les Big Data devraient respecter (Abrams, 2014)
 La valeur d’avantage doit permettre de définir
• quels sont les bénéfices attendus et qui les reçoit (individus, groupes ou société
dans son ensemble)
• quels sont les risques prévisibles et qui les supporte
 La valeur de progrès
• vérifie que l’utilisation des Big Data apporte un réel avantage par rapport à celui
de techniques moins porteuses de de risques
 La valeur de durabilité (dont gestion des effets de rétroaction)
• doit permettre de gérer les modifications de comportement générées par son
usage (n’a pas été le cas lors de la crise dite des « sub-primes » en 2008)
 La valeur de respect
• concerne le contexte dans lequel les données sont collectées et les restrictions
que l’on doit appliquer à leur usage
 La valeur de justice
• proche de celle utilisée globalement en éthique informatique, renvoie
essentiellement à la non-discrimination et au respect des lois
62
Retour sur les enjeux évoqués
dans l’introduction
Ce qui a été dit sur l’éthique vous semble-t-il
à même de répondre aux enjeux évoqués ?
• voir transparents 13 à 28 (Rappels sur les
données et les Big Data)
Cela vous semble-t-il correspondre aux
grandes questions éthiques ?
• voir transparents 33 à 48 (Petite introduction à
l'éthique)
63
Remarques sur l’éthique
informatique 1/2
 Quand la responsabilité est évoquée, c’est assez
rarement de responsabilité sociale qu’il s’agit, et
pratiquement jamais de responsabilité économique
• la responsabilité est en général liée à la notion d’imputabilité
(accountability)
• or celle-ci est assez restrictive et principalement orientée vers
les usages incivils ou frauduleux, dont il est souhaitable de
pouvoir identifier les auteurs
 Les usages considérés sont avant tout les usages grand
public
• les SI dans les organisations, et leur impact sur les conditions et
le contenu du travail ne sont pas traités
• l’impact des SI sur la démocratie d’entreprise ne sont pas ou
très évoqués
• les usages en aide à la décision sont peu pris en compte
64
Remarques sur l’éthique
informatique 2/2
 L'éthique informatique cherche avant tout à protéger des
individus, mais pas une organisation, ni la société dans son
ensemble
 Les valeurs défendues par l’éthique informatique sont de
niveaux très variés
• il n’y a pas d’organisation générale, ni même une hiérarchie
• or certaines valeurs peuvent être « génériques » (ex. démocratie) et
entraîner « automatiquement » le respect d’autres valeurs
• et d’autres valeurs peuvent être contradictoires entre elle
 Elles laissent de côté la question des visions du monde
• la plupart des travaux en éthique informatique se situent au niveau
micro, en considérant le niveau macro comme donné
• le niveau macro correspond aux représentations, ou visions du monde,
ou encore au telos d’Aristote
 il est déterminant de tous les choix faits en aval
65
Plan
I. Introduction
II. Éthique, éthique des SI, des SIAD, et des
données massives (Big Data)
III.Point sur les législations liées aux
données numériques
Conclusion
Bibliographie
 Point sur les législations
 Les institutions impliquées
 Remarques
 Quelques exemples de codes professionnels
éthiques (déontologie)
III. Le droit des données
numériques
 Point sur les législations
Diversité des approches des
données
 Pour le droit des données numériques, il y a
différents types de données
• données personnelles
 protégées sur le fondement des droits de la vie privée, de la
personne
• données relevant du droit d'auteur
 protégées sur le fondement de la propriété
– droit d'auteur (basé sur l'originalité de la production)
– pour les bases de données, au-delà du droit d'auteur, le droit dit sui generis qui
protège une base de données sous la condition d'un investissement substantiel
pour sa constitution
• données relevant du secret (secret des affaires, secret
bancaire, secret de défense nationale,…)
 protégées sur le fondement du secret
69
Législation concernant les
données personnelles
France + Europe
 Loi dite "Informatique et Libertés" du 6 janvier 1978
 Décret du 14 octobre 1991
 Loi "pour la Confiance dans l'Économie Numérique" du 21 juin 2004 (LCEN)
• transpose dans le droit français la directive européenne sur la protection des données
personnelles (95/46/CE)
 Loi "Pour une République Numérique" du 7 octobre 2016
• élaborée après une large consultation en ligne
• renforce la protection des données personnelles et les pouvoirs de la CNIL
• dépasse largement la question des données personnelles
• anticipe le règlement de l'U.E. (pas sur tous les points)
 Europe : Règlement général sur le protection des données (RGPD)
• harmonise les règles pour la protection des données personnelles au sein de l’U.E.
• entrée en vigueur en mai 2016, applicable le 25 mai 2018
• En France : loi du 20 juin 2018
70
Principes et définitions 1/5
 Article 1er de la loi "Informatique et Libertés"
• "L'informatique doit être au service de chaque
citoyen. Son développement doit s'opérer dans le
cadre de la coopération internationale. Elle ne doit
porter atteinte ni à l'identité humaine, ni aux droits
de l'homme, ni à la vie privée, ni aux libertés
individuelles ou publiques.''
 Complété par la loi "Pour une République
numérique" par l'alinéa
• "Toute personne dispose du droit de décider et de
contrôler les usages qui sont faits des données à
caractère personnel la concernant, dans les
conditions fixées par la présente loi."
71
Principes et définitions 2/5
 Article 4 du Règlement général sur le protection des
données (U.E.)
• "Le traitement des données à caractère personnel doit être
conçu pour servir l'humanité. Le droit à la protection des
données à caractère personnel n'est pas un droit absolu ; il doit
être considéré par rapport à sa fonction dans la société et être
mis en balance avec d'autres droits fondamentaux,
conformément au principe de proportionnalité.
• Le présent règlement respecte tous les droits fondamentaux et
observe les libertés et les principes reconnus par la Charte,
consacrés par les traités, en particulier le respect de la vie
privée et familiale, du domicile et des communications, la
protection des données à caractère personnel, la liberté de
pensée, de conscience et de religion, la liberté d'expression et
d'information, la liberté d'entreprise, le droit à un recours
effectif et à accéder à un tribunal impartial, et la diversité
culturelle, religieuse et linguistique."
72
Principes et définitions 3/5
73
 Donnée à caractère personnel
• toute information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres
 noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de
naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation
d'un véhicule, photo, données biométriques (empreintes digitales, ADN, …)
• Pour vous, y a-t-il d'autres types de données qui pourraient être considérées
comme personnelles ?
 Données sensibles
• "Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue
origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses
ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter
des données génétiques, des données biométriques aux fins d'identifier une personne
physique de manière unique, des données concernant la santé ou des données
concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique."
• Pour vous, y a-t-il d'autres types de données qui devraient être considérées
comme sensibles ?
Principes et définitions 4/5
 Les données doivent être collectées et
conservées dans le respect de trois principes
• Principe de finalité
• Principe de proportionnalité
• Principe d’exactitude
74
Principes et définitions 5/5
 Les données sont collectées et traitées de manière loyale et licite
 Elles sont collectées pour des finalités déterminées, explicites et légitimes
et ne sont pas traitées ultérieurement de manière incompatible avec ces
finalités. Toutefois, un traitement ultérieur de données à des fins statistiques
ou à des fins de recherche scientifique ou historique est considéré comme
compatible avec les finalités initiales de la collecte des données, s'il est
réalisé dans le respect des principes et des procédures prévus (…) et s'il n'est
pas utilisé pour prendre des décisions à l'égard des personnes concernées
 Elles sont adéquates, pertinentes et non excessives au regard des finalités
pour lesquelles elles sont collectées et de leurs traitements ultérieurs
 Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures
appropriées doivent être prises pour que les données inexactes ou incomplètes
au regard des finalités pour lesquelles elles sont collectées ou traitées soient
effacées ou rectifiées
 Elles sont conservées sous une forme permettant l'identification des personnes
concernées pendant une durée qui n'excède pas la durée nécessaire aux
finalités pour lesquelles elles sont collectées et traitées
75
Principaux droits instaurés par
ces lois 1/4
Attention : ces droits ne s'appliquent pas pour certains fichiers de
l'administration (police, justice, services fiscaux, sécurité sociale, etc.)
 Rappel : ne peuvent pas être collectées les "données sensibles"
• exceptions : par exemple les fichiers nécessaires aux droits des justiciables, à la
recherche médicale ou justifiés par l'intérêt public (sûreté de l'État, sécurité
publique...)
 Nota : les recours doivent pouvoir être effectués par voie
électronique
 Droit d'information/accès
• Accès direct : toute personne peut demander au responsable d'un fichier s'il
détient des informations sur elle et de les lui communiquer
• Accès indirect : pour certains fichiers sensibles => en s'adressant au président
de la Cnil
 Obligation du consentement à figurer dans un fichier
• le consentement doit être explicite et positif
• il doit être renouvelé régulièrement
76
Principaux droits instaurés par
ces lois 2/4
 Droit à l’effacement ou à l'oubli
• toute personne a le droit d'obtenir du responsable du traitement l'effacement,
dans les meilleurs délais, de données à caractère personnel la concernant
 Droit de rectification
• toute personne peut faire corriger, compléter, mettre à jour, verrouiller ou effacer
les informations la concernant
 si elles sont inexactes, incomplètes, équivoques ou périmées,
 ou si leur collecte, leur utilisation, leur communication ou leur conservation est interdite.
• le responsable du fichier doit prouver qu'il a procédé aux opérations nécessaires
 il est possible d'exiger une copie gratuite des données modifiées
 Droit d'opposition
• toute personne peut s'opposer à la présence de données la concernant dans un
fichier
 il faut un motif légitime
• elle peut également s'opposer à ce que des données soient utilisées à des fins
commerciales
 pas de motif nécessaire
 voir plus loin transparent "Se protéger"
77
Principaux droits instaurés par
ces lois 3/4
 Droit à la portabilité des données personnelles (y compris d'usage en ligne)
• toute personne a le droit de recevoir les données à caractère personnel la
concernant, dans un format structuré, couramment utilisé et lisible par machine,
et a le droit de transmettre ces données à un autre responsable de traitement
 ex. de données d'usage en ligne : compte utilisateur d’une banque en ligne, d’un service de e-
commerce ou encore les préférences sur un site d’écoute musicale en ligne
 Décisions prises sur la base de traitements numériques
• Aucune décision de justice impliquant une appréciation sur le
comportement d'une personne ne peut avoir pour fondement un
traitement automatisé de données à caractère personnel destiné à
évaluer certains aspects de la personnalité de cette personne.
• Aucune décision produisant des effets juridiques à l'égard d'une
personne ou l'affectant de manière significative ne peut être prise sur le
seul fondement d'un traitement automatisé de données à caractère
personnel, y compris le profilage
 Nota : il existe qqs exceptions, mais dans ces cas "Pour ces décisions, le responsable
de traitement s'assure de la maîtrise du traitement algorithmique et de ses
évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la
personne concernée la manière dont le traitement a été mis en œuvre à son égard"
78
Principaux droits instaurés par
ces lois 4/4
 Profilage
• "Tout profilage qui entraîne une discrimination à l'égard des
personnes physiques sur la base des catégories particulières de
données à caractère personnel mentionnées au I de l'article 8
est interdit."
 Mort numérique
• Testament numérique
 "Toute personne peut définir des directives relatives à la conservation, à
l'effacement et à la communication de ses données à caractère personnel
après son décès."
 Sanctions prévues
• Deux plafonds suivant nature des manquements (telle que
définie dans la RGPD)
 maximum de 10 M€ (ou 2% CA mondial)
 maximum de 20 M€ (ou 4% CA mondial)
79
Les obligations de l'organisation qui crée
une base de données personnelles 1/2
 Suppression de l'obligation de déclaration à la CNIL
 Protection des données dès la conception ("Privacy by
design")
• le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens du traitement qu'au moment du traitement
lui-même, des mesures techniques et organisationnelles appropriées,
telles que la pseudonymisation, qui sont destinées à mettre en œuvre
les principes relatifs à la protection des données
 Protection des données par défaut ("Security by default")
• le responsable du traitement met en œuvre les mesures techniques et
organisationnelles appropriées pour garantir que, par défaut, seules les
données à caractère personnel qui sont nécessaires au regard de
chaque finalité spécifique du traitement sont traitées
80
Les obligations de l'organisation qui crée
une base de données personnelles 2/2
 Étude d’impact
• obligation de réaliser des analyses d’impact relatives à la protection
des données (analyse des risques d’atteintes aux droits et libertés
individuelles)
 Obligation de documentation ou de rendre compte
("accountability")
• l'organisation doit pouvoir démontrer qu’elle a rempli ses obligations
en matière de protection des données
 Nota sur la protection des données à caractère personnel traitées à des
fins répressives
• chaque Etat membre doit suivre un cadre commun tout en développant sa
propre législation qui devra reprendre toutes les règles de base en matière de
protection des données personnelles
 notamment : la collecte de données personnelles ne peut être faite sans objectif clair,
sans durée limitée et les justiciables auront des droits clairs, comme celui de savoir
quelles sont les données collectées, à quelle fin, et combien de temps elles seront
conservées
81
Les obligations des plateformes
 Obligations liées au RGPD en matière de
"traitement loyal et transparent"
• profilage : "la personne concernée doit être
informée de l'existence d'un profilage et des
conséquences de celui-ci"
 Toute la question restant celle du contrôle
de l'application de ces règlements
82
 Les institutions impliquées :
pouvoir législatif, autorités de
contrôle
Le pouvoir législatif et les
organes de contrôle
84
 Institutions générales détentrices du pouvoir
législatif
• France : parlement national
• Europe : parlement européen, conseil de l'Union européenne,
commission européenne (pour les propositions de loi)
 Les organes de contrôle
• France : CNIL
• Europe : le Comité européen de la protection des données
(European Data Protection Board) peut désigner une autorité
de contrôle unique si l'activité considérée implique plusieurs
pays européens
• Que savez-vous de la CNIL ?
La CNIL
Principale source transparents 51-56 : site CNIL
 CNIL (Commission Nationale de l'Informatique et
des Libertés) : une autorité administrative
indépendante (France)
 Créée par la Loi Informatique et Libertés de 1978
• organe de contrôle
 "Dans l’univers numérique, la Commission Nationale
de l'Informatique et des Libertés (CNIL) est le
régulateur des données personnelles. Elle
accompagne les professionnels dans leur mise en
conformité et aide les particuliers à maîtriser leurs
données personnelles et exercer leurs droits."
85
CNIL : 4 missions principales 1/2
 Informer / protéger les droits : particuliers et professionnels
 Accompagner la conformité / conseiller
• conseils, avis sur les projets de lois, … (ex. avis sur mégafichier TES)
• "boîte à outils" aux organismes qui souhaitent aller plus loin dans leur
démarche de conformité : délégué à la protection des données (DPD
ou DPO : Data Protection Officer), labels, packs de conformité
(référentiels sectoriels), BCR (Binding Corporate Rules) qui encadrent les
transferts de multinationales hors de l’U.E.
• certification de la conformité des processus d’anonymisation des
données personnelles dans la perspective de leur mise en ligne et de
leur réutilisation
 Anticiper et innover
• dans le cadre de son activité d’innovation et de prospective, la CNIL
s’intéresse aux signaux faibles et aux sujets émergents.
• elle a pour mission de conduire une réflexion sur les problèmes
éthiques et les questions de société soulevés par l’évolution des
technologies numériques.
86
CNIL : 4 missions principales 2/2
 Contrôler et sanctionner
• Le contrôle sur place, sur pièces, sur audition ou en
ligne permet à la CNIL de vérifier la mise en œuvre
concrète de la loi
• Lors d’un contrôle sur place, la CNIL peut :
 accéder à tous les locaux professionnels
 demander communication de tout document nécessaire et d’en
prendre copie
 recueillir tout renseignement utile et entendre toute personne
 accéder aux programmes informatiques et aux données
• Ex. de sanctions possibles (après mise en demeure)
 pécuniaire (sauf pour les traitements de l’État) d’un montant
maximal de
3 millions d’euros (Règlement UE pour 2018 : 20 M€)
 injonction de cesser le traitement
 retrait de l’autorisation accordée par la CNIL
87
Le Data Protection Officer (DPO) 1/2
Source : site CNIL
 Voir https://www.cnil.fr/fr/dpo-par-ou-commencer
 Obligatoire pour
• Les autorités ou les organismes publics
• les organismes dont les activités de base les amènent à
réaliser un suivi régulier et systématique des personnes à
grande échelle
• les organismes dont les activités de base les amènent à
traiter à grande échelle des données dites « sensibles »
ou relatives à des condamnations pénales et infractions
• En dehors des cas de désignation obligatoire, la
désignation d’un délégué à la protection des données est
encouragée par les membres du G29
88
Le Data Protection Officer (DPO) 2/2
 Missions : organise et met en œuvre la conformité
en matière de protection des données au sein de
son organisation. Pour cela il est chargé
• d’informer et de conseiller le responsable de traitement ou
le sous-traitant, ainsi que leurs employés
• de contrôler le respect du règlement et du droit national
en matière de protection des données
• de conseiller l’organisme sur la réalisation d’une analyse
d'impact relative à la protection des données et d’en
vérifier l’exécution ;
• de coopérer avec l’autorité de contrôle et d’être le point de
contact de celle-ci.
 Nota : le délégué n’est pas personnellement responsable en
cas de non-conformité de son organisme avec le règlement
89
CNIL : coopérations internationales
 Conseil de l’Europe
• La CNIL suit les travaux de modernisation de la convention 108
et des activités du Comité consultatif de la convention 108 (T-
PD) comme représentant de la Conférence Internationale des
Commissaires à la Protection des Données et de la Vie Privée
 Organisation de Coopération et de Développement
Économiques (OCDE)
• La CNIL participe au groupe de travail sur la protection de la
vie privée et des transferts de données
 Asia-Pacific Economic Cooperation (APEC)
 Association Francophone des Autorités de Protection des
Données Personnelles (AFAPDP)
• en partenariat avec l'Organisation Internationale de la
Francophonie (OIF)
90
Au niveau européen : le G29
 G29 : regroupe les "CNIL" européennes
• contribue à l’élaboration des normes
européennes en adoptant des recommandations
• rend des avis sur le niveau de protection dans
les pays hors UE
• conseille la Commission européenne sur tout
projet ayant une incidence la protection des
données et des libertés des personnes
91
Conseil National du Numérique
(CNNum)
Source : site du CNNum : https://cnnumerique.fr/
France
 Le Conseil national du numérique a pour mission de formuler de
manière indépendante et de rendre publics des avis et des
recommandations sur toute question relative à l’impact du numérique
sur la société et sur l’économie
• exemple : le CNNum exprime ses "préoccupations" à propos du mégafichier TES
 À cette fin, il organise des concertations régulières, au niveau
national et territorial, avec les élus, la société civile et le monde
économique
 Il peut être consulté par le Gouvernement sur tout projet de
disposition législative ou réglementaire dans le domaine du numérique
 Intervention sur les algorithmes des grandes plateformes
• le CNNum va élaborer un outil permettant aux utilisateurs de noter toutes leurs
mauvaises expériences avec ces algorithmes
92
Contrôle des plateformes
Projets sur les algorithmes (France)
 Projet du CNNum (grand public et entreprises)
• outil pour stocker mauvaises expériences avec algorithmes
 Préconisation rapport CGE (Conseil général des entreprises)
• créer "une plateforme collaborative scientifique, destinée à favoriser le
développement d’outils logiciels et de méthodes de test d’algorithmes "
• logique d'autorégulation
=> Projet TransAlgo de l'Institut national de recherche dédié aux sciences
et technologies du numérique (INRIA) (recherche) www.transalgo.org
• pour définir normes définissant un algorithme "loyal" (non coupable de
discriminations raciales, géographiques, financières, liées à l'âge, au sexe…),
fiable…
• pour lancer une plate-forme permettant à toute entreprise de tester son
algorithme pour voir s’il est en conformité avec les normes qui auront été
établies
• pour aider à la diffusion de savoir-faire et de bonnes pratiques auprès de
l'ensemble des acteurs (publics, privés, citoyens)
93
 Remarques
Petit rappel historique : de
SAFARI au TES
 SAFARI
• Projet de centraliser les répertoires régionaux d’identification et de les
interconnecter avec les fichiers CNAV et celui des cartes d’identité (1971)
• Perçu comme une grave atteinte à la liberté, manifestations…
• => création de la CNIL, loi informatique et liberté (1977-1978)
• aujourd’hui, toutes ces centralisations et interconnexions ont été faites
(mais avec un certain contrôle de la CNIL)
 Projet TES
• rassemble toutes les empreintes biométriques des Français
• étendu à tous les départements de France d’ici fin mars 2017
• malgré protestations dans la société civile, malgré avis très critiques de la
CNIL et du CNNum (qui demande la suspension du projet) …
 https://cnnumerique.fr/nos-travaux/fichier-des-titres-electroniques-securises-tes
• mais il devrait être possible de refuser que ses empreintes soient fichées
dans le cas d'une demande de carte d'identité
 Votre avis sur cette évolution ? Votre avis sur le fichier TES ? 95
Le difficile équilibre entre
sécurité et liberté
 Il est impossible d'avoir une sécurité très élevée
sans atteinte aux libertés individuelles
• même si les mesures en matière de sécurité qui ont réduit
les libertés peuvent être contestables sur le plan de leur
efficacité réelle
 Évolution actuelle des lois et décrets en France
=> vers la sécurité plutôt que la liberté ?
• effets négatifs des lois anti-terroristes
• même s'il existe des résistance (CNIL, CNNum, certains
responsables politiques, société civile)
• ex. : exceptions dans les lois (UE et France) pour tout ce
qui concerne la sûreté, la défense…
• ex. : cas du mégafichier TES
96
La notion de "Commun numérique"
 Commun numérique : tout élément de l'activité
numérique (logiciel, information,…) qui a été
rendu commun par des pratiques collectives
• soustrait du marché pour être réservé à un usage
commun
• géré par une communauté
 Nota : bien que réclamée (et beaucoup discutée)
par les participants à la consultation, la notion n'a
pas été incluse dans la Loi pour une république
numérique (2016)
 Exemples de communs numériques ?
97
Trois illusions dangereuses 1/2
 Illusion de la protection totale de l'accès à des données
• failles, mais aussi "portes dérobées" installées volontairement
 mais la Loi pour une république numérique protège ceux qui dévoilent une
faille de sécurité dans un système
 Illusion de l'anonymisation
• il est possible d’identifier automatiquement des personnes par
le rapprochement de données qui ne sont pas des identifiants
 possible d’identifier 70% des citoyens des États-Unis dès lors que l’on
dispose de leur date de naissance, sexe et code postal
 avec 5 informations, les chances peuvent grimper à près de 99 %
 "En 1993, le New Yorker a publié un célèbre dessin avec des chiens devant
un ordinateur, dont la légende suivante: «Sur Internet, personne ne sait que
vous êtes un chien» (...). À l'époque, c'était drôle parce que c'était vrai.
Aujourd'hui, cependant, à l'ère des Big Data, il est non seulement possible
pour les gens de savoir que vous êtes un chien, mais aussi de quelle race
vous êtes, votre nourriture favorite, votre lignée, et si vous avez déjà gagné
un prix à une exposition canine. " (Davis & Patterson, 2012)
98
Trois illusions dangereuses 2/2
 Illusion de la protection des contenus (sans
protection des métadonnées)
• les métadonnées donnent des renseignements si
précis qu'il n'est pas nécessaire d'analyser les
contenus
 où étiez-vous à un moment donné, qui avez-vous appelé,
quels numéros appelle régulièrement votre interlocuteur,
etc.
 Quel est votre sentiment par rapport au fait que
l'on peut être tracé et identifié,
pour peu qu'il existe une volonté de le faire?
99
 Quelques exemples de codes
éthiques professionnels
(déontologie)
 Les premiers codes éthiques des professions
informatiques ont été conçus aux États-Unis
au début des années 90
• parfois par des organisations internationales comme
l'ACM
 concerne donc aussi la France ou l'Europe
 Il a fallu une bonne dizaine d'années pour que
des codes équivalents existent en France
 Pas de code général (à la différence de la
médecine), mais plutôt des codes par métier
de l'informatique
Les "10 commandements"
Computer Ethics Institute. Première publication : 1992.
 Un des codes les plus anciens, très critiqué
• pour sa connotation religieuse
• pour le caractère limité et artificiel des différents commandements
1. Thou Shalt Not Use A Computer To Harm Other People.
2. Thou Shalt Not Interfere With Other People’s Computer
Work.
3. Thou Shalt Not Snoop Around In Other People’s
Computer Files.
4. Thou Shalt Not Use A Computer To Steal.
5. Thou Shalt Not Use A Computer To Bear False Witness.
Les "10 commandements"
6. Thou Shalt Not Copy Or Use Proprietary Software For
Which You have Not Paid.
7. Thou Shalt Not Use Other People’s Computer
Resources Without Authorization Or Proper
Compensation.
8. Thou Shalt Not Appropriate Other People’s Intellectual
Output.
9. Thou Shalt Think About The Social Consequences Of
The Program You Are Writing Or The System You Are
Designing.
10. Thou Shalt Always Use A Computer In Ways That Insure
Consideration And Respect For Your Fellow Humans.
Traduction issue d'une discussion sur le site
viadeo.com (Patrick Barrabé)
1. Tu n'emploieras pas l'ordinateur pour nuire à autrui.
2. Tu ne brouilleras pas le travail informatique d'autrui.
3. Tu ne fouineras pas dans les fichiers des autres.
4. Tu n'emploieras pas l'ordinateur pour voler.
5. Tu n'emploieras pas l'ordinateur pour faire de faux témoignages.
6. Tu n'emploieras, ni ne copieras du logiciel que tu n'as pas payé.
7. Tu n'emploieras pas les ressources informatiques d'autrui sans
autorisation.
8. Tu ne t'approprieras pas le travail intellectuel d'autrui.
9. Tu songeras aux conséquences sociales du programme que tu écris.
10. Tu emploieras l'ordinateur de manière à faire preuve de considération
et respect.
104
Code de l'ACM 1/2
Association for Computing Machinery, 1ère association prof. Informatique (fondée
en 1947)
Version courte du "Software Engineering Code of Ethics" (1999)
1. Public
• Software engineers shall act consistently with the public interest.
2. Client and employer
• Software engineers shall act in a manner that is in the best interests of
their client and employer, consistent with the public interest.
3. Product
• Software engineers shall ensure that their products and related
modifications meet the highest professional standards possible.
4. Judgment
• Software engineers shall maintain integrity and independence in
their professional judgment.
Code de l'ACM 2/2
5. Management
• Software engineering managers and leaders shall subscribe
to and promote an ethical approach to the management of
software development and maintenance.
6. Profession
• Software engineers shall advance the integrity and reputation
of the profession consistent with the public interest.
7. Colleagues
• Software engineers shall be fair to and supportive of their
colleagues.
8. Self
• Software engineers shall participate in lifelong learning
regarding the practice of their profession and shall promote
an ethical approach to the practice of the profession.
106
Code du CyberSecurity Institute 1/2
"Our students, employees, contractors, and those testing for the CyberSecurity Forensic Analyst
(CSFA)™ certification must agree to and abide by this Code of Ethics and Conduct"
1. I will observe and honor any other code of ethics or conduct for the organizations I am a
member of or employed by.
2. I will respect the confidential nature of any information, methodologies, or techniques that I
become aware of in relation to computer forensics/forensic computing.
3. I will strive to keep my technical skills current.
4. I will be honest and forthright in my dealings with others.
5. I will not reveal facts, data or information without the prior consent of my client or employer
except as authorized or required by law.
6. I will not accept compensation for my services based on contingency.
7. I will not permit the use of my name by, or associate in business ventures with, any person or
firm that I believe to be engaged in fraudulent or dishonest practices.
8. I will perform services only in areas I am competent in. I will rely upon other qualified parties
for assistance in matters that are beyond my area of expertise.
9. I will maintain custody and control over whatever materials are entrusted to my care.
107
Code du CyberSecurity Institute 2/2
10. I will refuse or terminate involvement in any work when I feel that I am being coerced into a
particular opinion.
11. I will disclose all known or potential conflicts of interest that could influence or appear to
influence my judgment or the quality of my services.
12. I will not falsify my qualifications or permit misrepresentation of my associates' qualifications,
nor will I misrepresent or exaggerate my responsibilities in or for the subject matter of prior
assignments, employment, or past accomplishments.
13. I will always acknowledge my errors and will not distort or alter the facts.
14. I am to be committed to the integrity of my profession, and will avoid situations in business or
personal life where I might contribute to the wrongdoing of others or find myself viewed as a
contributor to wrongdoing.
15. I will conduct my work based upon established, validated principles.
16. I will only render opinions that are demonstratively reasonable.
17. I will do my best to thoroughly examine and analyze all evidence, and will not withhold any of
my findings, whether inculpatory or exculpatory.
18. I will provide assistance to those involved in my profession, as long as my assistance does not
conflict with any other provision of this Code of Ethics and Conduct.
19. I will conform to all laws - federal, state, and local - pertinent to my profession. If I
am unsure of the laws in a given situation, I will seek the assistance of legal counsel. 108
France : chartes et rapports 1/3
 CIGREF : rapport "Éthique et numérique : Enjeux et
recommandations à l'intention des entreprises" (pas charte mais
guide méthodologique)
• Étapes
 compréhension de la transformation du contexte socioéconomique de
l'entreprise
 identification par chaque métier des enjeux éthiques
 construction/implication : réflexion sur la définition des valeurs éthiques
(participation essentielle)
 influence et diffusion : comités d'éthique comme vecteur d'influence et de
diffusion
• Thèmes
 protection des salariés : respect de la vie privée, droit à la déconnexion, égalité
d'accès et d'usage
 protection des clients : protection des données personnelles et droit à l'oubli,
transparence, cohérence dans les valeurs et pédagogie
 protection du patrimoine de l'entreprise : non seulement données mais
ensemble des actifs de l'entreprise
 rôle citoyen de l'entreprise dans son environnement : se préoccuper de
l'impact négatif que pourrait avoir l'activité de l'entreprise sur son
environnement (ex. problèmes posés par les lunettes Google, objets
connectés, voitures connectées…)
109
France : chartes et rapports 2/3
 Charte Éthique et Big Data
• conçue en coopération par l’Association francophone de la
communication parlée (AFCP), l’Association des
professionnels pour l’économie numérique (Aproged),
l’Association pour le traitement automatique des langues
(ATALA)
• points clés (analyses à effectuer)
 description des données : nature, origine, nature des producteurs,
sources, modalités de collecte et de traitement…
 traçabilité : connaître la source des données, et de retracer leur
évolution de la création à la diffusion
 propriété intellectuelle : garantir le respect des droits de chacun
des producteurs de données en identifiant les droits portant sur
ces données
 réglementations spécifiques : s’assurer que les données ont été
obtenues et mises à la disposition du public conformément au
droit 110
France : chartes et rapports 3/3
 Exemples de charte dans l'éducation
• Université Toulouse Jean Jaurès
• Lycée Maurice Genevois
 Organisations (organismes de recherche, universités, entreprises, collectivités
territoriales…)
• de nombreux codes de déontologie du numérique
• mais encore très peu de chartes sur l'éthique des Big Data
 une exception : le Crédit Agricole, qui dispose d'une charte depuis fin 2016
 Ce qui est mis en avant par les entreprises dans les chartes : la question de la
confiance des clients envers l'entreprise
• "construire une éthique commune entre l'entreprise et son éco-système [pour] préserver la
confiance" (CIGREF)
• "l'utilisation des données, dans un cadre défini, n'est légitime que si elle sert l'intérêt de nos
clients. Nous souhaitons maintenir le capital confiance élevé du groupe" (Crédit Agricole)
 Entreprises spécialisées en conseil sur l'éthique informatique
• ex. Digital Ethics : http://www.digital-ethics.com/
111
Plan
I. Introduction
II. Éthique, éthique des SI, des SIAD, et des
données massives (Big Data)
III.Point sur les législations liées aux
données numériques
Conclusion
Bibliographie
 Se protéger de la surveillance et des fausses
informations
 Discussion
 La responsabilité des parties prenantes dans la
conception de SI et de SIAD
Conclusion
113
 Se protéger de la surveillance,
se protéger des fausses
informations
115
Se protéger de la surveillance
Transparents 115 à 120 : inspirés de « Data and Goliath » de Bruce Schneier
 « If we are not doing anything wrong, then we have a right to
do everything we can to maintain the traditional balance
between us and power that is listening. We have a right to be
obscure. We have a right to mumble. We have a right to speak
languages they don’t get. We have a right to meet when and
where and how we please » Eben Moglen, The Guardian, may 27, 2014
 Par “surveillance” nous entendons ici aussi bien la
surveillance par les services de l’État que le traçage par des
entreprises commerciales
 Les solutions légales
• Éviter la surveillance
• Bloquer la surveillance
• Déformer les informations de surveillance
116
Éviter la surveillance 1/2
 Éviter la publicité
• Refuser que vos données personnelles soient utilisées à des fins
commerciales
 Fichiers Robinson-Stop publicité : www.e-robinson.com (téléphone et
e-mail)
 Téléphone (Orange) : liste orange
 Modifier votre comportement
• Payer en espèces et non par carte
• Refuser les cartes de fidélité
• Ne pas emporter son mobile systématiquement avec soi
 attention : pour les citoyens de certains pays non démocratiques,
quand on est engagé politiquement, il ne faut pas laisser
systématiquement son portable chez soi, mais seulement quand c’est
important de le faire, car cela vous signale aux forces de surveillance
• Quand on doit voyager dans certains pays, ne pas prendre son
ordinateur avec soi (avec toutes ses données), mais un ordinateur
d’emprunt
 Idem mobile
117
Éviter la surveillance 2/2
 Modifier votre comportement (suite)
• Ne pas utiliser votre mail via un webmail
• Ne pas utiliser gmail
• Utiliser un moteur de recherche qui garantit la confidentialité : Qwant,
Startpage (attention : il s'agit d'une filiale de Google)...
• Ne pas sauver vos données sur le Cloud
• Limiter votre usage des réseaux sociaux
 Ne pas poster de photos de vos proches (enfants notamment), d’information intime
(même pour vos « amis »)
• Ne pas discuter de certains sujets par e-mail
 Ou utiliser des techniques employées dans des pays non-démocratiques
– ex. : écrire un message à la main, puis le scanner pour l’envoyer par mail
 Limitez au maximum la présence d’objets connectés chez vous
• Ne portez pas d’objets connectés sur vous (en dehors du mobile si vous
ne pouvez pas l’éviter) : pas de montres, de bracelets… connectés
• Ne mettez pas les enfants en contact avec des jouets connectés…
118
Bloquer la surveillance
 Solutions « low tech »
• Couper la géolocalisation sur votre smartphone quand vous n’en avez pas besoin
• Obstruer la camera de votre ordinateur
• Ne pas donner d’informations personnelles (date de naissance, n° de téléphone…)
quand des services commerciaux vous les demandent
 Utiliser des PETs (Privacy Enhancing Technologies)
• Bloquer les mouchards
 Ghostery : https://www.ghostery.com/
 FlashBlock, Disconnect, Privacy Badger, Lightbeam
• Crypter vos données, vos messages, vos conversations orales...
 Données : BitLocker, FileVault ; Messages : BERTRAND ; Navigation : TOR, HTTPS Everywhere
 Chat : Off the Record, Cryptocat, Spideroak ; Voix : Silent Circle, TORFone, RedPhone,
Blackphone
• En utilisant certains de ces outils, vous aidez des personnes dans des pays non-
démocratiques, car plus il y a d’utilisateurs, plus ces outils sont améliorés et leurs
failles limitées
• Mais attention, tout ne peut pas être crypté
 Les fournisseurs de messageries ont les clés (Google Gmail…)
 Les metadonnées ne sont en général pas cryptables
119
Déformer les informations de
surveillance
 Solutions « low tech »
• Supprimez les cookies plusieurs fois par jour dans
votre navigateur
• Pour vos achats en ligne, utilisez des numéros de
client d’amis
• Pour vos achats dans les magasins échangez des
cartes de fidélités avec vos amis
• Donnez de fausses informations personnelles quand
des services commerciaux vous les demandent
(adresse, téléphone, date de naissance…)
 Utilisez un VPN (Virtual Private Network) ou
des générateurs de fausses adresses IP
120
Trouver un équilibre
 Les solutions évoquées peuvent vous priver
d’avantages ou vous rendre la vie plus difficile
• ex. : ne pas avoir de carte de fidélité vous fais perdre
certaines offres commerciales
• ex. : payer en espèces demande de s’organiser pour
avoir toujours de l’argent liquide sur soi
• ex. : ne pas avoir son mobile avec soi peut être
compliqué…
 A vous de trouver l’équilibre entre
• le droit à votre vie privée (en sachant que la
confidentialité ne sera jamais possible à 100%)
• et un mode de vie soutenable…
Vérifier les informations
diffusées sur internet
Sites de vérifications des faits (« fact checking »)
 Sites généraux
• recensement de sites : https://reporterslab.org/fact-checking/#
• réseau : http://www.poynter.org/2015/fact-checkers-of-the-world-
unite/379716/
 En France
• Sites de la presse
 http://desintox.blogs.liberation.fr/
 http://lemonde.fr/lesdecodeurs (crowd checking)
• Sites spécialisés
 sur les canulars (Web, mails…) : http://www.hoaxbuster.com/
 Aux Etats-Unis : de très nombreux sites. Qqs exemples :
• http://www.factcheck.org/, http://politifact.com/,
http://www.opensecrets.org/index.php
• sur les légendes et canulars (Web, mails…) : http://www.truthorfiction.com/,
http://snopes.com/, http://www.hoax-slayer.com/
 Identifier la source d'une photo : https://www.tineye.com/ 121
Sécurité numérique :
un site très utile
 Le Kit de survie numérique de Reporters
Sans Frontières
https://rsf.org/fr/kit-de-securite-numerique
Voir aussi le site http://www.wefightcensorship.org/
 Discussion
Discussion
 Les éléments de droit et de déontologie que
nous avons évoqués en partie III vous
semblent-ils couvrir l'ensemble des enjeux
• d'éthique en général ?
• d'éthique des SI, SIAD et données massives ?
124
 La responsabilité des parties
prenantes dans la conception de
SI et de SIAD
La responsabilité des parties prenantes dans
la conception de SI et de SIAD
 Enjeux sociaux, environnementaux, économiques ou culturels majeurs
 Risque que les outils d'aide à la décision orientent les décision de façon
souterraine, non perceptible
• importance de la phase de définition du problème, déterminée par les représentations
incluses dans les SIAD
 Il est nécessaire d'interroger la façon dont ces systèmes sont construits
 de prendre conscience des valeurs éthiques à respecter
 et de les intégrer dès le début de la conception
 Les concepteurs, l’ensemble des parties prenantes concernées, ont une
responsabilité
• dans l’utilisation qui est faite des SIAD
• dans les conséquences des décisions prises avec leur support
 Au-delà, responsabilité citoyenne
• en paraphrasant Michael Sandel (qui écrit à propos de la mise en marché) : il convient
aujourd’hui de repenser le rôle et l’impact du numérique dans nos pratiques sociales tout
autant que dans nos relations humaines et notre vie quotidienne
 discuter et décider collectivement de ce qui peut être codé numériquement et de ce qui ne
doit pas l’être
126
Éléments de bibliographie 1/2
 Éthique
• Michael Sandel, « Justice », 2009, Farrar, Straus & Giroux, traduction française, Albin Michel, 2016
 Droit
• Castets-Renard Céline, « Law and Big Data », Communication à la Conférence Big Data and Challenge
Awards in Toulouse, 26 janvier 2017
• Dossier de presse Loi pour une république numérique :
http://www.economie.gouv.fr/files/files/PDF/DP_LoiNumerique.pdf
• Site de la CNIL : https://www.cnil.fr/
• Bensoussan A., Adoption du Paquet "Protection des données à caractère personnel",
http://blog.lefigaro.fr/bensoussan/2016/04/adoption-du-paquet-protection-des-donnees-a-
caractere-personnel.html
 Codes de déontologie : quelques exemples
• "Les 10 commandements" http://computerethicsinstitute.org/publications/tencommandments.html
• Code de l'ACM : https://www.computer.org/cms/Computer.org/Publications/code-of-ethics.pdf
• CIGREF :
 rapport "Éthique et numérique : Enjeux et recommandations à l'intention des entreprises :
http://images.cigref.fr/Publication/2014-CIGREF-Ethique-et-numerique-Enjeux-recommandations-intention-
entreprises.pdf
 déontologie de l'usage des SI : http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2006/2006_-
_Deontologie_des_usages_des_SI_CIGREF_-_CEA-CED_Rapport_Web.pdf
• AFCP, Aproged, ATALA : http://wiki.ethique-big-data.org/chartes/CharteEthiqueBigDatav2d.pdf
• Code du CSI : http://csisite.net/training/ethicsconduct.htm
127
Éléments de bibliographie 2/2
 Big Data et algorithmes
• Travaux d'Antoinette Rouvroy : https://works.bepress.com/antoinette_rouvroy/
• O'Neil Cathy, Weapons of Math Destruction, Crown, New York, 2016. https://mathbabe.org/
 Se protéger
• Kit de sécurité numérique de Reporters Sans Frontières : https://rsf.org/fr/kit-de-securite-numerique
• Guide 'De la pub si je veux !" (CNIL) https://www.cnil.fr/sites/default/files/typo/document/CNIL_Guide_pub.pdf
• Schneier Bruce, Data and Goliath, W. W. Norton, New York, 2015. www.schneier.com
 Éthique informatique
• Salles Maryse, « La responsabilité économique et sociale des concepteurs de systèmes d’information :
contribution à une éthique appliquée », Innovations. Revue d’Économie et de Management de l’Innovation
(I-REMI), n°46, vol. 1, pp. 197-226, 2015. www.cairn.info/revue-innovations-2015-1-page-197.htm
• Salles Maryse, « Décision et système d'information », Collection Systèmes d'information avancés, Vol. 2,
ISTE-WILEY, 2015. iste-editions.fr/collections/serie-systemes-d-information-avances/products/decision-et-systeme-d-information
• Stahl Bernd Carsten, « Researching Ethics and Morality in Information Systems: Some Guiding Questions »,
ICIS 2008, 2008
• Stahl Bernd Carsten, Timmermans J., and Mittelstadt B. D., « The Ethics of Computing: A Survey of the
Computing-Oriented Literature », ACM Comput. Surv., 48 (4), article no. 55, 2016.
www.dora.dmu.ac.uk/xmlui/handle/2086/12055
• Stiegler Bernard, « De la gouvernementalité algorithmique de fait au nouvel état de droit qu’il lui faut », Notes
du Séminaire Digital Studies, 7 octobre, 2014. https://digital-studies.org/wp/antoinette-rouvroy-et-bernard-stiegler-07102014/
• Weizenbaum Joseph, « Computer Power and Human Reason: From Judgment To Calculation », W. H. Freeman,
San Francisco, 1976. Traduction française : « Puissance de l'ordinateur et raison de l'homme : du jugement au
calcul », Éditions Informatique, 1981 128

Contenu connexe

Tendances

Rapport gestion de stock.pdf
Rapport gestion de stock.pdfRapport gestion de stock.pdf
Rapport gestion de stock.pdf
AchrafAntri2
 
Conception et Mise en place d'une Application Web SPA pour les établissements...
Conception et Mise en place d'une Application Web SPA pour les établissements...Conception et Mise en place d'une Application Web SPA pour les établissements...
Conception et Mise en place d'une Application Web SPA pour les établissements...
Ben Ahmed Zohra
 

Tendances (20)

Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
Conception d’une plateforme web d’e-Commerce au sein d’une entreprise commerc...
 
Présentation pfe - Etude, conception et réalisation d'une application web de ...
Présentation pfe - Etude, conception et réalisation d'une application web de ...Présentation pfe - Etude, conception et réalisation d'une application web de ...
Présentation pfe - Etude, conception et réalisation d'une application web de ...
 
Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)
 
Présentation projet de fin d'étude
Présentation projet de fin d'étudePrésentation projet de fin d'étude
Présentation projet de fin d'étude
 
Rapport gestion de stock.pdf
Rapport gestion de stock.pdfRapport gestion de stock.pdf
Rapport gestion de stock.pdf
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
 
E-Front : Plateforme d’enseignement à distance
E-Front : Plateforme d’enseignement à distanceE-Front : Plateforme d’enseignement à distance
E-Front : Plateforme d’enseignement à distance
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
 
Conception et developpement d'un site web pour la suggestion et notification ...
Conception et developpement d'un site web pour la suggestion et notification ...Conception et developpement d'un site web pour la suggestion et notification ...
Conception et developpement d'un site web pour la suggestion et notification ...
 
Présentation PFE (Conception et développement d'une application web && mobile...
Présentation PFE (Conception et développement d'une application web && mobile...Présentation PFE (Conception et développement d'une application web && mobile...
Présentation PFE (Conception et développement d'une application web && mobile...
 
Présentation PFE : Mise en place d’une solution de gestion intégrée (OpenERP...
Présentation PFE :  Mise en place d’une solution de gestion intégrée (OpenERP...Présentation PFE :  Mise en place d’une solution de gestion intégrée (OpenERP...
Présentation PFE : Mise en place d’une solution de gestion intégrée (OpenERP...
 
diagramme de séquence UML
diagramme de séquence UMLdiagramme de séquence UML
diagramme de séquence UML
 
PFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignementPFE :: Application de gestion des dus d'enseignement
PFE :: Application de gestion des dus d'enseignement
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
 
Conception et Mise en place d'une Application Web SPA pour les établissements...
Conception et Mise en place d'une Application Web SPA pour les établissements...Conception et Mise en place d'une Application Web SPA pour les établissements...
Conception et Mise en place d'une Application Web SPA pour les établissements...
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
TP1-UML-Correction
TP1-UML-CorrectionTP1-UML-Correction
TP1-UML-Correction
 
Chp1 - Introduction aux méthodologies de Conception
Chp1 - Introduction aux méthodologies de ConceptionChp1 - Introduction aux méthodologies de Conception
Chp1 - Introduction aux méthodologies de Conception
 

Similaire à Cours éthique et droit liés aux données numériques

Boissaye-Marine-M2MAG-mémoire
Boissaye-Marine-M2MAG-mémoireBoissaye-Marine-M2MAG-mémoire
Boissaye-Marine-M2MAG-mémoire
Marine Boissaye
 
Sarah belanger essai internet et relations publiques
Sarah belanger  essai internet et relations publiquesSarah belanger  essai internet et relations publiques
Sarah belanger essai internet et relations publiques
SarahBelanger02
 

Similaire à Cours éthique et droit liés aux données numériques (20)

CGT-digital-week.pptx
CGT-digital-week.pptxCGT-digital-week.pptx
CGT-digital-week.pptx
 
Algorithmes et Big Data : Peut-on se souvenir du futur ?
Algorithmes et Big Data : Peut-on se souvenir du futur ?Algorithmes et Big Data : Peut-on se souvenir du futur ?
Algorithmes et Big Data : Peut-on se souvenir du futur ?
 
Propos sur les Big Data.pdf
Propos sur les Big Data.pdfPropos sur les Big Data.pdf
Propos sur les Big Data.pdf
 
Big Data - Aspects philosophiques
Big Data - Aspects philosophiquesBig Data - Aspects philosophiques
Big Data - Aspects philosophiques
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données Privées
 
Boissaye-Marine-M2MAG-mémoire
Boissaye-Marine-M2MAG-mémoireBoissaye-Marine-M2MAG-mémoire
Boissaye-Marine-M2MAG-mémoire
 
6- Pratiques informationnelles et analyse des traces numériques : de la repré...
6- Pratiques informationnelles et analyse des traces numériques : de la repré...6- Pratiques informationnelles et analyse des traces numériques : de la repré...
6- Pratiques informationnelles et analyse des traces numériques : de la repré...
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnées
 
Moderation-2023-Netino-by-Webhelp.pdf
Moderation-2023-Netino-by-Webhelp.pdfModeration-2023-Netino-by-Webhelp.pdf
Moderation-2023-Netino-by-Webhelp.pdf
 
Big data, algorithmes, quelques repères...
Big data, algorithmes, quelques repères...Big data, algorithmes, quelques repères...
Big data, algorithmes, quelques repères...
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYON
 
Quel rapport entre les réseaux sociaux et Matrix ?
Quel rapport entre les réseaux sociaux et Matrix ?Quel rapport entre les réseaux sociaux et Matrix ?
Quel rapport entre les réseaux sociaux et Matrix ?
 
4. Algorithmes
4. Algorithmes4. Algorithmes
4. Algorithmes
 
Essai rp
Essai rpEssai rp
Essai rp
 
Sarah belanger essai internet et relations publiques
Sarah belanger  essai internet et relations publiquesSarah belanger  essai internet et relations publiques
Sarah belanger essai internet et relations publiques
 
Apprendre l'identité numérique : du concepteur à l'usager des dispositifs ide...
Apprendre l'identité numérique : du concepteur à l'usager des dispositifs ide...Apprendre l'identité numérique : du concepteur à l'usager des dispositifs ide...
Apprendre l'identité numérique : du concepteur à l'usager des dispositifs ide...
 
Liberté et numérique
Liberté et numériqueLiberté et numérique
Liberté et numérique
 
Conférence big data
Conférence big dataConférence big data
Conférence big data
 
Amar Lakel - Patrimonialisation numérique et avenir digital du document.
Amar Lakel - Patrimonialisation numérique et avenir digital du document.Amar Lakel - Patrimonialisation numérique et avenir digital du document.
Amar Lakel - Patrimonialisation numérique et avenir digital du document.
 
Sommaire datanomics
Sommaire datanomicsSommaire datanomics
Sommaire datanomics
 

Plus de marysesalles

De la donnée à l’information : l’importance des conventions Isla colletis pen...
De la donnée à l’information : l’importance des conventions Isla colletis pen...De la donnée à l’information : l’importance des conventions Isla colletis pen...
De la donnée à l’information : l’importance des conventions Isla colletis pen...
marysesalles
 
Quantifier c'est deja decider Etienne Fieux
Quantifier c'est deja decider Etienne FieuxQuantifier c'est deja decider Etienne Fieux
Quantifier c'est deja decider Etienne Fieux
marysesalles
 

Plus de marysesalles (16)

Comment les systèmes d’information numériques impactent la démocratie dans le...
Comment les systèmes d’information numériques impactent la démocratie dans le...Comment les systèmes d’information numériques impactent la démocratie dans le...
Comment les systèmes d’information numériques impactent la démocratie dans le...
 
"Comment les systèmes d’information numériques impactent le fonctionnement de...
"Comment les systèmes d’information numériques impactent le fonctionnement de..."Comment les systèmes d’information numériques impactent le fonctionnement de...
"Comment les systèmes d’information numériques impactent le fonctionnement de...
 
De la donnée à l’information : l’importance des conventions Isla colletis pen...
De la donnée à l’information : l’importance des conventions Isla colletis pen...De la donnée à l’information : l’importance des conventions Isla colletis pen...
De la donnée à l’information : l’importance des conventions Isla colletis pen...
 
Daniel Bachet Inforsid2019 Systeme d’information, outil comptable et democrat...
Daniel Bachet Inforsid2019 Systeme d’information, outil comptable et democrat...Daniel Bachet Inforsid2019 Systeme d’information, outil comptable et democrat...
Daniel Bachet Inforsid2019 Systeme d’information, outil comptable et democrat...
 
Les systèmes d’information numériques, dispositifs de la gouvernementalité ?M...
Les systèmes d’information numériques, dispositifs de la gouvernementalité ?M...Les systèmes d’information numériques, dispositifs de la gouvernementalité ?M...
Les systèmes d’information numériques, dispositifs de la gouvernementalité ?M...
 
De la donnée à l’information : l’importance des conventions Anne Isla, Gabrie...
De la donnée à l’information : l’importance des conventions Anne Isla, Gabrie...De la donnée à l’information : l’importance des conventions Anne Isla, Gabrie...
De la donnée à l’information : l’importance des conventions Anne Isla, Gabrie...
 
La commande vocale dans les entrepôts logistiques. Un taylorisme assisté par ...
La commande vocale dans les entrepôts logistiques. Un taylorisme assisté par ...La commande vocale dans les entrepôts logistiques. Un taylorisme assisté par ...
La commande vocale dans les entrepôts logistiques. Un taylorisme assisté par ...
 
Système d’information comptable et démocratie dans l’entreprise - Daniel Bachet
Système d’information comptable et démocratie dans l’entreprise - Daniel BachetSystème d’information comptable et démocratie dans l’entreprise - Daniel Bachet
Système d’information comptable et démocratie dans l’entreprise - Daniel Bachet
 
Comment trouver un objet de recherche invisible : le cas des algorithmes mana...
Comment trouver un objet de recherche invisible : le cas des algorithmes mana...Comment trouver un objet de recherche invisible : le cas des algorithmes mana...
Comment trouver un objet de recherche invisible : le cas des algorithmes mana...
 
Organiser démocratiquement avec les systèmes d’information numériques ? Sébas...
Organiser démocratiquement avec les systèmes d’information numériques ? Sébas...Organiser démocratiquement avec les systèmes d’information numériques ? Sébas...
Organiser démocratiquement avec les systèmes d’information numériques ? Sébas...
 
De la démocratie en entreprise - Rémi Jardat
De la démocratie en entreprise - Rémi JardatDe la démocratie en entreprise - Rémi Jardat
De la démocratie en entreprise - Rémi Jardat
 
Du PNB au PIB vers une degradation du systeme d'information de la Nation G Co...
Du PNB au PIB vers une degradation du systeme d'information de la Nation G Co...Du PNB au PIB vers une degradation du systeme d'information de la Nation G Co...
Du PNB au PIB vers une degradation du systeme d'information de la Nation G Co...
 
Quantifier c'est deja decider Etienne Fieux
Quantifier c'est deja decider Etienne FieuxQuantifier c'est deja decider Etienne Fieux
Quantifier c'est deja decider Etienne Fieux
 
Salles M INFORSID 2018
Salles M INFORSID 2018Salles M INFORSID 2018
Salles M INFORSID 2018
 
Salles M atelier SI et Democratie INFORSID 2017
Salles M atelier SI et Democratie INFORSID 2017Salles M atelier SI et Democratie INFORSID 2017
Salles M atelier SI et Democratie INFORSID 2017
 
Systemes d’information numeriques : la democratie sous influence ?
Systemes d’information numeriques : la democratie sous influence ?Systemes d’information numeriques : la democratie sous influence ?
Systemes d’information numeriques : la democratie sous influence ?
 

Cours éthique et droit liés aux données numériques

  • 1. Maryse Salles Maryse.Salles@ut-capitole.fr M2 Miage-ISIAD Université Toulouse I - Capitole 2018-2019 Éthique et droit liés aux données numériques
  • 2. Objectifs du cours  Sensibiliser aux problèmes éthiques soulevés par l'usage des données, et, notamment, des grandes masses de données (Big data)  Favoriser la prise de conscience • du rôle joué par les systèmes d'information dans les organisations • de la responsabilité en tant que concepteurs SIADs • des risques liés à certains usages des outils numériques dans la vie personnelle et professionnelle  Informer de l'existant en matière de législation 2
  • 3. Avertissement : ce que ce cours n'est pas  Le cours ne sera pas • un cours de philosophie • un cours de droit • un cours de sécurité informatique…  …même si des notions issues de ces disciplines seront évoquées et/ou utilisées  L'objectif central du cours est de favoriser • la prise de conscience des problèmes relevant de l'éthique informatique • la prise de recul sur ces problèmes 3
  • 4. Forme du cours  Des apports (notions d'éthique du numérique, règlementations…)  Mais avant tout : des échanges, des réflexions en commun, des discussions…  Et donc : un besoin important de participation de votre part ! 4
  • 5. Plan I. Introduction II. Éthique des SI, éthique des SIAD, et éthique des données massives (Big Data) III.Point sur les législations liées aux données numériques IV.Conclusion 5
  • 6.  discussion autour des notions d'éthique, morale et droit  point sur le plagiat  rappels sur les données et les Big Data  rappel de la place centrale, dans la vie des organisations, des systèmes d'information en tant que systèmes de formalisation de visions du monde I. Introduction
  • 7.  Discussion autour des notions d'éthique, morale et droit
  • 8. Quelques exemples de situations  Pour un particulier : 1. Ne pas chercher si une information est vraie ou fausse et la relayer 2. Copier un extrait de texte sur un site et l'intégrer dans un texte que l'on est en train d'écrire soi-même 3. Propager volontairement une fausse information 4. Entretenir une relation sur Internet en ayant créé un faux profil 5. Entrer dans le SI d'une organisation, sans y faire de dégâts  Pour une entreprise cotée en bourse : 6. Ne pas diffuser une information importante (perte d'un très gros marché…)  Pour un moteur de recherche : 7. Ne pas donner les mêmes résultats à 2 internautes différents qui posent la même requête  Pour un état : 8. Tenter d'éliminer (par ex. à l'aide de drones) des personnes dont le comportement correspond à un profil particulier 8
  • 9. Le plagiat  Toute citation, qu'elle soit issue d'un texte sur papier ou d'un site internet, doit être clairement désignée comme telle • guillemets, note indiquant la référence précise de la source, avec notamment l'auteur, la page...  En l'absence d'un signalement de la citation, il s'agit tout simplement de plagiat  Dans les devoirs que vous me rendrez • les citations devront être clairement indiquées (voir ci-dessus) • chaque citation ne pourra excéder une longueur de quelques lignes (3 à 4 maximum) • le rapport ne pourra cependant être composé uniquement de citations mises bout à bout : la proportion totale des citations (en nombre de mots ou de caractères) ne devra pas excéder 25% du total du texte 9
  • 10. Éthique, morale, droit  Les situations du transparent précédent relèvent-elles de • l'éthique ? • la morale ? • le droit ?  Comment définiriez-vous la différence entre ces trois termes ? 10
  • 11. Éthique, morale, droit  Éthique : « tout le questionnement qui précède l’introduction de l’idée de loi morale » (Ricœur, 1998) • ce qu'une personne juge juste, bien…  Morale : « tout ce qui, dans l’ordre du bien et du mal, se rapporte à (…) des normes, des impératifs » (Ricœur, 1998) • ce que le groupe social/culturel auquel on appartient juge juste, bien…  Droit : la codification d'un consensus social sur ce qui est juste, bien…, codification faite sous forme de lois explicites, adoptées par le Parlement, s'appliquant à tous • ce qui est permis ou défendu dans la société où une personne vit  Idée d’une chaîne qui reconstruit « tous les intermédiaires entre la liberté, qui est le point de départ, et la loi, qui est le point d’arrivée » (Ricœur, 1998) 11
  • 12. Éthique, morale, droit, déontologie  Éthique : « tout le questionnement qui précède l’introduction de l’idée de loi morale » • ce qu'une personne juge juste, bien…  Morale : « tout ce qui, dans l’ordre du bien et du mal, se rapporte à (…) des normes, des impératifs » (Ricœur, 1998) • ce que le groupe social/culturel auquel on appartient juge juste, bien…  Déontologie : ensemble des devoirs que l'on doit respecter dans l'exercice d'une profession (+ parfois droits dont disposent ses membres)  ce qu'une profession se donne comme code moral, que ceux qui l'exercent doivent respecter  peut être accompagné de règles de droit (et de sanctions en cas de non respect de ce code)  Droit : la codification d'un consensus social sur ce qui est juste, bien…, codification faite sous forme de lois explicites, adoptées par le Parlement, s'appliquant à tous,  ce qui est permis ou défendu dans la société où une personne vit  Idée d’une chaîne qui reconstruit « tous les intermédiaires entre la liberté, qui est le point de départ, et la loi, qui est le point d’arrivée » (Ricœur, 1998) 12
  • 13.  Rappels sur les données et les Big Data
  • 14. 14
  • 15. Ceci n'est pas la mer méditerranée .
  • 16. Le logiciel COMPAS calcule un score de risque de récidive à partir de données quantifiées sur 18 thèmes  Criminal Involvement, Noncompliance History, Violence History, Current Violence  Criminal Associates/Peers, Social Environment, Criminal Opportunity  Family Criminality, Vocation/Education  Substance Abuse, Financial Problems  Social Isolation, Social Adjustment, Socialization Failure, Residential Instability  Criminal Thinking, Criminal Personality, Leisure/Boredom Score COMPAS : 10 (le plus haut) Les 137 données recueillies sur Bernard Parker sont-elles Bernard Parker 16
  • 17. Le score de probabilité de récidive de Bernard Parker  Aux États-Unis, le score d'un prévenu est transmis au juge qui doit décider de la peine et de ses éventuels aménagements • notamment décider d'une peine d'emprisonnement, de sa durée  Il est également utilisé pour les décisions de remise de peine, de mise en liberté conditionnelle, etc.  Une différence de catégorie de score (ex. risque élevé vs risque moyen ou bas) peut entraîner une différence de peine ou de montant de caution, suivant le juge concerné  La représentation de Bernard Parker permettant le calcul de son score de probabilité de récidive a un impact immédiat et majeur sur sa vie, à court, moyen et long terme 17
  • 18. Ne pas confondre la carte et le territoire  Existence d'erreurs • notamment du fait de problèmes organisationnels  L'illusion d'une représentation exhaustive • oubli des "angles morts" (en particulier Big Data)  Ce qui est perdu dans la numérisation • la donnée codée ne doit pas être confondue avec le réel • le codage d'un "objet" n'est pas l'objet lui-même, mais seulement une représentation numérique construite dans un but particulier  les rubriques décrivant sur un client, un sentiment codé par l'informatique affective, la somme des traces numériques laissées par un étudiant sur le Web… 18
  • 19. Les données ne sont pas données, mais bien construites  Une donnée codée numériquement est le résultat d'un ensemble de choix • choix des éléments du réel qui seront codés • choix des caractéristiques retenues pour décrire ces éléments • choix de la périodicité et du mode de collecte • choix du type de codage (nombre, texte, image…)  Selon vous, quels sont les facteurs qui influencent ces choix ? 19
  • 20.  Big Data et algorithmes : rapide présentation  Qu'est-ce que les Big Data ?
  • 21. Big Data  Grandes masses de données qui mémorisent des "traces" de l'activité d'êtres vivants, de machine, etc. ou leurs états successifs • très gros volumes de données : unités de mesure actuelles téraoctet (1012 octets), pétaoctet (1015), exaoctet (1018)  Collecte des données : principalement automatique • "traçage" fait sans acte volontaire de la part de la personne "tracée"  Données "historicisées" • les données s'accumulent, gardent la trace des différentes valeurs dans le temps  Grand nombre de "dimensions" pour décrire une personne, ou un objet • ex. pour une personne : données biologiques, noms des amis sur Facebook (et les amis de leurs amis), CV, photo, engagements associatifs, conduite automobile, les lieux où elle se rend, les numéros de téléphone entrants et sortants, les sites consultés… 21
  • 22. Big Data : ce qui est nouveau  La diversité des domaines concernés • Exemples ?  La masse des données traitées, en progression exponentielle • notamment par la multiplication des objets connectés  La masse des données concernant des personnes • permettant, malgré les protections, une identification relativement aisée des individus  Possibilité de corréler différents aspects (personne) jusque là dissociés • vie actuelle, vie passée, vie professionnelle, activités associatives, goûts musicaux, positions politiques, religion, relations amicales…  Le caractère caché des algorithmes de traitement  La volonté d'agir sur le futur au niveau des individus  L'accompagnement de cette volonté par des incitatifs (ou des menaces) puissants 22
  • 23. Algorithmes pour les Big Data  Traitements pour identifier des groupes d'entités se comportant d'une manière proche => profils • les données d'une nouvelle entité seront comparées aux profils déjà définis afin de la classer , ce qui permet d'inférer son comportement futur sur la base des comportements des entités de son profil • ex. : on compare les données biologiques, d'activité physique… d'une personne donnée à l'ensemble des profils sanitaires calculés, pour déterminer son niveau de risque • ex. : on compare le type de navigation dans un site marchand, les produits regardés, les achats effectués avec ceux des groupes de consommateurs que l'on a définis…  Ces traitements cherchent à établir des corrélations entre certaines variables (c'est-à-dire des liens qui font qu'elles évoluent en même temps) • ex. de corrélations : précocité maladie Alzheimer et niveau de diplôme, consommation chocolat et nombre de prix Nobel (mais aussi consommation chocolat et nombre de tueurs en série !), baisse de nombre de cigognes et de la natalité en Allemagne après-guerre… • attention : un lien de corrélation n'équivaut pas à un lien de cause à effet. La variable 1 peut être la cause de la variable 2… ou l'inverse (performance d'une entreprise et présence de femmes au CA). Les variables 1 et 2 peuvent être la conséquence d'une troisième variable inconnue au moment du traitement (cigognes et natalité). En analyse statistique, le lien de causalité est toujours une interprétation 23
  • 24. Quelques exemples d'utilisation  Utilisation dans la recherche scientifique, par aide à la compréhension de phénomènes impliquant de grands nombres de variables quantifiables • ex. : météorologie, épidémiologie, changement climatique…, sociologie des usages d'Internet, des comportements électoraux… • ex. : nouveaux domaine comme la "physique sociale"  Recherche de modification de comportement • ex. : achats suggérés sur Internet, modulation des tarifs d'assurance en fonction du comportement (assurance automobile, assurance santé)… • ex. : interface UBER pour pousser les chauffeurs à rester en service (alors que leur espoir de revenu est faible sur le créneau)  En aide à la prise de décision. Quelques exemples : • aide au recrutement, à la sélection des étudiants (États-Unis) • maintenance préventive de machines (suggestion de pièces à changer) • planification de travaux dans l'espace public • répartition des forces de police dans les quartiers (États-Unis) • aide aux décisions de justice (peines, libérations sous caution…) (États-Unis), aide à l'identification de terroristes potentiels 24
  • 25. Remarque sur le titre du cours  Titre officiel du cours : Éthique et droit de la donnée  Que vous évoque l'expression "la donnée" (au singulier), par opposition à "les données" (au pluriel) ? • idem les Big Data / le Big Data 25
  • 26.  Rappel : les SI en tant que systèmes de formalisation de visions du monde
  • 27. Les SI : des systèmes de formalisation de visions du monde  Les données sont un des composants des SI • quels autres composants selon vous ?  Exemples de formalisations de visions du monde • Nomenclatures tâches infirmières qui n'inclut pas la communication vers les familles • Critères de Maastricht (tous financiers) pour représenter la convergence économique des pays européens • Jeu de valeurs biologiques pour évaluer l'état de santé • Indicateurs de nombre d'arrestations pour mesurer l'efficacité de la police • etc. 27
  • 28. Sur la représentation d'un pays au travers de son PNB… "Our Gross National Product, now, is over $800 billion dollars a year, but that GNP - if we judge the USA by that - that GNP counts air pollution and cigarette advertising, and ambulances to clear our highways of carnage. It counts special locks for our doors and the jails for the people who break them. It counts the destruction of the redwood and the loss of our natural wonder in chaotic sprawl. It counts napalm and counts nuclear warheads and armored cars for the police to fight the riots in our cities. It counts (…) the television programs which glorify violence in order to sell toys to our children. Yet the GNP does not allow for the health of our children, the quality of their education or the joy of their play. It does not include the beauty of our poetry or the strength of our marriages, the intelligence of our public debate or the integrity of our public officials. It measures neither our wit nor our courage, neither our wisdom nor our learning, neither our compassion nor our devotion to our country, it measures everything in short, except that which makes life worthwhile. " Robert F. Kennedy, University of Kansas, March 18, 1968 28
  • 29. Personnes impactées par les SI  D'après vous, dans une organisation • quelles sont les personnes impactées par les SI ? • dans quelle(s) dimension(s) (contenu du travail, relations aux autres, bien-être…) ? • de quelle manière ? 29
  • 30. Les entités concernées par l'éthique et le droit des SI  D'après vous, quelles sont les entités (personnes, organisations, groupes…) concernées par • l'éthique informatique • le droit (portant sur le numérique) 30
  • 31. Plan I. Introduction II. Éthique des SI, éthique des SIAD, éthique des données massives (BigData) III.Point sur les législations liées aux données numériques IV.Conclusion 31
  • 32.  Petite introduction à l'éthique  Bref historique de l'éthique informatique  État de l'art (très) résumé de l'éthique informatique II. Éthique, éthique des SI, des SIAD, et des données massives
  • 33. Éthique : une aide à la décision  Aide à la décision • personnelle pour l'ingénieur décisionnel • collective pour l'organisation  Comment prendre une décision quand • plusieurs niveaux (éthique, morale, déontologie, droit) sont en opposition  morale et droit, éthique et déontologie, éthique et droit, etc. • au sein d'un même niveau, des valeurs sont en opposition  Dans ces situations : la réponse à la question "que dois-je faire ?" dépend de la personne ou de l'organisation, c'est-à-dire de leur éthique 33
  • 34.  Petite introduction à l'éthique
  • 35. Discussion : que pensez-vous des 2 citations suivantes ?  "Les tabous sur la vie et la mort ont des conséquences. L’explicitation des arbitrages liés à la santé, par exemple, soulève des controverses, dont l’effet premier est parfois l’augmentation du nombre de décès. Nos réticences à faire des calculs entre le nombre de personnes à sauver et les moyens mis en œuvre coûtent des vies à des millions de personnes chaque année. N’est-il pas absurde, par exemple, de dépenser des millions d’euros dans un service chirurgical pour sauver une vie lorsqu’on pourrait consacrer la même somme dans un autre service pour sauver davantage de vies ? La possibilité de ces calculs choque ; mais il est tout aussi choquant de refuser par principe de les faire, car le prix à payer pour ce refus est important en nombre de vies perdues." 35
  • 36.  "(…) le professeur Gary Becker remarquait à propos du don d’organes que l’interdiction de vendre son rein limitait les donations, condamnant ainsi chaque année des milliers de personnes aux États-Unis à mourir faute de donneurs. Pour lui, les détracteurs du marché d’organes ne doivent donc pas se draper dans leur vertu, leur idéal de moralité, qui s’avère aussi coupable de la mort des malades en demande d’organes. On ne peut pas se targuer de moralité quand on est contre le commerce des organes (…)."  Nota : l'auteur et la source des 2 extraits seront donnés en cours 36
  • 37. L’éthique au niveau de l’individu  L’éthique est une branche de la philosophie, qui traite de la manière dont on attribue les valeurs. Elle se situe en amont des normes morales et des lois  Les théories de l’éthique sont très nombreuses et ont donné lieu à d’innombrables débats depuis près de trois millénaires  Les théories éthiques concernent pour l’essentiel les choix de l’individu, et, plus rarement ses liens avec la communauté à laquelle il appartient  L’éthique appliquée peut concerner une organisation dans son ensemble (ex. : l’entreprise)  Quelques unes des principales approches dans le champ de l’éthique personnelle • le conséquentialisme (en particulier utilitarisme) • le libertarisme • l'éthique kantienne • l'éthique aristotélicienne 37
  • 38. Conséquentialisme/utilitarisme  Pour le conséquentialisme (en particulier l’utilitarisme de Bentham et Mill), seules les conséquences d’une action peuvent permettre de juger de son caractère moral • ce qui est moral est ce qui maximise le solde de bien-être pour tous les êtres sensibles concernés (animaux inclus)  solde = (bien-être total produit) – (mal être total produit)  si le solde final est positif, on peut accepter que le bien-être de certaines minorités ait été diminué • les motifs de l'agent moral (générosité, intérêt personnel, désire de nuire…), ne sont pas à considérer • une action ne peut être morale en soi : selon les contextes, une même action peut avoir un solde positif et donc être morale, ou un solde négatif et donc ne pas l'être 38
  • 39. Qqs critiques faites à l'utilitarisme Transparents 39 à 46 : très inspirés de "Justice" de Michael Sandel  Non-respect des droit des individus • car seul le solde global de bien-être est considéré • ex. : torture d'un terroriste pour éviter un attentat (bombe à retardement) + suite si ne parle pas  Une seule valeur pour mesurer toutes les dimensions du bien-être : la notion d'utilité • le plus souvent assimilée à une valeur monétaire • ex. étude Philip Morris qui montrait que le tabagisme représentait un gain net de $147 millions pour l'État (Rép. Tchèque)  taxes, mais aussi mort prématurée des fumeurs  mais mauvaise application de l'utilitarisme : il faut rajouter au calcul le coût d'une mort prématurée pour la famille… pb. de l'évaluation : ici, du prix de la vie humaine 39
  • 40. Le libertarisme  Pour être morale, une action doit respecter la liberté de chacun, son droit à disposer de ce qu'il possède (ses biens, son corps, sa vie) • dans le respect du droit des autres à faire de même  Les libertariens défendent une liberté totale des marchés • ils s'opposent à toute régulation étatique au nom de la liberté individuelle  redistribution des richesses  lois qui protègent les gens d'eux-mêmes  lois qui promeuvent les convictions morales de la majorité  ex. Milton Friedman opposé au salaire minimum car contraire à la liberté des individus de passer des contrats volontaires entre eux 40
  • 41. Qqs critiques faites au libertarisme  la propriété de soi a-t-elle une limite ? • ex. : vente d'un rein pour une "œuvre d'art" • ex. : vente de son deuxième rein  les choix faits sont-ils vraiment libres ? • exemples pour une personne qui se trouverait dans une grande pauvreté  accepter un travail très peu payé, dans des conditions sanitaires très mauvaises  vendre un rein pour payer des soins médicaux à son enfant  accepter de partir à la guerre à la place d'un autre contre une somme d'argent – Nota : composition des armées de métier => les classes défavorisées sont surreprésentées 41
  • 42. Éthique kantienne, éthique du devoir (déontologie au sens philosophique) 1/2  Base de l'éthique de Kant : nous sommes des êtres rationnels, qui méritent d'être traités avec dignité et respect • l'éthique a pour objet le respect des personnes en tant que fins en soi • « Je dis : l'être humain , et en général tout être raisonnable, existe comme fin en soi, et non pas simplement comme moyen pour l'usage que pourrait en faire, à son gré, telle ou telle volonté. » (cité par Sandel) • le respect de soi et le respect des autres sont basés sur le même principe du respect de l'humanité en tant que telle, et de sa capacité de raison  Dans l’éthique kantienne, c'est l'intention de l'action (et elle seule) qui permet d’en qualifier la valeur morale • les conséquences de l’action ne peuvent permettre de déterminer sa valeur morale (opposition avec l'utilitarisme)  procurer le bonheur au plus grand nombre ne peut être le critère d'une action juste  rendre un homme heureux n'est pas le rendre bon, le rendre habile à gérer ses intérêts n'est pas le rendre vertueux (cf. révélations des Panama papers et des Paradise papers…)  ex. d'action non éthique de par son intention – une entreprise qui applique principes de non-discrimination pour améliorer son image : l'intention est la recherche d'un intérêt => action non juste – voir charte CIGREF « pour préserver la confiance » • les conséquences d'une action peuvent être mauvaises mais l'action rester juste, de par l'intention qui est à son origine 42
  • 43. Éthique kantienne, éthique du devoir (déontologie au sens philosophique) 2/2  La définition de la liberté par Kant est très différente de celle des libertariens • nous pouvons agir librement parce que nous avons la capacité de raisonner • il distingue autonomie et hétéronomie • être autonome (et donc véritablement libre) c'est, en suivant une loi que l'on se donne, entreprendre une action pour elle-même, en tant que fin en soi (et non à la recherche d'un intérêt, d'un plaisir…)  Notion d'"impératif catégorique" (c'est-à-dire universel, non liés à une situation, un contexte) • Premier impératif catégorique : « Agis uniquement d’après la maxime qui fait que tu peux vouloir en même temps qu’elle devienne loi universelle »  Nota : "maxime" a ici le sens de règle, principe qui sous-tend l'action  le critère de l’action morale est donc qu’elle puisse être universalisable, qu'elle ne soit pas liée à mes intérêts et ma situation propres • Deuxième impératif catégorique : « Agis toujours de telle façon que tu traites l’humanité dans ta propre personne et dans celle d’autrui, non pas seulement comme un moyen, mais toujours aussi comme une fin en soi »  pour Kant, respecter la dignité humaine, c'est traiter les personnes, toujours, comme des fins en soi (et non des moyens)  peut aller très loin : Kant récuse le droit au suicide, car dans ce cas, pour lui, on se traite soi- même comme un moyen de soulager sa souffrance 43
  • 44. Aristote ou l’importance des fins  Pour Aristote, le but de la vie est la « vie bonne » • L’éthique est assimilable à la recherche du bonheur (eudaimonia), lequel ne peut s’atteindre que par le développement des vertus  le bonheur est distinct des plaisirs • L’action morale est donc celle qui va rendre l’individu meilleur, et c’est à l’aide de ses vertus (en particulier la capacité de choisir le juste milieu, la phronesis) qu’il pourra distinguer les actions morales de celles qui ne le sont pas  Deux idées centrales concernant ce qui est juste • définir des droits exige de définir le telos (la finalité, la raison d’être) de l’entité en question : objet, institution, pratique sociale etc.  ex. : le telos d’un violon est d’être utilisé par un violoniste, celui d’un très bon violon est d’être joué par un très bon violoniste • réfléchir au telos d’une entité revient en partie à réfléchir à quelles vertus cette entité devrait récompenser (et plus largement honorer)  ex. : un violon Stradivarius ne devrait jamais être dans les mains d’un collectionneur ou dans le coffre fort d’une banque, mais il devrait être dans les mains d’un excellent violoniste 44
  • 45. La participation à la vie de la société  Mais plusieurs personnes peuvent avoir des visions divergentes du telos de l’entreprise, de l’État, de l’université, de la recherche, du sport… • il faut pouvoir discuter de ces différentes visions • pour Aristote la finalité de la politique (de polis, la cité, la ville) est « de délibérer à propos du bien commun, de former leur jugement, de prendre part au gouvernement (…), de se soucier du sort de la communauté considérée comme un tout » (et non comme une somme d’individus) (M. Sandel)  Le rôle de la société • « Celui qui n’est capable d’appartenir à une communauté ou qui n’en a pas besoin parce qu’il se suffit à lui-même n’est en rien une partie d’une cité, si bien que c’est soit une bête, soit un dieu. » (Aristote, cité par Sandel)  il nous faut donc participer à la vie de la cité, être des citoyens à part entière • la communauté (pour Aristote : la Cité) doit avoir pour but de rendre les citoyens bons et juste. Ceux qui la dirigent doivent être supérieurs par leur vertus civiques et leur capacité à identifier le bien commun 45
  • 46. Les liens individus / société  Pour les approches évoquées, hormis celle d’Aristote, l’individu a très peu ou pas de devoir envers la société à laquelle il appartient • ses choix éthiques dépendent de lui et ne sauraient, pour l’essentiel, lui être imposés  Or, on peut considérer que nos choix viennent de notre histoire personnelle, laquelle est elle-même fonction de l’histoire de la société à laquelle on appartient • => notion de devoir de solidarité envers ceux qui font partie de la même société • => nécessité de réfléchir à la société comme une entité en soi, un tout, et non comme une somme d’individus  que signifie « la vie bonne » pour cette société,  comment faire vivre une culture politique qui permettent l’expression des divergences sur cette question, et qui rende possible le débat 46
  • 47. Les éthiques appliquées : entreprise, informatique  Les éthiques appliquées sont parfois très loin de ce qui précède • soit elles ne font aucune référence aux approches de l’éthique en philosophie  c’est souvent le cas en éthique informatique • soit elles adoptent une de ces approches sans l'expliciter, et a fortiori sans justifier ce choix par rapport à l’objet concerné 47
  • 48. L’éthique au niveau de l'entreprise  L’éthique de l’entreprise vue comme une entité spécifique => éthique des affaires (business ethics) • deux approches principales (mais il en existe d'autres) 1. Théorie de l’actionnaire (stockholder theory) • éthique de type conséquentialiste/utilitariste • la seule mission de l’entreprise est de faire du profit, en particulier pour rémunérer les actionnaires • représentant le plus connu : Milton Friedman, qui a titré un article « The Social Responsability of Business is to Increase its Profit » 2. Théorie des parties prenantes (stakeholder theory) • éthique de type kantienne : aucune partie prenante ne doit être considérée uniquement comme un moyen par les dirigeants de l’entreprise, mais doit être respectée comme une fin • la liste des parties prenantes varie  en général, parties prenantes soit qui sont vitales pour la réussite de l’entreprise, soit qui sont vitalement affectées par elle : actionnaires, salariés, fournisseurs, clients, habitants et pouvoirs locaux des zones d’activité de l’entreprise  mais peut considérer une liste extensive, incluant parfois la société dans son ensemble 48
  • 49.  Bref historique de l'éthique informatique
  • 50. Une préoccupation qui commence avec l'informatique  La préoccupation éthique s’exprime dès l’arrivée des premiers ordinateurs  Norbert Wiener perçoit dès 1948 les effets potentiels considérables au niveau social de la cybernétique • "Bien avant Nagasaki et la prise de conscience publique concernant la bombe atomique, il m'était apparu que nous étions ici en présence d'une autre potentialité sociale d'une importance jamais vue dans le bien et dans le mal" • Il s'inquiète des usages possibles de la cybernétique comme instrument de contrôle par certains groupes ("Les fascistes, les puissants du monde des affaires, et le gouvernement") • "la cybernétique est une arme à double tranchant, tôt ou tard elle vous blessera profondément" 50
  • 51. Message des année 70 : être vigilant, poser des frontières  Mowshowitz (1976) • « La plupart des systèmes informatiques de traitement de l'information (...) sont conçus pour servir l'une des deux fonctions sociales générales : la coordination de la diversité ou le contrôle du désordre. La coordination et le contrôle signifient les extrêmes d'un continuum de choix sociaux » • selon lui, il faut organiser la vigilance pour éviter une dérive vers le pôle « contrôle » de ce continuum.  Weizenbaum (1976), suite à l'expérience "Eliza", définit les domaines dans lesquels les applications informatiques ne devraient jamais être utilisées • Il propose de poser une frontière éthique infranchissable entre le vivant et les systèmes informatiques, et, par ailleurs, d’exclure de l’informatisation toutes les fonctions humaines qui impliquent des relations interpersonnelles • « Le point est (...) qu'il existe des fonctions humaines pour lesquelles les ordinateurs ne doivent pas être remplacés. Cela n'a rien à voir avec ce que les ordinateurs peuvent ou ne peuvent pas faire. Le respect, la compréhension et l'amour ne sont pas des problèmes techniques. »  D'après vous, où en sommes-nous aujourd'hui ? 51
  • 52. Années 80 : l'arrivée des philosophes  À partir des années quatre-vingt, l’éthique informatique se constitue en champ de recherche à part entière  Elle devient pluridisciplinaire, accueillant en particulier des chercheurs en philosophie • deux voies non convergentes : celle des philosophes, celle des professionnels de l'informatique  L’éthique informatique restera longtemps marquée par cette discordance • les apports des philosophes paraîtront souvent abstraits voire obscurs aux spécialistes des SI  et surtout difficilement applicables dans leur pratique professionnelle 52
  • 53. Années 90 : l'éthique professionnelle  Dans les années quatre-vingt-dix, une branche de l’éthique informatique voit le jour, celle de l’éthique professionnelle • plaide pour l’intégration de l’éthique dans les cursus de formation des développeurs et dans les méthodes de développement des SIN  Début des chartes éthiques et codes déontologiques (surtout E.-U.) • "Ten Commandments of Computer Ethics" (1992), "Code of Ethics and Professional Conduct" de l'ACM (1992)…  21ème siècle : focus sur l’usage d’Internet, puis sur les Big Data 53
  • 54. Remarque  Au 20ème siècle : en général, relatif désintérêt des informaticiens pour l’éthique • très peu de publications dans les revues majeures du domaine • en France : éthique pratiquement absente des cursus  quand présente : traite presque uniquement du respect des règlements de la CNIL • en cause selon nous :  la confusion science/technique, qui fait de l'informatique une science (computer science) sans qu'elle ait mené une réflexion épistémologique sur son ou ses objets, ses méthodes, son histoire, ses relations avec d'autres sciences  les liens entre informatique et marché, les liens étroits entre finance et informatique  Evolution à partir du milieu des années 2000, du fait des problèmes liés à l’usage d’Internet et aux Big Data • mais l’éthique reste peu abordée par les chercheurs en informatique • ce sont essentiellement d’autres disciplines qui en traite 54
  • 55.  État de l'art (très) résumé de l'éthique informatique
  • 56. Éthique informatique 1/2  Valeurs défendues • Valeurs a minima : PAPA  privacy, accuracy, property, accessibility  plus récemment : non-discrimination, utilisabilité pour tous, neutralité (freedom from bias), imputabilité, consentement éclairé, transparence, bien-être humain, démocratie 56
  • 57. Éthique informatique 2/2  Méthodes de conception de SI éthiques • très peu de méthodes pour inclure l’éthique dès la conception • proposition d’utiliser l'éthique du discours d’Habermas pour accompagner les négociations entre les différentes parties prenantes (Mingers & Walsham)  afin de donner aux diverses parties prenantes des droits égaux, et de parvenir à un consensus dans les meilleures conditions possibles  peut être intégré dans des méthodes existantes • un ex. de méthode spécifique : Value Sensitive Design (VSD), avec 3 types d’analyse  l’analyse conceptuelle : détermine quelles sont les parties prenantes directement ou indirectement impactées par le système à développer, puis identifie les valeurs impliquées, enfin élabore des définitions précises pour ces valeurs  l’analyse empirique : étudie le contexte humain et social, individuel et organisationnel, dans lequel le système doit fonctionner  l’analyse technique : 1) cherche à évaluer si les solutions techniques envisagées peuvent constituer une aide, ou au contraire un obstacle à la prise en compte des valeurs retenues 2) propose des développements spécifiques pour soutenir telle ou telle valeur 57
  • 58. Éthique pour les SIAD  Ici aussi, relatif désintérêt de la communauté informatique « Étant donné la popularité des entrepôts de données, business intelligence et autres systèmes d'aide à la décision, il est regrettable que l'éthique de l'aide à la décision comme sujet spécifique ait reçu si peu d'attention par rapport aux questions de vie privée et d'autres questions d'éthique informatique générale » (Meredith &Arnott, 2003) 58
  • 59. Que pensez-vous de cette citation ?  « Les "rapports standard" peuvent être un atout pour une organisation parce qu'ils limitent le choix pour les utilisateurs quand il s'agit de rechercher les informations pour prendre les décisions. En disant aux utilisateurs quelle information ils devraient regarder, le concepteur des "rapports standard" supprime le fardeau de décider ce qui est important et ce qui ne l'est pas » (Craig et al., 1999), cités par (Meredith & Arnott, 2003) 59
  • 60. Deux approches de l'éthique pour les SIAD 1. L’éthique centrée sur les décisions prises • considère la qualité des décisions prises à l’aide d’un SIAD et leurs conséquences, et suggère que les décideurs devraient être alertés sur ces conséquences par le SIAD même • idée que les concepteurs de SIAD ne doivent pas considérer uniquement les facteurs techniques, mais aussi les considérations éthiques et morales • notion d'ethical decision support systems (EDSS) 2. L’éthique centrée sur le processus de décision • s’intéresse à l’influence que le SIAD peut avoir sur la façon dont la décision est prise  « (...) Les systèmes d'aide à la décision (...) dans une mesure plus ou moins grande, usurpent ou imposent des structures à l'autonomie du décideur humain » (Meredith & Arnott, 2003) 60
  • 61. Éthique des Big Data : dimensions (Davis & Patterson, 2012)  La vie privée • problème éthique : il est possible d’identifier automatiquement des personnes par le rapprochement de données qui ne sont pas des identifiants  L’identité • multifacette (vie professionnelle, activités associatives, goûts musicaux, positions politiques, religion, relations amicales…), sans que l’on souhaite forcément que ces facettes soient publiquement reliées • problème éthique : la capacité des fournisseurs de Big Data de corréler ces différents aspects de notre identité, sans notre consentement  La réputation • la notion a drastiquement changé avec le nombre de personnes qui peuvent, au travers des informations qu’elles trouvent, se former une opinion sur un individu donné. Les Big Data accentuent cet effet  La propriété • le droit d’auteur garantit la propriété des œuvres de l’esprit • mais les informations qui décrivent une personne comme sa date de naissance, son poids, ses habitudes alimentaires ou sa pression sanguine sont-elles assimilables à une œuvre ? • une compagnie privée a-t-elle le droit de posséder des informations sur une personne sans que celle-ci les lui ait vendues ou cédées ? 61
  • 62. Éthique des Big Data : valeurs Cinq valeurs éthiques que les Big Data devraient respecter (Abrams, 2014)  La valeur d’avantage doit permettre de définir • quels sont les bénéfices attendus et qui les reçoit (individus, groupes ou société dans son ensemble) • quels sont les risques prévisibles et qui les supporte  La valeur de progrès • vérifie que l’utilisation des Big Data apporte un réel avantage par rapport à celui de techniques moins porteuses de de risques  La valeur de durabilité (dont gestion des effets de rétroaction) • doit permettre de gérer les modifications de comportement générées par son usage (n’a pas été le cas lors de la crise dite des « sub-primes » en 2008)  La valeur de respect • concerne le contexte dans lequel les données sont collectées et les restrictions que l’on doit appliquer à leur usage  La valeur de justice • proche de celle utilisée globalement en éthique informatique, renvoie essentiellement à la non-discrimination et au respect des lois 62
  • 63. Retour sur les enjeux évoqués dans l’introduction Ce qui a été dit sur l’éthique vous semble-t-il à même de répondre aux enjeux évoqués ? • voir transparents 13 à 28 (Rappels sur les données et les Big Data) Cela vous semble-t-il correspondre aux grandes questions éthiques ? • voir transparents 33 à 48 (Petite introduction à l'éthique) 63
  • 64. Remarques sur l’éthique informatique 1/2  Quand la responsabilité est évoquée, c’est assez rarement de responsabilité sociale qu’il s’agit, et pratiquement jamais de responsabilité économique • la responsabilité est en général liée à la notion d’imputabilité (accountability) • or celle-ci est assez restrictive et principalement orientée vers les usages incivils ou frauduleux, dont il est souhaitable de pouvoir identifier les auteurs  Les usages considérés sont avant tout les usages grand public • les SI dans les organisations, et leur impact sur les conditions et le contenu du travail ne sont pas traités • l’impact des SI sur la démocratie d’entreprise ne sont pas ou très évoqués • les usages en aide à la décision sont peu pris en compte 64
  • 65. Remarques sur l’éthique informatique 2/2  L'éthique informatique cherche avant tout à protéger des individus, mais pas une organisation, ni la société dans son ensemble  Les valeurs défendues par l’éthique informatique sont de niveaux très variés • il n’y a pas d’organisation générale, ni même une hiérarchie • or certaines valeurs peuvent être « génériques » (ex. démocratie) et entraîner « automatiquement » le respect d’autres valeurs • et d’autres valeurs peuvent être contradictoires entre elle  Elles laissent de côté la question des visions du monde • la plupart des travaux en éthique informatique se situent au niveau micro, en considérant le niveau macro comme donné • le niveau macro correspond aux représentations, ou visions du monde, ou encore au telos d’Aristote  il est déterminant de tous les choix faits en aval 65
  • 66. Plan I. Introduction II. Éthique, éthique des SI, des SIAD, et des données massives (Big Data) III.Point sur les législations liées aux données numériques Conclusion Bibliographie
  • 67.  Point sur les législations  Les institutions impliquées  Remarques  Quelques exemples de codes professionnels éthiques (déontologie) III. Le droit des données numériques
  • 68.  Point sur les législations
  • 69. Diversité des approches des données  Pour le droit des données numériques, il y a différents types de données • données personnelles  protégées sur le fondement des droits de la vie privée, de la personne • données relevant du droit d'auteur  protégées sur le fondement de la propriété – droit d'auteur (basé sur l'originalité de la production) – pour les bases de données, au-delà du droit d'auteur, le droit dit sui generis qui protège une base de données sous la condition d'un investissement substantiel pour sa constitution • données relevant du secret (secret des affaires, secret bancaire, secret de défense nationale,…)  protégées sur le fondement du secret 69
  • 70. Législation concernant les données personnelles France + Europe  Loi dite "Informatique et Libertés" du 6 janvier 1978  Décret du 14 octobre 1991  Loi "pour la Confiance dans l'Économie Numérique" du 21 juin 2004 (LCEN) • transpose dans le droit français la directive européenne sur la protection des données personnelles (95/46/CE)  Loi "Pour une République Numérique" du 7 octobre 2016 • élaborée après une large consultation en ligne • renforce la protection des données personnelles et les pouvoirs de la CNIL • dépasse largement la question des données personnelles • anticipe le règlement de l'U.E. (pas sur tous les points)  Europe : Règlement général sur le protection des données (RGPD) • harmonise les règles pour la protection des données personnelles au sein de l’U.E. • entrée en vigueur en mai 2016, applicable le 25 mai 2018 • En France : loi du 20 juin 2018 70
  • 71. Principes et définitions 1/5  Article 1er de la loi "Informatique et Libertés" • "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.''  Complété par la loi "Pour une République numérique" par l'alinéa • "Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi." 71
  • 72. Principes et définitions 2/5  Article 4 du Règlement général sur le protection des données (U.E.) • "Le traitement des données à caractère personnel doit être conçu pour servir l'humanité. Le droit à la protection des données à caractère personnel n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. • Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d'entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique." 72
  • 73. Principes et définitions 3/5 73  Donnée à caractère personnel • toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres  noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, photo, données biométriques (empreintes digitales, ADN, …) • Pour vous, y a-t-il d'autres types de données qui pourraient être considérées comme personnelles ?  Données sensibles • "Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique." • Pour vous, y a-t-il d'autres types de données qui devraient être considérées comme sensibles ?
  • 74. Principes et définitions 4/5  Les données doivent être collectées et conservées dans le respect de trois principes • Principe de finalité • Principe de proportionnalité • Principe d’exactitude 74
  • 75. Principes et définitions 5/5  Les données sont collectées et traitées de manière loyale et licite  Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus (…) et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées  Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs  Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées  Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées 75
  • 76. Principaux droits instaurés par ces lois 1/4 Attention : ces droits ne s'appliquent pas pour certains fichiers de l'administration (police, justice, services fiscaux, sécurité sociale, etc.)  Rappel : ne peuvent pas être collectées les "données sensibles" • exceptions : par exemple les fichiers nécessaires aux droits des justiciables, à la recherche médicale ou justifiés par l'intérêt public (sûreté de l'État, sécurité publique...)  Nota : les recours doivent pouvoir être effectués par voie électronique  Droit d'information/accès • Accès direct : toute personne peut demander au responsable d'un fichier s'il détient des informations sur elle et de les lui communiquer • Accès indirect : pour certains fichiers sensibles => en s'adressant au président de la Cnil  Obligation du consentement à figurer dans un fichier • le consentement doit être explicite et positif • il doit être renouvelé régulièrement 76
  • 77. Principaux droits instaurés par ces lois 2/4  Droit à l’effacement ou à l'oubli • toute personne a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant  Droit de rectification • toute personne peut faire corriger, compléter, mettre à jour, verrouiller ou effacer les informations la concernant  si elles sont inexactes, incomplètes, équivoques ou périmées,  ou si leur collecte, leur utilisation, leur communication ou leur conservation est interdite. • le responsable du fichier doit prouver qu'il a procédé aux opérations nécessaires  il est possible d'exiger une copie gratuite des données modifiées  Droit d'opposition • toute personne peut s'opposer à la présence de données la concernant dans un fichier  il faut un motif légitime • elle peut également s'opposer à ce que des données soient utilisées à des fins commerciales  pas de motif nécessaire  voir plus loin transparent "Se protéger" 77
  • 78. Principaux droits instaurés par ces lois 3/4  Droit à la portabilité des données personnelles (y compris d'usage en ligne) • toute personne a le droit de recevoir les données à caractère personnel la concernant, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable de traitement  ex. de données d'usage en ligne : compte utilisateur d’une banque en ligne, d’un service de e- commerce ou encore les préférences sur un site d’écoute musicale en ligne  Décisions prises sur la base de traitements numériques • Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne. • Aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage  Nota : il existe qqs exceptions, mais dans ces cas "Pour ces décisions, le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard" 78
  • 79. Principaux droits instaurés par ces lois 4/4  Profilage • "Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l'article 8 est interdit."  Mort numérique • Testament numérique  "Toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès."  Sanctions prévues • Deux plafonds suivant nature des manquements (telle que définie dans la RGPD)  maximum de 10 M€ (ou 2% CA mondial)  maximum de 20 M€ (ou 4% CA mondial) 79
  • 80. Les obligations de l'organisation qui crée une base de données personnelles 1/2  Suppression de l'obligation de déclaration à la CNIL  Protection des données dès la conception ("Privacy by design") • le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données  Protection des données par défaut ("Security by default") • le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées 80
  • 81. Les obligations de l'organisation qui crée une base de données personnelles 2/2  Étude d’impact • obligation de réaliser des analyses d’impact relatives à la protection des données (analyse des risques d’atteintes aux droits et libertés individuelles)  Obligation de documentation ou de rendre compte ("accountability") • l'organisation doit pouvoir démontrer qu’elle a rempli ses obligations en matière de protection des données  Nota sur la protection des données à caractère personnel traitées à des fins répressives • chaque Etat membre doit suivre un cadre commun tout en développant sa propre législation qui devra reprendre toutes les règles de base en matière de protection des données personnelles  notamment : la collecte de données personnelles ne peut être faite sans objectif clair, sans durée limitée et les justiciables auront des droits clairs, comme celui de savoir quelles sont les données collectées, à quelle fin, et combien de temps elles seront conservées 81
  • 82. Les obligations des plateformes  Obligations liées au RGPD en matière de "traitement loyal et transparent" • profilage : "la personne concernée doit être informée de l'existence d'un profilage et des conséquences de celui-ci"  Toute la question restant celle du contrôle de l'application de ces règlements 82
  • 83.  Les institutions impliquées : pouvoir législatif, autorités de contrôle
  • 84. Le pouvoir législatif et les organes de contrôle 84  Institutions générales détentrices du pouvoir législatif • France : parlement national • Europe : parlement européen, conseil de l'Union européenne, commission européenne (pour les propositions de loi)  Les organes de contrôle • France : CNIL • Europe : le Comité européen de la protection des données (European Data Protection Board) peut désigner une autorité de contrôle unique si l'activité considérée implique plusieurs pays européens • Que savez-vous de la CNIL ?
  • 85. La CNIL Principale source transparents 51-56 : site CNIL  CNIL (Commission Nationale de l'Informatique et des Libertés) : une autorité administrative indépendante (France)  Créée par la Loi Informatique et Libertés de 1978 • organe de contrôle  "Dans l’univers numérique, la Commission Nationale de l'Informatique et des Libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits." 85
  • 86. CNIL : 4 missions principales 1/2  Informer / protéger les droits : particuliers et professionnels  Accompagner la conformité / conseiller • conseils, avis sur les projets de lois, … (ex. avis sur mégafichier TES) • "boîte à outils" aux organismes qui souhaitent aller plus loin dans leur démarche de conformité : délégué à la protection des données (DPD ou DPO : Data Protection Officer), labels, packs de conformité (référentiels sectoriels), BCR (Binding Corporate Rules) qui encadrent les transferts de multinationales hors de l’U.E. • certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation  Anticiper et innover • dans le cadre de son activité d’innovation et de prospective, la CNIL s’intéresse aux signaux faibles et aux sujets émergents. • elle a pour mission de conduire une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques. 86
  • 87. CNIL : 4 missions principales 2/2  Contrôler et sanctionner • Le contrôle sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la loi • Lors d’un contrôle sur place, la CNIL peut :  accéder à tous les locaux professionnels  demander communication de tout document nécessaire et d’en prendre copie  recueillir tout renseignement utile et entendre toute personne  accéder aux programmes informatiques et aux données • Ex. de sanctions possibles (après mise en demeure)  pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de 3 millions d’euros (Règlement UE pour 2018 : 20 M€)  injonction de cesser le traitement  retrait de l’autorisation accordée par la CNIL 87
  • 88. Le Data Protection Officer (DPO) 1/2 Source : site CNIL  Voir https://www.cnil.fr/fr/dpo-par-ou-commencer  Obligatoire pour • Les autorités ou les organismes publics • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle • les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions • En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29 88
  • 89. Le Data Protection Officer (DPO) 2/2  Missions : organise et met en œuvre la conformité en matière de protection des données au sein de son organisation. Pour cela il est chargé • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés • de contrôler le respect du règlement et du droit national en matière de protection des données • de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ; • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.  Nota : le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement 89
  • 90. CNIL : coopérations internationales  Conseil de l’Europe • La CNIL suit les travaux de modernisation de la convention 108 et des activités du Comité consultatif de la convention 108 (T- PD) comme représentant de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée  Organisation de Coopération et de Développement Économiques (OCDE) • La CNIL participe au groupe de travail sur la protection de la vie privée et des transferts de données  Asia-Pacific Economic Cooperation (APEC)  Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) • en partenariat avec l'Organisation Internationale de la Francophonie (OIF) 90
  • 91. Au niveau européen : le G29  G29 : regroupe les "CNIL" européennes • contribue à l’élaboration des normes européennes en adoptant des recommandations • rend des avis sur le niveau de protection dans les pays hors UE • conseille la Commission européenne sur tout projet ayant une incidence la protection des données et des libertés des personnes 91
  • 92. Conseil National du Numérique (CNNum) Source : site du CNNum : https://cnnumerique.fr/ France  Le Conseil national du numérique a pour mission de formuler de manière indépendante et de rendre publics des avis et des recommandations sur toute question relative à l’impact du numérique sur la société et sur l’économie • exemple : le CNNum exprime ses "préoccupations" à propos du mégafichier TES  À cette fin, il organise des concertations régulières, au niveau national et territorial, avec les élus, la société civile et le monde économique  Il peut être consulté par le Gouvernement sur tout projet de disposition législative ou réglementaire dans le domaine du numérique  Intervention sur les algorithmes des grandes plateformes • le CNNum va élaborer un outil permettant aux utilisateurs de noter toutes leurs mauvaises expériences avec ces algorithmes 92
  • 93. Contrôle des plateformes Projets sur les algorithmes (France)  Projet du CNNum (grand public et entreprises) • outil pour stocker mauvaises expériences avec algorithmes  Préconisation rapport CGE (Conseil général des entreprises) • créer "une plateforme collaborative scientifique, destinée à favoriser le développement d’outils logiciels et de méthodes de test d’algorithmes " • logique d'autorégulation => Projet TransAlgo de l'Institut national de recherche dédié aux sciences et technologies du numérique (INRIA) (recherche) www.transalgo.org • pour définir normes définissant un algorithme "loyal" (non coupable de discriminations raciales, géographiques, financières, liées à l'âge, au sexe…), fiable… • pour lancer une plate-forme permettant à toute entreprise de tester son algorithme pour voir s’il est en conformité avec les normes qui auront été établies • pour aider à la diffusion de savoir-faire et de bonnes pratiques auprès de l'ensemble des acteurs (publics, privés, citoyens) 93
  • 95. Petit rappel historique : de SAFARI au TES  SAFARI • Projet de centraliser les répertoires régionaux d’identification et de les interconnecter avec les fichiers CNAV et celui des cartes d’identité (1971) • Perçu comme une grave atteinte à la liberté, manifestations… • => création de la CNIL, loi informatique et liberté (1977-1978) • aujourd’hui, toutes ces centralisations et interconnexions ont été faites (mais avec un certain contrôle de la CNIL)  Projet TES • rassemble toutes les empreintes biométriques des Français • étendu à tous les départements de France d’ici fin mars 2017 • malgré protestations dans la société civile, malgré avis très critiques de la CNIL et du CNNum (qui demande la suspension du projet) …  https://cnnumerique.fr/nos-travaux/fichier-des-titres-electroniques-securises-tes • mais il devrait être possible de refuser que ses empreintes soient fichées dans le cas d'une demande de carte d'identité  Votre avis sur cette évolution ? Votre avis sur le fichier TES ? 95
  • 96. Le difficile équilibre entre sécurité et liberté  Il est impossible d'avoir une sécurité très élevée sans atteinte aux libertés individuelles • même si les mesures en matière de sécurité qui ont réduit les libertés peuvent être contestables sur le plan de leur efficacité réelle  Évolution actuelle des lois et décrets en France => vers la sécurité plutôt que la liberté ? • effets négatifs des lois anti-terroristes • même s'il existe des résistance (CNIL, CNNum, certains responsables politiques, société civile) • ex. : exceptions dans les lois (UE et France) pour tout ce qui concerne la sûreté, la défense… • ex. : cas du mégafichier TES 96
  • 97. La notion de "Commun numérique"  Commun numérique : tout élément de l'activité numérique (logiciel, information,…) qui a été rendu commun par des pratiques collectives • soustrait du marché pour être réservé à un usage commun • géré par une communauté  Nota : bien que réclamée (et beaucoup discutée) par les participants à la consultation, la notion n'a pas été incluse dans la Loi pour une république numérique (2016)  Exemples de communs numériques ? 97
  • 98. Trois illusions dangereuses 1/2  Illusion de la protection totale de l'accès à des données • failles, mais aussi "portes dérobées" installées volontairement  mais la Loi pour une république numérique protège ceux qui dévoilent une faille de sécurité dans un système  Illusion de l'anonymisation • il est possible d’identifier automatiquement des personnes par le rapprochement de données qui ne sont pas des identifiants  possible d’identifier 70% des citoyens des États-Unis dès lors que l’on dispose de leur date de naissance, sexe et code postal  avec 5 informations, les chances peuvent grimper à près de 99 %  "En 1993, le New Yorker a publié un célèbre dessin avec des chiens devant un ordinateur, dont la légende suivante: «Sur Internet, personne ne sait que vous êtes un chien» (...). À l'époque, c'était drôle parce que c'était vrai. Aujourd'hui, cependant, à l'ère des Big Data, il est non seulement possible pour les gens de savoir que vous êtes un chien, mais aussi de quelle race vous êtes, votre nourriture favorite, votre lignée, et si vous avez déjà gagné un prix à une exposition canine. " (Davis & Patterson, 2012) 98
  • 99. Trois illusions dangereuses 2/2  Illusion de la protection des contenus (sans protection des métadonnées) • les métadonnées donnent des renseignements si précis qu'il n'est pas nécessaire d'analyser les contenus  où étiez-vous à un moment donné, qui avez-vous appelé, quels numéros appelle régulièrement votre interlocuteur, etc.  Quel est votre sentiment par rapport au fait que l'on peut être tracé et identifié, pour peu qu'il existe une volonté de le faire? 99
  • 100.  Quelques exemples de codes éthiques professionnels (déontologie)
  • 101.  Les premiers codes éthiques des professions informatiques ont été conçus aux États-Unis au début des années 90 • parfois par des organisations internationales comme l'ACM  concerne donc aussi la France ou l'Europe  Il a fallu une bonne dizaine d'années pour que des codes équivalents existent en France  Pas de code général (à la différence de la médecine), mais plutôt des codes par métier de l'informatique
  • 102. Les "10 commandements" Computer Ethics Institute. Première publication : 1992.  Un des codes les plus anciens, très critiqué • pour sa connotation religieuse • pour le caractère limité et artificiel des différents commandements 1. Thou Shalt Not Use A Computer To Harm Other People. 2. Thou Shalt Not Interfere With Other People’s Computer Work. 3. Thou Shalt Not Snoop Around In Other People’s Computer Files. 4. Thou Shalt Not Use A Computer To Steal. 5. Thou Shalt Not Use A Computer To Bear False Witness.
  • 103. Les "10 commandements" 6. Thou Shalt Not Copy Or Use Proprietary Software For Which You have Not Paid. 7. Thou Shalt Not Use Other People’s Computer Resources Without Authorization Or Proper Compensation. 8. Thou Shalt Not Appropriate Other People’s Intellectual Output. 9. Thou Shalt Think About The Social Consequences Of The Program You Are Writing Or The System You Are Designing. 10. Thou Shalt Always Use A Computer In Ways That Insure Consideration And Respect For Your Fellow Humans.
  • 104. Traduction issue d'une discussion sur le site viadeo.com (Patrick Barrabé) 1. Tu n'emploieras pas l'ordinateur pour nuire à autrui. 2. Tu ne brouilleras pas le travail informatique d'autrui. 3. Tu ne fouineras pas dans les fichiers des autres. 4. Tu n'emploieras pas l'ordinateur pour voler. 5. Tu n'emploieras pas l'ordinateur pour faire de faux témoignages. 6. Tu n'emploieras, ni ne copieras du logiciel que tu n'as pas payé. 7. Tu n'emploieras pas les ressources informatiques d'autrui sans autorisation. 8. Tu ne t'approprieras pas le travail intellectuel d'autrui. 9. Tu songeras aux conséquences sociales du programme que tu écris. 10. Tu emploieras l'ordinateur de manière à faire preuve de considération et respect. 104
  • 105. Code de l'ACM 1/2 Association for Computing Machinery, 1ère association prof. Informatique (fondée en 1947) Version courte du "Software Engineering Code of Ethics" (1999) 1. Public • Software engineers shall act consistently with the public interest. 2. Client and employer • Software engineers shall act in a manner that is in the best interests of their client and employer, consistent with the public interest. 3. Product • Software engineers shall ensure that their products and related modifications meet the highest professional standards possible. 4. Judgment • Software engineers shall maintain integrity and independence in their professional judgment.
  • 106. Code de l'ACM 2/2 5. Management • Software engineering managers and leaders shall subscribe to and promote an ethical approach to the management of software development and maintenance. 6. Profession • Software engineers shall advance the integrity and reputation of the profession consistent with the public interest. 7. Colleagues • Software engineers shall be fair to and supportive of their colleagues. 8. Self • Software engineers shall participate in lifelong learning regarding the practice of their profession and shall promote an ethical approach to the practice of the profession. 106
  • 107. Code du CyberSecurity Institute 1/2 "Our students, employees, contractors, and those testing for the CyberSecurity Forensic Analyst (CSFA)™ certification must agree to and abide by this Code of Ethics and Conduct" 1. I will observe and honor any other code of ethics or conduct for the organizations I am a member of or employed by. 2. I will respect the confidential nature of any information, methodologies, or techniques that I become aware of in relation to computer forensics/forensic computing. 3. I will strive to keep my technical skills current. 4. I will be honest and forthright in my dealings with others. 5. I will not reveal facts, data or information without the prior consent of my client or employer except as authorized or required by law. 6. I will not accept compensation for my services based on contingency. 7. I will not permit the use of my name by, or associate in business ventures with, any person or firm that I believe to be engaged in fraudulent or dishonest practices. 8. I will perform services only in areas I am competent in. I will rely upon other qualified parties for assistance in matters that are beyond my area of expertise. 9. I will maintain custody and control over whatever materials are entrusted to my care. 107
  • 108. Code du CyberSecurity Institute 2/2 10. I will refuse or terminate involvement in any work when I feel that I am being coerced into a particular opinion. 11. I will disclose all known or potential conflicts of interest that could influence or appear to influence my judgment or the quality of my services. 12. I will not falsify my qualifications or permit misrepresentation of my associates' qualifications, nor will I misrepresent or exaggerate my responsibilities in or for the subject matter of prior assignments, employment, or past accomplishments. 13. I will always acknowledge my errors and will not distort or alter the facts. 14. I am to be committed to the integrity of my profession, and will avoid situations in business or personal life where I might contribute to the wrongdoing of others or find myself viewed as a contributor to wrongdoing. 15. I will conduct my work based upon established, validated principles. 16. I will only render opinions that are demonstratively reasonable. 17. I will do my best to thoroughly examine and analyze all evidence, and will not withhold any of my findings, whether inculpatory or exculpatory. 18. I will provide assistance to those involved in my profession, as long as my assistance does not conflict with any other provision of this Code of Ethics and Conduct. 19. I will conform to all laws - federal, state, and local - pertinent to my profession. If I am unsure of the laws in a given situation, I will seek the assistance of legal counsel. 108
  • 109. France : chartes et rapports 1/3  CIGREF : rapport "Éthique et numérique : Enjeux et recommandations à l'intention des entreprises" (pas charte mais guide méthodologique) • Étapes  compréhension de la transformation du contexte socioéconomique de l'entreprise  identification par chaque métier des enjeux éthiques  construction/implication : réflexion sur la définition des valeurs éthiques (participation essentielle)  influence et diffusion : comités d'éthique comme vecteur d'influence et de diffusion • Thèmes  protection des salariés : respect de la vie privée, droit à la déconnexion, égalité d'accès et d'usage  protection des clients : protection des données personnelles et droit à l'oubli, transparence, cohérence dans les valeurs et pédagogie  protection du patrimoine de l'entreprise : non seulement données mais ensemble des actifs de l'entreprise  rôle citoyen de l'entreprise dans son environnement : se préoccuper de l'impact négatif que pourrait avoir l'activité de l'entreprise sur son environnement (ex. problèmes posés par les lunettes Google, objets connectés, voitures connectées…) 109
  • 110. France : chartes et rapports 2/3  Charte Éthique et Big Data • conçue en coopération par l’Association francophone de la communication parlée (AFCP), l’Association des professionnels pour l’économie numérique (Aproged), l’Association pour le traitement automatique des langues (ATALA) • points clés (analyses à effectuer)  description des données : nature, origine, nature des producteurs, sources, modalités de collecte et de traitement…  traçabilité : connaître la source des données, et de retracer leur évolution de la création à la diffusion  propriété intellectuelle : garantir le respect des droits de chacun des producteurs de données en identifiant les droits portant sur ces données  réglementations spécifiques : s’assurer que les données ont été obtenues et mises à la disposition du public conformément au droit 110
  • 111. France : chartes et rapports 3/3  Exemples de charte dans l'éducation • Université Toulouse Jean Jaurès • Lycée Maurice Genevois  Organisations (organismes de recherche, universités, entreprises, collectivités territoriales…) • de nombreux codes de déontologie du numérique • mais encore très peu de chartes sur l'éthique des Big Data  une exception : le Crédit Agricole, qui dispose d'une charte depuis fin 2016  Ce qui est mis en avant par les entreprises dans les chartes : la question de la confiance des clients envers l'entreprise • "construire une éthique commune entre l'entreprise et son éco-système [pour] préserver la confiance" (CIGREF) • "l'utilisation des données, dans un cadre défini, n'est légitime que si elle sert l'intérêt de nos clients. Nous souhaitons maintenir le capital confiance élevé du groupe" (Crédit Agricole)  Entreprises spécialisées en conseil sur l'éthique informatique • ex. Digital Ethics : http://www.digital-ethics.com/ 111
  • 112. Plan I. Introduction II. Éthique, éthique des SI, des SIAD, et des données massives (Big Data) III.Point sur les législations liées aux données numériques Conclusion Bibliographie
  • 113.  Se protéger de la surveillance et des fausses informations  Discussion  La responsabilité des parties prenantes dans la conception de SI et de SIAD Conclusion 113
  • 114.  Se protéger de la surveillance, se protéger des fausses informations
  • 115. 115 Se protéger de la surveillance Transparents 115 à 120 : inspirés de « Data and Goliath » de Bruce Schneier  « If we are not doing anything wrong, then we have a right to do everything we can to maintain the traditional balance between us and power that is listening. We have a right to be obscure. We have a right to mumble. We have a right to speak languages they don’t get. We have a right to meet when and where and how we please » Eben Moglen, The Guardian, may 27, 2014  Par “surveillance” nous entendons ici aussi bien la surveillance par les services de l’État que le traçage par des entreprises commerciales  Les solutions légales • Éviter la surveillance • Bloquer la surveillance • Déformer les informations de surveillance
  • 116. 116 Éviter la surveillance 1/2  Éviter la publicité • Refuser que vos données personnelles soient utilisées à des fins commerciales  Fichiers Robinson-Stop publicité : www.e-robinson.com (téléphone et e-mail)  Téléphone (Orange) : liste orange  Modifier votre comportement • Payer en espèces et non par carte • Refuser les cartes de fidélité • Ne pas emporter son mobile systématiquement avec soi  attention : pour les citoyens de certains pays non démocratiques, quand on est engagé politiquement, il ne faut pas laisser systématiquement son portable chez soi, mais seulement quand c’est important de le faire, car cela vous signale aux forces de surveillance • Quand on doit voyager dans certains pays, ne pas prendre son ordinateur avec soi (avec toutes ses données), mais un ordinateur d’emprunt  Idem mobile
  • 117. 117 Éviter la surveillance 2/2  Modifier votre comportement (suite) • Ne pas utiliser votre mail via un webmail • Ne pas utiliser gmail • Utiliser un moteur de recherche qui garantit la confidentialité : Qwant, Startpage (attention : il s'agit d'une filiale de Google)... • Ne pas sauver vos données sur le Cloud • Limiter votre usage des réseaux sociaux  Ne pas poster de photos de vos proches (enfants notamment), d’information intime (même pour vos « amis ») • Ne pas discuter de certains sujets par e-mail  Ou utiliser des techniques employées dans des pays non-démocratiques – ex. : écrire un message à la main, puis le scanner pour l’envoyer par mail  Limitez au maximum la présence d’objets connectés chez vous • Ne portez pas d’objets connectés sur vous (en dehors du mobile si vous ne pouvez pas l’éviter) : pas de montres, de bracelets… connectés • Ne mettez pas les enfants en contact avec des jouets connectés…
  • 118. 118 Bloquer la surveillance  Solutions « low tech » • Couper la géolocalisation sur votre smartphone quand vous n’en avez pas besoin • Obstruer la camera de votre ordinateur • Ne pas donner d’informations personnelles (date de naissance, n° de téléphone…) quand des services commerciaux vous les demandent  Utiliser des PETs (Privacy Enhancing Technologies) • Bloquer les mouchards  Ghostery : https://www.ghostery.com/  FlashBlock, Disconnect, Privacy Badger, Lightbeam • Crypter vos données, vos messages, vos conversations orales...  Données : BitLocker, FileVault ; Messages : BERTRAND ; Navigation : TOR, HTTPS Everywhere  Chat : Off the Record, Cryptocat, Spideroak ; Voix : Silent Circle, TORFone, RedPhone, Blackphone • En utilisant certains de ces outils, vous aidez des personnes dans des pays non- démocratiques, car plus il y a d’utilisateurs, plus ces outils sont améliorés et leurs failles limitées • Mais attention, tout ne peut pas être crypté  Les fournisseurs de messageries ont les clés (Google Gmail…)  Les metadonnées ne sont en général pas cryptables
  • 119. 119 Déformer les informations de surveillance  Solutions « low tech » • Supprimez les cookies plusieurs fois par jour dans votre navigateur • Pour vos achats en ligne, utilisez des numéros de client d’amis • Pour vos achats dans les magasins échangez des cartes de fidélités avec vos amis • Donnez de fausses informations personnelles quand des services commerciaux vous les demandent (adresse, téléphone, date de naissance…)  Utilisez un VPN (Virtual Private Network) ou des générateurs de fausses adresses IP
  • 120. 120 Trouver un équilibre  Les solutions évoquées peuvent vous priver d’avantages ou vous rendre la vie plus difficile • ex. : ne pas avoir de carte de fidélité vous fais perdre certaines offres commerciales • ex. : payer en espèces demande de s’organiser pour avoir toujours de l’argent liquide sur soi • ex. : ne pas avoir son mobile avec soi peut être compliqué…  A vous de trouver l’équilibre entre • le droit à votre vie privée (en sachant que la confidentialité ne sera jamais possible à 100%) • et un mode de vie soutenable…
  • 121. Vérifier les informations diffusées sur internet Sites de vérifications des faits (« fact checking »)  Sites généraux • recensement de sites : https://reporterslab.org/fact-checking/# • réseau : http://www.poynter.org/2015/fact-checkers-of-the-world- unite/379716/  En France • Sites de la presse  http://desintox.blogs.liberation.fr/  http://lemonde.fr/lesdecodeurs (crowd checking) • Sites spécialisés  sur les canulars (Web, mails…) : http://www.hoaxbuster.com/  Aux Etats-Unis : de très nombreux sites. Qqs exemples : • http://www.factcheck.org/, http://politifact.com/, http://www.opensecrets.org/index.php • sur les légendes et canulars (Web, mails…) : http://www.truthorfiction.com/, http://snopes.com/, http://www.hoax-slayer.com/  Identifier la source d'une photo : https://www.tineye.com/ 121
  • 122. Sécurité numérique : un site très utile  Le Kit de survie numérique de Reporters Sans Frontières https://rsf.org/fr/kit-de-securite-numerique Voir aussi le site http://www.wefightcensorship.org/
  • 124. Discussion  Les éléments de droit et de déontologie que nous avons évoqués en partie III vous semblent-ils couvrir l'ensemble des enjeux • d'éthique en général ? • d'éthique des SI, SIAD et données massives ? 124
  • 125.  La responsabilité des parties prenantes dans la conception de SI et de SIAD
  • 126. La responsabilité des parties prenantes dans la conception de SI et de SIAD  Enjeux sociaux, environnementaux, économiques ou culturels majeurs  Risque que les outils d'aide à la décision orientent les décision de façon souterraine, non perceptible • importance de la phase de définition du problème, déterminée par les représentations incluses dans les SIAD  Il est nécessaire d'interroger la façon dont ces systèmes sont construits  de prendre conscience des valeurs éthiques à respecter  et de les intégrer dès le début de la conception  Les concepteurs, l’ensemble des parties prenantes concernées, ont une responsabilité • dans l’utilisation qui est faite des SIAD • dans les conséquences des décisions prises avec leur support  Au-delà, responsabilité citoyenne • en paraphrasant Michael Sandel (qui écrit à propos de la mise en marché) : il convient aujourd’hui de repenser le rôle et l’impact du numérique dans nos pratiques sociales tout autant que dans nos relations humaines et notre vie quotidienne  discuter et décider collectivement de ce qui peut être codé numériquement et de ce qui ne doit pas l’être 126
  • 127. Éléments de bibliographie 1/2  Éthique • Michael Sandel, « Justice », 2009, Farrar, Straus & Giroux, traduction française, Albin Michel, 2016  Droit • Castets-Renard Céline, « Law and Big Data », Communication à la Conférence Big Data and Challenge Awards in Toulouse, 26 janvier 2017 • Dossier de presse Loi pour une république numérique : http://www.economie.gouv.fr/files/files/PDF/DP_LoiNumerique.pdf • Site de la CNIL : https://www.cnil.fr/ • Bensoussan A., Adoption du Paquet "Protection des données à caractère personnel", http://blog.lefigaro.fr/bensoussan/2016/04/adoption-du-paquet-protection-des-donnees-a- caractere-personnel.html  Codes de déontologie : quelques exemples • "Les 10 commandements" http://computerethicsinstitute.org/publications/tencommandments.html • Code de l'ACM : https://www.computer.org/cms/Computer.org/Publications/code-of-ethics.pdf • CIGREF :  rapport "Éthique et numérique : Enjeux et recommandations à l'intention des entreprises : http://images.cigref.fr/Publication/2014-CIGREF-Ethique-et-numerique-Enjeux-recommandations-intention- entreprises.pdf  déontologie de l'usage des SI : http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2006/2006_- _Deontologie_des_usages_des_SI_CIGREF_-_CEA-CED_Rapport_Web.pdf • AFCP, Aproged, ATALA : http://wiki.ethique-big-data.org/chartes/CharteEthiqueBigDatav2d.pdf • Code du CSI : http://csisite.net/training/ethicsconduct.htm 127
  • 128. Éléments de bibliographie 2/2  Big Data et algorithmes • Travaux d'Antoinette Rouvroy : https://works.bepress.com/antoinette_rouvroy/ • O'Neil Cathy, Weapons of Math Destruction, Crown, New York, 2016. https://mathbabe.org/  Se protéger • Kit de sécurité numérique de Reporters Sans Frontières : https://rsf.org/fr/kit-de-securite-numerique • Guide 'De la pub si je veux !" (CNIL) https://www.cnil.fr/sites/default/files/typo/document/CNIL_Guide_pub.pdf • Schneier Bruce, Data and Goliath, W. W. Norton, New York, 2015. www.schneier.com  Éthique informatique • Salles Maryse, « La responsabilité économique et sociale des concepteurs de systèmes d’information : contribution à une éthique appliquée », Innovations. Revue d’Économie et de Management de l’Innovation (I-REMI), n°46, vol. 1, pp. 197-226, 2015. www.cairn.info/revue-innovations-2015-1-page-197.htm • Salles Maryse, « Décision et système d'information », Collection Systèmes d'information avancés, Vol. 2, ISTE-WILEY, 2015. iste-editions.fr/collections/serie-systemes-d-information-avances/products/decision-et-systeme-d-information • Stahl Bernd Carsten, « Researching Ethics and Morality in Information Systems: Some Guiding Questions », ICIS 2008, 2008 • Stahl Bernd Carsten, Timmermans J., and Mittelstadt B. D., « The Ethics of Computing: A Survey of the Computing-Oriented Literature », ACM Comput. Surv., 48 (4), article no. 55, 2016. www.dora.dmu.ac.uk/xmlui/handle/2086/12055 • Stiegler Bernard, « De la gouvernementalité algorithmique de fait au nouvel état de droit qu’il lui faut », Notes du Séminaire Digital Studies, 7 octobre, 2014. https://digital-studies.org/wp/antoinette-rouvroy-et-bernard-stiegler-07102014/ • Weizenbaum Joseph, « Computer Power and Human Reason: From Judgment To Calculation », W. H. Freeman, San Francisco, 1976. Traduction française : « Puissance de l'ordinateur et raison de l'homme : du jugement au calcul », Éditions Informatique, 1981 128