Comment contrôler les modèles analytiques [Étape 12 du RGPD]

Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, les entreprises doivent contrôler leurs modèles analytiques de sorte qu’ils n’enfreignent pas les droits des personnes concernées, telles que les clients, les employés et les prospects.

Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, portant sur un plan global en 16 étapes pour mettre en œuvre un programme de gouvernance des données en vue d’assurer la conformité au RGPD.

Le contrôle des modèles analytiques est l’Étape 12 de ce plan. Pour en savoir plus sur les onze premières étapes, consultez les liens dans la barre latérale.

Télécharger Comment contrôler les modèles analytiques [Étape 12 du RGPD] maintenant
En savoir plus

Le point de vue du RGPD sur les modèles analytiques

Les modèles analytiques s’appuient sur les profils des clients pour prédire des futurs modèles de comportement. Comme ces modèles se servent de données à caractère personnel pour leurs calculs, il est important d’évaluer leur utilisation de ces données et de déterminer s’ils présentent un risque pour la confidentialité des personnes concernées.

Décision et profilage automatiques

L’Article 22 du RGPD traite de la décision individuelle automatisée, y compris du profilage. Selon cet article, la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant significativement de façon similaire.

Cela implique que la personne concernée doit donner son consentement de manière explicite, son accord pour participer à toute activité de profilage de l’entreprise, à moins que celle-ci ne soit effectuée à des fins commerciales légitimes, telles que la vérification d’un employé potentiel possédant un casier judiciaire.

Autre cas d’utilisation : l’entreprise utilise un modèle analytique pour calculer automatiquement les primes. Si l’entreprise garantit que les données sont totalement protégées grâce à des techniques comme l’anonymisation, qui garde secrète l’identité de la personne, le consentement n’est pas nécessaire dans ce cas. Toutefois, si pour le calcul de son modèle analytique l’entreprise saisit certaines caractéristiques permettant l’identification, alors le consentement de l’employé est requis. L’article peut donc aussi être interprété comme une incitation à l’instauration de meilleures normes de masquage des données par les entreprises.

En vertu de lois relatives à la protection de la vie privée comme la Raison 71, les entreprises sont obligées d’annoncer que leur traitement est automatique, et les résultats doivent être accessibles aux personnes concernées (« droit à une explication »).

Traitement différencié et effet disparate

L’Article 9 du RGPD exige l’approbation des services juridique et de conformité pour l’utilisation de catégories spéciales telles que la race, l’origine ethnique, les opinions politiques, l’orientation sexuelle, etc. Quand une entreprise prend une décision à partir d’un de ces champs de catégorie spéciaux, cette décision peut être considérée comme un acte de discrimination. L’approbation est donc obligatoire pour confirmer que ce champ est absolument nécessaire au traitement.

Il existe toutefois des cas dans lesquels l’entreprise n’a pas l’intention de discriminer (traitement différencié), et où le préjugé n’est qu’une conséquence accidentelle (effet disparate).

Supposons qu’une banque utilise des codes postaux dans ses modèles analytiques pour faire des offres de crédit à ses clients. L’utilisation de ces codes postaux peut avoir un effet disparate si la banque en exclut certains car ils correspondent à des zones à forte densité de minorités.

Comment contrôler les modèles analytiques

Les modèles analytiques utilisés dans les entreprises étaient jusqu’à présent opaques, la visibilité sur la logique motivant les décisions étant nulle. Ces modèles ne peuvent plus désormais être cachés sous couvert de leur complexité. Par exemple, si une banque refuse un prêt immobilier à un prospect, la raison de ce refus doit être clairement exprimée.

Voici quelques stratégies que les entreprises peuvent utiliser pour contrôler les modèles analytiques :

  • Instaurer des contrôles opérés par une équipe de gouvernance des données afin que tous les modèles passent par l’approbation des services juridique et de conformité, avant d’être mis en production.
  • Établir une gouvernance ciblée sur les modèles analytiques traitant des tendances de risque et de marketing.
  • Concevoir et tester minutieusement des modèles prédictifs pour éviter les situations d’effet disparate.
  • Développer un inventaire des modèles pour évaluer l’impact de l’ajout de nouveaux éléments ou de la modification des éléments existants.
  • Faciliter la communication entre les équipes d’analyse des données, de gouvernance, juridique et de conformité.

Les équipes de gouvernance peuvent établir un inventaire des modèles via Talend Metadata Manager qui comprend le nom du modèle, son propriétaire, les variables d’entrée et de sortie, la méthodologie du modèle, la date de création et une preuve de l’approbation par les services juridique et de conformité. Étant donné que le responsable des métadonnées a déjà défini le paysage des données, le cadre est idéal pour intégrer l’inventaire des modèles.

Étapes suivantes de contrôle des modèles analytiques

Le contrôle des modèles analytiques est problématique dans le sens où il nécessite la collaboration d’équipes différentes, par exemple de l’équipe de data science (stratégique) avec les équipes juridique et de conformité (opérationnelles). Pour que ce partenariat soit efficace, les entreprises doivent radicalement changer leur mentalité, en faisant de la confidentialité des données une priorité sur tous les autres critères décisionnels.

L’étape suivante du plan global en 16 étapes de Talend pour assurer la conformité au RGPD est la gestion de l’End User Computing.

Pour en savoir plus à ce sujet et voir l’ensemble des 16 étapes, ne manquez pas notre webinaire à la demande, Étapes pratiques de la conformité au RGPD. Cette vidéo comprend des informations sur le développement de normes et de contrôles, l’identification des propriétaires de données et d’éléments de données critiques, la conduite d’évaluations du risque, l’amélioration de la qualité des données et bien d’autres sujets encore.

| Last Updated: September 18th, 2019