18 novembre 2021 : 22e Rencontre de la Chaire VP-IP en partenariat avec la Chaire C3S

Analyse d'impact relative à la Protection des Données : le cas des voitures connectées

Cette 22e Rencontre, co-organisée par les Chaires Valeurs et Politiques des Informations Personnelles (VP-IP) et  Connected Cars and Cyber Security (C3S), visait à présenter le rapport de recherches des Chaires C3S et VP-IP sur l'Analyse d'impact relative à la Protection des Données : le cas des voitures connectées ainsi que du document compagnon.

¬ PROGRAMME

10 h 00 : Présentation des chaires C3S et VP-IP
François Pistre, Président du comité de pilotage de la Chaire C3S, Romain Galesne-Fontaine, Président du comité de pilotage de la Chaire VP-IP, Rida Khatoun, Co-responsable de la Chaire C3S, Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP

10 h 10 : Présentation du rapport Analyse d’Impact pour la Protection des Données : le cas des voitures connectées par ses auteurs
Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP et enseignant-chercheur à Télécom Paris et Jonathan Keller, Ingénieur d'études en Droit, Institut Mines-Télécom/Télécom Paris

10 h 45 : Présentation du document électronique accompagnant le rapport Analyse d’Impact pour la Protection des Données : le cas des voitures connectées
Aymeric Poulain-Maubant, consultant, formateur & conférencier dans le secteur du numérique

11 h 00 : Table ronde animée par Florian Damas (Nokia) et Claire Levallois-Barth avec la participation de :

  • Thomas Moreau, Juriste en Protection des données personnelles, CNIL
  • Antonio Kung, Président de Trialog
  • Cidalia Beleza, Déléguée à la protection des données, Renault
  • Jonathan Keller

12 h 00 : Discussion avec le public

¬ LE RAPPORT Analyse d’Impact relative à la Protection des Données : le cas des voitures connectées

Télécharger le rapport au format PDF (PDF, 3,85 Mo)

Ce rapport, rédigé par Claire Levallois et Jonathan Keller, traite de l’interaction entre l’analyse d'impact relative à la protection des données personnelles (AIPD) découlant d’une obligation légale imposée par le RGPD et les besoins opérationnels du secteur automobile. En effet, les flux de données dans le secteur automobile se sont complexifiés, la connectivité du véhicule transformant ce dernier en une plateforme informationnelle soulevant de nouvelles problématiques, notamment en ce qui concerne l’identification des personnes concernées et de la régulation du partage des données personnelles.

Dans ce contexte, le rapport :

  • Dresse la cartographie des flux de données personnelles au sein de l’écosystème d'un véhicule connecté,
  • Puis identifie les risques liés à la création et à l’utilisation des données personnelles,
  • Afin de déterminer les méthodologies pouvant optimalement diminuer ces risques.

Plus précisément, avec les industriels partenaires de la Chaire C3S, nous avons défini un cas pratique (appelé « Biomem ») comprenant trois hypothèses (« Biomem-constructeur », « Biomem-Indé » et « Biomem-VOD »). En nous basant sur ces trois hypothèses, nous avons appliqué quatre méthodologies d’analyses d’impact, à savoir :

  • L’analyse d'impact relative à la protection des données personnelles de la CNIL,
  • Une méthodologie institutionnelle développée par le Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand,
  • L’évaluations d’impact pour la vie privée proposée par le National Institut of Science and Technology (NIST) étasunien,
  • La Privacy Risk Analysis Methodology de Daniel Le Métayer et Sourya Joyee De de l’INRIA.

Nous avons ainsi comparé ces méthodologies et déterminé leurs points forts et leurs faiblesses en ce qui concerne le respect des droits et libertés des personnes concernées.

La troisième partie du rapport, juridique, porte sur la judiciarisation des risques liés aux données personnelles. Elle traite de l’appréciation des risques par les cours européennes (Cour européenne des droits de l’Homme et Cour de justice de l’Union européenne) et, en cas de la violation des données personnelles, par le juge judiciaire.

¬ INTERVENANTS DE LA TABLE RONDE

Thomas Moreau

Twitter : @CNIL

M. Thomas Moreau est juriste au Service des Affaires Économiques de la Commission Nationale Informatique et Libertés (CNIL). Il est en charge des secteurs Transports et Energie. A ce titre, il suit l’ensemble des dossiers en lien avec les véhicules connectés. Avant de rejoindre la CNIL en 2019, il a travaillé pendant 16 ans dans le secteur des télécoms notamment en tant que responsable affaires réglementaires chez SFR.

Antonio Kung

Twitter : @antoniokung

M. Antonio Kung est cofondateur de Trialog. Avec une expérience de plus de 30 ans dans le domaine des systèmes cyber physiques et de l’internet des objets, il apporte expertise et savoir-faire dans le domaine de l’architecture, l’interopérabilité ou la sécurité et protection des données. Il a été coordinateur de multiples projets collaboratifs en France et en Europe dans ces domaines. Il est actif à la standardisation sur l’internet des objets, la sécurité et protection des données, notamment l’éditeur des standards ISO/IEC 27550 (publié), 27556, 27561 – POMME, 27570 (publié), 21823-3, et 30149. En 2018, il devient associé principal de Trialog et en assure la présidence. M. Antonio Kung est diplômé de l’université de Harvard et de l’école centrale Paris. 

Cidalia Beleza

Twitter : @renaultgroup

Mme Cidalia Beleza est Group Data Protection Officer de Renault Group. Elle a rejoint Renault après des expériences d’avocate au sein de DLA Pipper et Hogan Lovells, puis de juriste au sein de Hewlett Packard et dernièrement de Directrice Juridique de la Société IQVIA, la plus importante entreprise de gestion technologique des données dans le domaine de la santé. Mme Cidalia Beleza a assuré la fonction de relai DPO d’IQVIA pour la France et à ce titre avait pour mission de mettre en conformité la société au RGPD, en lien direct avec la CNIL.

Florian Damas

Twitter : @florianorama

M. Florian Damas est responsable des affaires politiques et réglementaires, chargé de l'élaboration des positions de NOKIA sur les principales questions réglementaires et de réflexion pour Nokia. Il conseille les régulateurs et les autorités de la concurrence pour assurer l'interopérabilité des infrastructures et la concurrence. Il s'engage auprès des gouvernements à soutenir les plans nationaux de large bande et à tirer le maximum de bénéfices économiques et sociétaux des TIC. 

Jonathan Keller

Docteur en droit public, M. Jonathan Keller est ingénieur de recherches de l'Axe 5 « Protection des données personnelles impliquées dans le véhicule connecté » au sein de la Chaire Connected cars and Cyber Security (C3S) de Télécom Paris.

Il est chercheur associé à la Chaire Valeurs et Politiques des Informations Personnelles de l’Institut Mines-Télécom.

Claire Levallois-Barth

Twitter : @CVPIP

Mme Claire Levallois-Barth est enseignante-chercheure en droit à Télécom. Elle est la Coordinatrice de la Chaire Valeurs et Politiques des Informations Personnelles de l’IMT et la responsable pour l’IMT du programme Living Lab 5G. Elle est responsable de l’axe 5 Protection des données personnelles impliquées dans le véhicule connecté  de la  Chaire « Connected Cars & Cyber Security » (C3S)  de Télécom Paris. 

Claire Levallois-Barth est membre du Comité national pilote d’éthique du numérique, du comité scientifique du Forum International de la Cybersécurité (FIC), du Data Privacy Expert Panel d’AXA, du Comité d’éthique sur l’intelligence artificielle de Pôle Emploi et du Comité éthique de la Data et de l’IA d’Orange

¬ AVEC LE SOUTIEN DES MECENES, PARTENAIRES ET ECOLES MEMBRES DES CHAIRES VP-IP ET C3S

 

Chaire Valeurs et Politiques des Informations Personnelles

Chaire Connected cars and Cyber Security