#24 - la collection numérique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
la collection
numérique
de l 'Ag e n ce d e m u t u a l i s a t i o n
d e s uni ve rs i té s et ét a b l i s s em en t s
d ' e ns e i g n e m en t s u p éri eu r o u
de re ch e rch e et d e s u p p o r t
à l ' e ns e i g n em en t s u p éri eu r
ou à l a rech erch e
Eth i q ue , d roi ts
2 022 e t d evoi rs d an s
re
emb
déc l e n um é ri q ue
un i ve rs i tai re
#24
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
Directeur général de la publication • L e titre de ce
Stéphane Athanase
num é ro « Ethique ,
droits e t devoi rs
Rédacteurs en chef •
Bertrand Mocquet et David Rongeat
Secrétaire de rédaction • La com’ da ns le num ér ique
Graphisme & mise en page • unive rsitaire » m et
e n avant l’impo r tan ce
@yay.graphisme
Photographie couverture •
Image par Sang Hyun Cho de Pixabay de l’éth ique dans le
ISSN 2650-8494
La collection numérique
contexte acadé mique
est sous Licence Creative de la conv ertion
Commons CC BY-NC-SA 4.0
nu m é rique de n ot re
so ciété et de ch a cun e,
Ont collaboré comme auteur(e) à ce
numéro Claude Kirchner, Bureau
de l'association VP-Num, Sylvain
Chatry, Bureau de SupDPO, Bernard cha cun d’entre n ous.
Fallery, Jacques Folon, Frantz Gourdet,
Mathieu Le Bescond de Coatpont, L’éthique, comme l’exprime la dernière version du dictionnaire de
Sophie Guichard, Stephen Lédé, Sidonie l’académie française, c’est d’abord un nom féminin qui désigne la
Gallot, Yves Le Duc, Déborah Quirant- « Réflexion relative aux conduites humaines et aux valeurs qui les
Pidet, Perrine de Coetlogon, Pierre
fondent, menée en vue d’établir une doctrine, une science de la
Boulet, Emmanuelle Vivier, Jean-Claude
Domenget, Carsten Wilhelm, Martin morale ». Mais, comme « ensemble des principes moraux qui s’im-
Gibert, Alexandra Bensamoun, Vincent posent aux personnes qui exercent une même profession, qui pra-
Toubiana, Catherine Régis, Antoine tiquent une même activité », le terme « éthique » peut aussi prendre
Congost, Bertrand Mocquet et David le sens de déontologie, ce qui rejoint le sens le plus commun donné
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
Rongeat au terme ethics dans le monde anglo-saxon. Enfin c’est aussi un
Remerciements spéciaux pour adjectif caractérisant ce « qui a rapport aux conduites humaines et
aux membres des associations aux valeurs qui les fondent ».
professionnelles pour le réseautage
L’importance croissante prise par le numérique, incluant en parti-
culier les sciences et technologie dites de l’intelligence artificielle
Editeur • Amue • 103 boulevard
(IA), que ce soit dans vos vies personnelle, familiale, associative,
Saint-Michel • 75005 Paris professionnelle et dans nos sociétés en général a rendu progressi-
vement clair l’importance de réfléchir à ses multiples impacts sur les
Fabriqué en France conduites et les comportements humains qu’il suscite. Cette éthique
Toutes les images et photos du numérique, il s’agit de la construire, de l’interroger, d’en partager
de ce numéro sont © et libres la critique et de la situer entre morale, intégrité et droit qu’elle doit
de droit, droits réservés autorisation par ailleurs permettre d’enrichir. C’est en particulier dans ce sens
d’usage spécifique qu’a été créé fin 2019, à la demande du premier ministre et sous
à cette publication. d’égide du CCNE, le Comité national pilote d’éthique du numérique
(CNPEN). En sont issus un manifeste et un livre « Pour une éthique
du numérique », des réflexions approfondies sur les enjeux d’éthique
du numérique concernant par exemple les véhicules dits autonomes,
les chatbots ou le diagnostic médical et l’IA.
Développer ces réflexions est essentiel, à tous les niveaux de notre
à tél
écha société et tout particulièrement dans nos universités, au carrefour de
rger
! l’enseignement et de la recherche, en lien avec les travaux similaires
en Europe et dans le monde. Ce numéro de La collection numérique
tous les numéros de y contribue en combinant exemples de situations et interrogations
la collection sont en
sur le rôle de l’éthique du numérique et ses liens avec l’intégrité, le
telechargement Amue.
la collection numérique, ici → droit et les régulations émergentes. Il contribue à éclairer l’actualité
de cette fin d’année 2022, par exemple sur l’organisation du contrôle
des connaissances, sur l’éthique du numérique comme sujet de
prochain numéro recherche, sur les actions européennes comme la RGPD et bientôt
de la collection numérique
↓ (Février 2023) :
l’AI Act ou encore sur les actions internationales comme la déclara-
Février 2023 : Retour tion de Montréal. Bonne lecture et surtout bonnes réflexions !
sur 4 ans de collection
2 numérique Claude Kirchner · Directeur du Comité 3
national pilote d'éthique du numérique
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
auteur•e.s
Association des Vice-
présidents en charge auteur•e.s
enjeux enjeux travailler ensemble les équipes en associant le
du numérique dans Bureau de
et stratégie l’enseignement supérieur
et stratégie SupDPO
juridique, l’archivage, les systèmes d’informa-
tion, la sureté, la sécurité, la qualité et le mana-
(VP-Num) gement des risques. Avec lui, les délégués à la
protection des données de l’ESR peuvent don-
ner leurs conseils aux services en charge des
traitements de données personnelles.
Répondre aux enjeux Ethique et
Tout d’abord, ceux-ci doivent exprimer les
objectifs principaux et secondaires du trai-
tement. Ces finalités permettent de cadrer
du numérique : numérique, les activités qui vont être menées et préciser
la licéité du traitement. C’est ainsi que l’on
s’assure qu’on a le droit de mettre en œuvre
mission VP-Num points de le traitement sur le fondement d’une des six
bases légales prévues par le RGPD.
compatibilité
Trois autres points concernent la manière dont
Un e association in contournable les données personnelles vont être traitées :
la minimisation, l’exactitude et leur durée de
et essentielle quan d il s’a git d’inform er, conservation. Un service en charge d’un trai-
de par ta ger, d’a ccul turer au num érique. SupDPO s’exprime tement doit pouvoir le réaliser avec les seules
données dont il a besoin. Il doit en outre être
Un e vigie qui décode et instruit . sur les éléments clés capable de déterminer les mesures qu’il prend
relatifs au traitement pour garantir que ces données sont à jour et
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
enfin quel sera leur sort lorsque la durée de
Les établissements d’enseignement supérieur
assument depuis le passage aux compétences
La contrainte est également éthique. Dans
le mouvement initié depuis une vingtaine de la précieuse conservation sera atteinte : supprimées, archi-
élargies la responsabilité de la mise en œuvre d’années d’usage de logiciels libres dans l’ad- donnée personnelle vées, anonymisées par exemple. Cette étape
est souvent subtile parce qu’une durée de
d’une stratégie numérique conforme à la ministration et d’ouverture des données, les
établissements d’enseignement supérieur Il n’aura échappé à personne que la révolution numérique qui s’accroit conservation doit faire la synthèse de nom-
législation européenne. A cet effet, l’association breux textes réglementaires.
VP-Num joue son rôle depuis sa création en 2016, doivent s’assurer que les outils qu’ils utilisent depuis quelques années impacte nos vies professionnelles et privées de
d’échanges et de diffusion des bonnes pratiques ou déploient et les usages qu’ils développent manière consciente ou inconsciente. Il faut également informer en termes clairs la
entre les établissements qui, par leur taille, leurs participent de cette philosophie pour ne pas personne concernée sur le traitement ainsi
Les établissements d’enseignement supérieur sont amenés à s’adapter
être techniquement ou financièrement dé- que de ses droits sur ses données person-
moyens, leur expertise, leurs ressources humaines à cette révolution, à déployer de plus en plus d’applications numériques
pendants de matériel ou logiciel propriétaire. nelles. Il s’agit des droits d’accès, d’opposition,
et leur priorisation ne sont pas pareillement auprès des étudiants, des enseignants, des chercheurs et du personnel
Ils doivent dans le même temps offrir à la de suppression, de rectification, d’effacement,
outillés pour répondre aux enjeux du numérique administratif, afin de maintenir un niveau de service de qualité tout en
communauté universitaire des services nu- 1 | Données de limitation, de portabilité et de pouvoir s’op-
en matière de recherche, d’enseignement et devant rendre compte de l’excellence de leurs enseignements ou leurs
mériques, s’appuyant sur des solutions libres à caractère poser à une décision automatisée.
d’administration. recherches. Ces usages se traduisent par une collecte de plus en plus
et transparentes, au moins équivalents pour personnel
définies à l’Article importante de données personnelles. Enfin la sécurisation des données (confiden-
Il faut considérer une double contrainte, juridique et éthique. D’un permettre notamment le développement
4, alinéa 1 du tialité, intégrité et disponibilité) doit être abor-
point de vue juridique, les législateurs français et européens ont d’expérimentations pédagogiques, la gestion Qu’il s’agisse de suivre la scolarité des étudiants, de dispenser des
RGPD. dée. Il s’agit là d’identifier « les mesures tech-
adopté depuis une dizaine d’années un nombre important de textes de projet de recherche ou encore le stockage enseignements ou mener des recherches, les applications et leurs algo-
en matière de numérique s’agissant de la circulation des données (à et la réutilisation des données. 2 | Article 8 de la rithmes nécessitent que les personnels de l’Enseignement Supérieur et niques et organisationnelles » qui garantissent
caractère personnel, non-personnelles, données publiques...) et de
Charte des droits
de la Recherche (ESR) s'interrogent sur les méthodologies garantissant à la protection adéquate des données. Ce travail
La contrainte relève enfin de facteurs exo- fondamentaux collectif permet, dans la pratique, d’identifier
leur stockage ou encore de la cybersécurité. Chaque établissement de l’UE. la fois la conformité de leurs activités et respectant le droit fondamental
gènes. Les établissements éprouvent des diffi- où sont stockées les données, qui sont les
doit s’y conformer avec l’aide de l’État, de ses opérateurs (AMUE ; RE- des personnes à la protection de leurs données personnelles.
cultés grandissantes à assurer la soutenabilité destinataires des données, les sous-traitants,
NATER ; CINES ; FUN…) et des autorités administratives compétentes
technique et financière de leur système d'in- Depuis 2018, le Règlement Géné- les responsables de traitements impliqués, les
(CNIL, ANSSI…) en maniant les injonctions de ne pas recourir aux suites
formation, d'une part en raison de cyber at- Pour aller plus loin ral sur la Protection des Données tiers autorisés.
logicielles de Microsoft et de Google dans l’enseignement supérieur
taques qui s'intensifient dans le secteur public Le réseau SupDpo est le (RGPD) introduit l’obligation pour
et l’éducation nationale (CNIL,27 mai 2021 ; DINUM,15 sept. 2021 ; En conclusion, par la rigueur et la confor-
et d'autre part en raison de problématiques réseau des Délégués à la nos établissements d’avoir la maîtrise
réponse ministérielle, 15 nov. 2022), et les incitations au recours aux mité qu’il incarne, le RGPD contribue à une
d'attractivité salariale dans un contexte de Protection des Données des traitements de données per-
Edtech dans le cadre des appels à projets. La politique de la science approche éthique du traitement des informa-
forte demande en compétences dans le do- (DPO) de l’Enseignement sonnelles qu’ils mettent en œuvre.
ouverte est aussi sources d’interrogations pour les établissements en tions par un responsable de traitement. Ayant
maine du numérique. Supérieur, de la Recherche C’est actuellement l’instrument le
l’absence de cadre éditorial vertueux et de plateformes nationale ou connaissance de ce qu’il fait et comment il le
et de l’innovation, tête de plus approprié pour responsabiliser
↓ européenne suffisamment matures pour accueillir des données ou des Outre des moyens, les établissements ont be- fait, il a conscience de son impact sur les liber-
réseau auprès de la CNIL. toutes les instances et les services
ressources éducatives libres. La règle « as open as possible as closed as soin d’une offre de service enrichie des opé- tés individuelles et sur la vie privée des per-
Toutes les informations sur que le ressenti soit positif ou négatif.
necessary » reste encore à préciser pour déterminer l’ouverture ou la rateurs de l’Etat sans laquelle ils ne pourront sonnes concernées. Il ne peut qu’enrichir ses
fermeture des données selon leur nature et ne pas porter atteinte aux tous se détourner des prestataires actuels. ce réseau : supdpo.f r En effet, maintenant tout le monde
4 réflexions sur ses pratiques et s’interroger sur 5
intérêts des établissements et de leur personnel. reconnait au RGPD sa capacité à faire les principes moraux qui le guident.
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
enjeux ↘ LA CIRCULATION DES DONNÉES ET DU SAVOIR
et stratégie Par la volonté d’ouvrir plus encore les données et de développer la trans-
parence de leur traitement, cette loi impulse un mouvement que nous
pourrons nommer par raccourci d’ « openacess » sur les données/infor-
mations produites par la Recherche si «les résultats de leurs travaux de
recherche financés à plus de 50% par des fonds publics après une période
d’embargo de six ou douze mois ». Ce mouvement est d’ailleurs plus
visible sur les données de la recherche et la production de la recherche
que sur les données internes et administratives des organisations univer-
sitaires.
↘ LA PROTECTION DES DROITS DANS LA SOCIÉTÉ
auteur NUMÉRIQUE
Bertrand La neutralité du Net est au cœur de ce volet qui globalement traite de la
Mocquet, protection des citoyens et des consommateurs sur internet. Pour le numé-
expert rique universitaire, avec la libération de service numérique, accessible
Quand une loi
numérique, pour tous depuis les campus, nous étions en avance de phase sur la loi.
Amue La mise à jour de l’informatique et libertés vers le RGPD a été observé et
quasiment chaque établissement dispose d’un délégué à la protection des
ouvre la voie
données (DPO). Un réseau constitué de 175 membres fin 2020, SUPDPO,
anime la communauté. Enfin, le choix quasi-unanime d’une plateforme
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
d’apprentissage Moodle pour les universités montre bien la volonté de
respecter la loyauté de ces plateformes, puisque l’ensemble des données
La transformation du numérique et leur traitement ne sont pas confiés à une tierce entreprise.
dans l’ESR, répond avec ↘ L’ACCÈS AU NUMÉRIQUE POUR TOUS EST UN
dynamisme et performance DROIT
aux enjeux sociétaux et La couverture WIFI des campus est un acquis quasiment total, même si
certaines zones du campus restent blanches, il existe partout dans les
Pour plus d'informations
économiques. Mais comment ? établissements des lieux connectés permettant de travailler sur les plate-
https://www.
enseignementsup-
formes d’apprentissage. Des points d’améliorations restent à réaliser pour
recherche.gouv.f r/f r/
La loi pour une République numérique a été publiée au Journal officiel le 8 octobre 2016. Conçue de l’accessibilité des services numériques et la conformité au Référentiel
troisieme-comite-national-
manière participative par Axelle Lemaire, alors secrétaire d’État chargée du numérique. Cette nou- général d'amélioration de l'accessibilité (RGAA). La très récente annonce
de-suivi-de-l-universite-
velle loi prépare la France à saisir les opportunités et relever les défis de la transformation numé- du Troisième comité national de suivi de l’Université inclusive par Sylvie inclusive-88390
rique. Elle permet de : Retailleau, ministre de l’Enseignement supérieur et de la Recherche, et
→ libérer l'innovation par la diffusion d'informations et de connaissances pour relever les défis
Geneviève Darrieussecq, ministre déléguée chargée des personnes han-
dicapées, devraient permettre d’améliorer ce point.
mondiaux de l'économie des données ;
→ créer un environnement clair et digne de confiance qui garantit les droits des utilisateurs et
protège les données personnelles ;
+
→ construire une république numérique ouverte et inclusive, afin que les opportunités de la Loi pour une république
transformation numérique profitent au plus grand nombre.
numérique →
Mais qu’a-t-elle, en conséquence, modifié dans l’Enseignement Supérieur et la Recherche ?
Voici dans cet article une liste non exhaustive des effets de cette loi sur le quotidien du numérique
universitaire.
↓
6 7
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
auteur
enjeux Bernard Fallery,
et stratégie professeur émérite
MRM Montpellier 1. PEUT-IL Y AVOIR UNE ÉTHIQUE POUR
LE NUMÉRIQUE ?
L'éthique concerne le comportement dans une situation d'action.
On comprend bien que les grandes idées de la philosophie morale
Ethique et systèmes
aient été renouvelées au XVIIIe siècle qui a vu un changement de
civilisation : E. Kant a mis en avant la raison et le devoir (la déonto-
logie), J. Bentham a mis en avant les conséquences pour le bonheur
d'Intelligence
général (l'utilité). Si nous sommes bien aujourd'hui dans un autre
changement vers une civilisation numérique, il nous faut prêter
attention aux propositions de penseurs comme Edgar Morin (la
Artif icielle, sommes-
pensée complexe, dans les boucles dialogiques et la « reliance »)
ou Bruno Latour (les actants humains et non humains, les ter-
restres dans le nouveau régime climatique). Comme ces penseurs
nous tous concernés ?
réfutent justement de grands « principes » éthiques (tels que les
chartes de déontologie ou la fin qui justifie les moyens), on ne trou-
vera pas chez eux de recettes pour l'université, mais les conditions
pour « travailler à bien penser ».
Regard éclairant et nuancé 2. QUEL SONT LES PLACES RESPECTIVES
sur une question prégnante DE L'ÉTHIQUE ET DU DROIT ?
La Commission Européenne met en place cette année de nouvelles
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
règles juridiques contraignantes (DMA, DSA et sur l'I.A. plus préci-
L’IA n’est plus seulement une branche de la science informatique, elle s’est échappée des
sément l'Acte AIA). Mais le tissu complexe croisant l’IA, l’éthique et
labos de recherche avec le développement des systèmes d’IA, des « logiciels qui, pour des
le droit ne se construit pas seulement dans des rapports de force –
objectifs définis par l’homme, génèrent des contenus, des prédictions, des recommanda-
et de connivence – entre les états et les géants de la tech. De nom-
tions ou des décisions influençant les environnements réels ou virtuels avec lesquels ils
breux collectifs de citoyens s’emploient à construire et à se servir
interagissent » (définition de l’Union européenne →).
d’un droit de l’IA (des associations de consommateurs jusqu’aux
Au moins trois raisons nous obligent alors à nous pencher sur les questions liant l'éthique saboteurs d’antennes 5G, en passant par des hackers ou des méde-
et l'IA. cins militants du logiciel libre...). Ici l'université doit jouer son rôle
→ Une première raison est scientifique. Les systèmes d'IA s'étaient développés jusqu'en dans la perspective des communs numériques, mise en avant par
Elinor Ostrom.
1990 dans une approche dite symbolique ou « model-driven AI » autour de la formalisa-
tion des connaissances et de la logique formelle (systèmes experts, ontologies, systèmes
↘
multi-agents...). Depuis les années 2010 les progrès spectaculaires sur les processeurs, les
capteurs et les réseaux ont permis l'explosion d'une approche dite numérique ou « data- Fallery B. (2022), Entre éthique et lois, qui peut gouverner les
driven AI » autour de la reconnaissance de formes sans modèle d’interprétation prédé- systèmes d'Intelligence Artif icielle? Revue The Conversation,
fini (apprentissage adaptatif du poids « synaptique » de coefficients de matrices appelées septembre 2022, 3p. En ligne ici →
réseaux de neurones formels). Fallery B. (2021), La plateforme de données de santé Health data
→ Une deuxième raison est économique. Les enjeux de la gouvernance de ces systèmes hub : une impossible gouvernance éthique des données massives ?
Revue Française de Gestion, n° 297, 20 p. En ligne sur HAL →
d’IA – avec toutes les nuances du contrôle, de la régulation et de la réglementation – sont
devenus cruciaux, car leur développement est aujourd’hui aux mains de quelques empires Fallery B. (2020), Regards critiques sur l'Intelligence Artif icielle,
numériques comme les Gafam-Natu-Batx… qui sont devenus les maîtres de véritables les intérêts politiques des empires numériques, Congrès de l’AIM,
choix de société sur l’automatisation et sur la rationalisation du monde (Yan LeCun parle Marrakech juin 2020, 17p. En ligne sur HAL →
ici de la « vectorisation du monde »). Peugeot V. (2013), Les Communs, une brèche politique à l’heure du
→ Enfin une troisième relève de l'étendue des risques éthiques. Les risques éthiques liés numérique. Presses des Mines, OpenEditions Book. En ligne ici →
à l'automatisation ne sont pas nouveaux, bien qu'ils aient changé d'échelle (sur les futurs
emplois, sur la souveraineté, sur la surconsommation, sur l'obsolescence, sur la pollution
numérique...). Quant aux risques liés à la vectorisation du monde, ils apparaissent gran-
dissants : sur la captation des traces, sur le libre arbitre, sur les discriminations, sur les
prédictions sans explications, sur la vie privée, sur la santé...
↓
En gardant à l'esprit qu'on parle de la conception actuelle de l'IA (comme résultante de
la somme Big Data + Machine Learning), il reste la question : sommes-nous concernés
8 pour l'université, au delà d'une nécessaire attention à une liste grandissante des risques 9
éthiques ?
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
1
enjeux → 4 ● Le droit des étudiants quant → 8 ● Protection des données dès
et stratégie à leurs données personnelles. Le la conception. Tout nouveau traitement
RGPD donne le droit à chacun de deman- de données personnelles, qu’il s’agisse
der un accès à ses données personnelles d’un programme informatique, d’un travail
et donc, en ce qui concerne les étudiants, de recherche, d’une thèse nécessite une
ceux-ci ont désormais le droit de demander réflexion préalable quant à l’usage des don-
à leur université un accès à toutes leurs don- nées personnelles et donc, une consultation,
nées personnelles, en ce compris les exer- en amont du DPO.
cices, les examens et les commentaires des → 9 ● Les relations de l’université
auteur enseignants concernant ces travaux. avec les étudiants. Les inscriptions,
Prof. Jacques → 5 ● Les contraintes de la le suivi des dossiers, les parcours acadé-
Folon, recherche. Les recherches en sciences miques, le suivi des cotations, sont autant
Ph.D., DPO. humaines nécessitent souvent d’avoir recours de collectes de données personnelles pour
Professeur à bon nombre de données liées à des indivi- lesquelles un devoir d’information est désor-
Ichec Brussels dus étudiés, et donc il importe de les informer mais obligatoire envers les étudiants.
Management conformément au RGPD et dès que possible → 10 ● Les analyses d’impact. Lors
School.
Le RGPD :
d’anonymiser leurs données dans le cadre de d’utilisations importantes, voire de données
Prof invité la recherche. sensibles telles que celles liées à la santé,
Rennes School
→ 6 ● Obligation pour l’université le RGPD impose de réaliser des analyses de
de nouvelles
of Business
de tenir un registre des traite- risque afin d’évaluer si les traitement sont
ments. Ce registre doit détailler chaque conformes au RGPD.
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
traitement de données personnelles et donc
obligations pour l’université est responsable de toutes les uti-
lisations de données personnelles, et ce par
chacun de ses enseignants et chercheurs. Il
le numérique est donc indispensable de réaliser un inven-
taire de tous ces traitements et ce afin de
vérifier leur légalité et de documenter ces
universitaire traitements. Comment ne pas constater
que le RGPD a changé
→ 7 ● Difficulté d’utilisation de fondamentalement la
plateformes américaines. Il n’est pas manière de traiter les données
L a preuve par 10 ! rare que des plateformes ou des systèmes
tels que Microsoft, Google Analytics pour les
personnelles, et a une influence
non négligeable sur l’usage du
sites internet, Google form, etc. soient uti- numérique à l’université.
Le Règlement Général sur la Protection des données (RGPD) est entré en vigueur depuis
lisées dans le cadre des travaux. Or, depuis Mais est-ce que les universités
mai 2018, cela fera bientôt 5 ans déjà. Il a influencé le fonctionnement de bon nombre d’or-
une décision de la Cour de Justice de l’Union ont déjà toutes mis en œuvre
ganisations publiques et privées mais aussi des universités. Reprenons brièvement les 10
Européenne, le recours à ces plateformes est l’ensemble de ces règles et sont
contraintes principales qui s’imposent aux universités face à la protection des données.
devenu plus complexe voire interdit comme en mesures de le démontrer ?
liés à la sécurité de l’information. En effet les Google Analytics qui a été déclaré contraire
→ 1 ● Obligation d’avoir un Data Lorsqu’on examine certains site
relations entre les enseignants chercheurs, au RGPD par la CNIL.
Protection Officer (DPO) : Cette fonc- internet, on peut en douter.
tion nouvelle, et très recherchée, doit être le personnel administratif et les étudiants
confiée à une personne qui doit, selon le sont très impactées par le RGPD
RGPD, avoir une compétence réelle en pro- → 3 ● Nécessité de traiter les tra-
tection des données mais aussi en sécurité vaux des étudiants comme des
de l’information. Et ici commence la pre- données personnelles. Les exercices,
mière difficulté pour recruter une personne les mémoires, les examens et même les
qualifiée commentaires des enseignants sont désor-
→ 2 ● Obligation de former le per- mais des données personnelles, et leurs trai-
sonnel enseignant et ce de façon régu- tements doivent donc respecter le RGPD
↓ lière, au moins une fois par an, et d’informer
les nouveaux collègues dès leur
arrivée quant aux conséquences du RGPD
10 sur leurs activités sans oublier les éléments 11
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
auteur
vue Frantz Gourdet,
d’ensemble DPO, Amue Nous nous focalisons sur les responsabilités de l’Amue en tant
qu’éditeur et non pas en qualité de sous-traitant agissant sur ins-
tructions documentées de ses adhérents comme lorsqu’elle accède
à leurs données à caractère personnel dans le cadre d’opérations
d’assistance, par exemple. Pour le RGPD, l'éditeur n'existe pas. Il
Droits et devoirs
n'a en tant que tel aucune obligation ou responsabilité légale. Il est
pourtant arrivé que certaines failles de confidentialité – imputables
à des défauts logiciels et non pas seulement à la cupidité, la négli-
dans le numérique
gence humaine ou à l’absence de mesures adéquates activées côté
RT – aient pu déboucher sur des morts (scandale Ashley Madison)
ou sur des manipulations électorales de grande envergure (Cam-
universitaire
bridge Analytica). Mais contrairement à un constructeur automo-
bile qui en cas de défaillance de son produit peut être attaqué en
justice au titre de l'article 1240 du code civil, entre autres, il n'en
est rien pour l'éditeur d'outils informatiques. D'ailleurs on ne parle
nulle part d'outil informatique dans le RGPD, seul le « traitement »
Pourquoi s’engager à a doit de cité, indépendamment des moyens utilisés pour le réali-
respecter le Privacy by design ser. Tout repose donc sur les épaules du RT, défini comme celui qui
« détermine les moyens mis en œuvre pour le traitement » (d'où sa
en tant qu'éditeur ? responsabilité totale). Cette mise au point faite, nous pouvons dire
que si l'éditeur doit être tenu et contraint par le RT via le RGPD, ce
ne peut être que par le « nerf de la guerre », à savoir, sa propen-
Certains juristes s’étonnent que dans des conventions dites d’usage, à valeur de licence
sion à réaliser des bénéfices financiers à partir du produit dont il
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
d’utilisation, l’Amue-éditeur s’engage à appliquer tout un ensemble de contrôle Privacy by
cède le droit d'usage. En effet, le RT qui dès la conception de son
Design (NDLR : Protection de la vie privée dès la conception) exhaustivement énumérés en
traitement est amené à déterminer les moyens de sa réalisation,
treize points pour son offre de solutions SI (cf. La collection numérique, numéro 17 « Sécu-
pourrait, sans garantie Privacy by design d'un éditeur, se tourner
rité des Systèmes d’Information », oct. 2021, pp. 24-25). Comment une telle préoccupation
vers tout autre éditeur prêt à lui fournir cette garantie. C'est, au
s'articule-t-elle avec l'article 25 du RGPD (NDLR : Règlement Général sur la Protection des
travers de la détermination des moyens du traitement que le RT
Données) qui, lui, semble faire peser la charge du Privacy by design/default sur le respon-
s'assure de sa propre conformité à l'art. 25 dans le cadre de l'uti-
sable de traitement ? Il y est en effet stipulé que :
lisation (à venir) de l'outil. Dans le contexte de la mutualisation
Amue-Adhérents, il me parait tout à fait bien indiqué d'inscrire
dans la convention d'usage des points « pratiques » voire de détails
procéduraux permettant d’atteindre une conformité effective des
« 1. Compte tenu de l'état des connaissances, des coûts de mise
traitements et visant à démontrer en cas de contrôle de la CNIL
en œuvre et de la nature, de la portée, du contexte et des f inalités la diligence anticipée et concertée RT-éditeur à concourir à cette
du traitement ainsi que des risques, dont le degré de probabilité conformité ainsi qu’à la parfaite prise en compte par le RT de ses
et de gravité varie, que présente le traitement pour les droits et responsabilités RGPD.
libertés des personnes physiques, le responsable du traitement
met en œuvre, tant au moment de la détermination des moyens Adjoindre une annexe Privacy by design dans sa convention d'usage
du traitement qu'au moment du traitement lui-même, des permet donc à l'Amue et à ses partenaires, comme l’Association
mesures techniques et organisationnelles appropriées, telles Cocktail via PC-Scol pour l’outil de gestion de la formation et vie
que la pseudonymisation, qui sont destinées à mettre en œuvre étudiante Pégase, d'apporter la garantie de l'aptitude de l'outil/
les principes relatifs à la protection des données, par exemple service à permettre au RT de réaliser ses traitements en étant en
la minimisation des données, de façon effective et à assortir conformité avec précisément l'article 25 du RGPD ; et, par la même
le traitement des garanties nécessaires af in de répondre aux occasion, de rendre modulaires ses conventions, c'est-à-dire, bien
exigences du présent règlement et de protéger les droits de la séparer leurs champs d'application respectifs : « licence » d'uti-
personne concernée. 2. Le responsable du traitement met en lisation, service SaaS, fourniture « on premise », et contrat de
œuvre les mesures techniques et organisationnelles appropriées sous-traitance d'hébergement.
pour garantir que, par défaut, seules les données à caractère
personnel qui sont nécessaires au regard de chaque f inalité
spécif ique du traitement sont traitées. […] » (extrait Art. 25 RGPD)
↓
12 13
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
↘
Image par Eluj
vue pour Pixabay Prenons un exemple, l’administration fiscale est en capacité de fournir
d’ensemble à un citoyen qui le demande les explications de l’algorithme qui a mené
au calcul de ses impôts : les traitements informatiques sont relative-
ment classiques, les formules mathématiques issues des règlementa-
tions fiscales, l’utilisation des données de déclaration est limpide.
On peut considérer que ce traitement est explicable, même s’il n’est
pas trivial.
↘ L’IA OU PLUTÔT LES INTELLIGENCES ARTIFI-
CIELLES
Il existe plusieurs formes de traitements informatiques dits d’intelli-
gence artificielle (IA). Celle qui nous concerne ici est appelée « machine
L’algorithme
auteur
learning » ou plutôt apprentissage automatique. De manière très sim- doit être expliqué
et son degré
plifiée (le sujet est vaste et complexe) il consiste à « apprendre » à
David Rongeat,
un ordinateur à répondre à des questions en lui soumettant massive-
Pôle Stratégie et
ment des données et des réponses déjà apportées à ces questions. Il
d’intervention
Al g or i t h m e s
Transformation
« apprend » à partir de ces informations. En somme ces IA apprennent
Numérique, Amue
à reproduire les liens entre les informations en entrée et les résultats/ dans une décision
précisé.
réponses déjà fournies. Illustration simplifiée : fournir à une « IA »
e t Inte lli g e n ce s
50'000 dossiers de demandes de prêts bancaires avec les données
des dossiers, la réponse apportée par la banque à cette sollicitation,
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
les constats de manquements aux remboursements. Elle apprend à
a r t i f ic i e l l e s ,
partir de ces exemples, principalement via des corrélations et des
éléments statistiques. Ensuite vous lui soumettez un nouveau dossier,
alors cette IA vous fournira une « réponse » pour savoir s’il faut ou
com p re n d re
non accorder le prêt demandé. Ceci en se basant sur son analyse des
dossiers à partir desquels elle a appris.
e t exp liq u e r
Le traitement résultant de cet apprentissage est souvent considéré
comme une boite noire, un traitement numérique dont il est com-
plexe, et pour certains impossibles, d’expliquer le « cheminement ».
Ceci est particulièrement mis en avant pour les IA les plus spectacu-
L’impératif d’explicabilité des laires dit « deep learning ». Il existe maintenant des méthodes pour
fournir quelques éléments sur, disons, le « raisonnement » de l’IA
algorithm es, est en revan ch e pour apporter son résultat. Cette discipline de recherche se nomme
dif f icile pour cer tain es eXplainable Artificial Intelligence (XAI).
Intelligen ces Ar tif icielles. ↘ IA ET EXPLICABILITÉ
On vous explique pourquoi La problématique posée par ces IA dans le traitement « individuel »
est de l’ordre éthique, réglementaire et technique. Un agent de l’état
ne peut pas répondre trivialement « l’algorithme m’a proposé de reje-
↘ EXPLIQUER L’EXPLICABILITÉ ter votre demande au regard de votre profil et des statistiques » ; Ce
Pour débuter, un voyage dans le temps : la déclaration universelle des droits de l’homme et ne serait pas acceptable.
du citoyen (1789) qui précise en son article 15 : "La société a le droit de demander compte à La Cnil apporte une définition à l’explicabilité (à lire ici) qui complète
tout agent public de son administration". Cette exigence a perduré et plus récemment elle s’est ses articles sur IA et RGPD dont celui intitulé « IA : comment être en
déclinée dans la loi pour une république numérique en 2016 (à lire ici) et un décret du 14 mars conformité avec le RGPD »
2017. En synthèse, il stipule qu’à la demande d’un citoyen, « personne faisant l'objet d'une
décision individuelle prise sur le fondement d'un traitement algorithmique » l’administration Alors faut-il, dans nos administrations, laisser de la place à ce type
doit lui fournir des éléments clairs, « sous une forme intelligible » et indiquer 1/ Le degré et de traitements informatiques ? Ne serons-nous pas confrontés à des
le mode de contribution du traitement algorithmique à la prise de décision ; 2/ Les données blocages, des rejets, liés à leur non explicabilité, la difficulté de justifier
traitées et leurs sources ; 3/ Les paramètres de traitement et, le cas échéant, leur pondération, une décision « sous une forme intelligible » et « appliquée au cas de
↓ appliqués à la situation de l'intéressé ; 4/ Les opérations effectuées par le traitement ; l’administré » ?
Veillons aux prochaines publications réglementaires de l’union euro-
péenne appelées « l’AI act » dont les contours pourraient légiférer sur
14 15
ce sujet de l’explicabilité.
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
Pour aller plus loin,
quelques sources utilisées pour cet article
de vulgarisation
Quelques déf initions sur l’explicabilité :
+ La déf inition de la CNIL ici →
+ Dans l’article de wikipedia sur l’apprentissage
automatique, le chapitre dédié « Explicabilité et
explications des décisions » à lire là →
Ces cinq publications pour aller plus loin :
+ cet article de Sarah Leroy « Explicabilité de
l’Intelligence Artif icielle »
+ Dans une rubrique « Problématiques juridiques et
analyse automatique de données, cette publication
« Explicabilité des décisions algorithmiques »
+ Depuis un réseau de Datascience, cet article de
Christian Goblin « L’explicabilité de l’IA : un problème
éthique mais pas seulement… »
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
+ un article du média en ligne silicon « IA explicable :
comprendre l’IA, c’est possible ! »
+ publication : Recension d’Aurélia Bernard, « Cazals
François et Cazals Chantal (2020). Intelligence
artif icielle : L’intelligence amplif iée par la
technologie », Revue f rançaise des sciences de
l’information et de la communication [En ligne],
23 | 2021, mis en ligne le 01 septembre 2021, consulté
le 02 décembre 2022. à lire là →
Ces deux articles coté presse grand public :
+ Dans le monde, une tribune collective intitulée
« A l’explicabilité de l’intelligence artif icielle, sont
associés des enjeux organisationnels et politiques
majeurs » publiée dans le monde le 28 mars 2022
(à lire ici pour accès abonnées ou via vos ressources
de BU) →
+ un article de Jacques Henno dans les échos «
L'intelligence artif icielle à l'heure de la transparence
algorithmique »
En enf in, cette veille à poursuivre sur l’IA Act de
l’union européenne sur ce site
↓
16 17
la co llec tio n n um é ro 24
nu m ériq u e décembre 2022
témoignage
Cette certification est un Pix+, c’est-à-dire un complément à Pix,
destiné aux juristes. Pix est un service public en ligne qui permet
à toute personne, tout au long de sa vie, d’évaluer son niveau, de
développer sa culture et ses compétences numériques et de passer
la certification Pix, reconnue par l’État, pour pouvoir attester de l’ac-
Pix+Droit,
quisition de ces compétences. Le référentiel Pix compte plus de 700
auteur acquis répartis sur 7 niveaux (Débutant à Avancé) et regroupés dans
Mathieu Le Bescond de 170 sujets, 16 compétences numériques transversales et finalement
5 domaines (information et données, communication et collabora-
un outil dédié
Coatpont, Coordinateur
national Pix+droit, Maître tion, création de contenu, protection et sécurité, environnement
de conférences en droit numérique). L’évaluation, le développement et la certification des
privé à la Faculté des compétences prend la forme de tests en lignes motivants, concrets
et adaptatifs. Ces tests permettent d’évaluer et certifier des savoirs
Qu an d l’exper tise s’invite sciences juridiques,
politiques et sociales
mais également des savoir-faire (avec de petites tâches concrètes à
↘ ET CONCERNANT L’ÉTHIQUE,
DES DROITS ET DEVOIRS DANS
dans les compéten ces de l'Université de Lille,
réaliser) et la capacité à identifier les enjeux du numérique. Ils sont
accompagnés d’indices et de tutoriels permettant à l’utilisateur de LE NUMÉRIQUE UNIVERSI-
num érique et les cer tif ie Assesseur au Doyen Enjeux
du numérique
s’auto-former en comprenant ses erreurs ou en approfondissant. Pix TAIRE ?
représente plus de 8 millions de comptes, 63000 utilisateurs par jour,
et Communication. 2 millions de certifications passées et se déploie dans les collèges,
Pix+Droit permet d’évaluer, acquérir et
Contact : certifier des savoirs et compétences essen-
lycées et universités mais également dans les entreprises, adminis-
Remplaçant l’ancien Certificat Informatique et Internet (C2i), niveau pixdroit@univ-droit.f r tiels pour les étudiants comme pour les
trations et collectivités ainsi qu’à l’étranger.
2 « Métiers du droit », Pix+Droit est un référentiel de certification enseignants, les personnels et autres pro-
aux compétences numériques juridiques qui s’accompagne de res- Le complément Pix+Droit est destiné principalement aux étudiants fessionnels : connaître les règles juridiques
Et hiq ue , d roits et d evoi rs d a ns l e nu m é ri q u e u ni ve rs i ta i re
sources d’auto-formation. Pix+Droit a été développé grâce au sou- en droit et professionnels du droit. Il leur permet de mesurer, acqué- applicables à l’extraction des données d’une
tien du Ministère de l’enseignement supérieur et de la recherche rir et certifier des compétences numériques juridiques complétant base, citer les sources pour respecter le droit
et portée initialement par l’Université de Perpignan Via Domitia, en les compétences numériques générales et transversales (traitement d’auteur et éviter le plagiat, de manière
partenariat avec la Conférence des Doyens des Facultés de Droit et de texte, utilisation d’une messagerie électronique, etc.) relevant générale connaître et respecter la propriété
de Sciences politiques, la commission numérique du Conseil natio- de Pix. Le référentiel Pix+Droit comporte 4 domaines regroupant intellectuelle, authentifier et sécuriser les
nal du droit, l’Université Numérique Juridique Francophone (UNJF). 12 compétences et au total 45 sujets : 1. Recherche juridique, 2. documents et échanges, respecter la déon-
Le projet a associé des universitaires et des professionnels du droit Preuve numérique, 3. Production, communication et collaboration tologie dans la communication numérique,
(avocats, notaires, huissiers, juristes d’entreprises) ainsi que des numériques, 4. Culture juridique numérique. L’évaluation et la cer- connaître les limites de la liberté d’expres-
associations (Open Law) et éditeurs juridiques (Dalloz, LexisNexis). tification de ces compétences passent par des tests spécifiques sur sion sur Internet et la responsabilité des dif-
la plateforme Pix. Des ressources de formation correspondant aux férents acteurs sur cette question, connaître
4 domaines ont été créées, mises en ligne en accès libre sur le site le droit au respect de la vie privée, les dif-
de l’UNJF et seront enrichies et mises à jour. Par ailleurs, des indices férentes infractions liées à l’usage du numé-
et tutoriels accompagneront les tests. La certification, qui comporte rique, la légalité des techniques de référen-
trois niveaux (Initié, Avancé et Expert), permet d’attester de l’acquisi- cement, la législation applicable aux noms de
tion des prérequis de Pix nécessaires à Pix+Droit et des compétences domaine, aux acteurs du numérique (four-
spécifiques de Pix+Droit. Pix+Droit peut être déployé mais est encore nisseurs d’accès, hébergeurs, éditeurs, opé-
en développement : les ressources de formation sont enrichies et rateurs de plateformes, etc.), etc. Une part
mises à jour (supports UNJF, indices et tutoriels), les contenus sont importante du référentiel concerne le droit
revus et améliorés et des corrections et améliorations sont appor- des données personnelles et notamment les
tées grâce aux retours des utilisateurs. Une trentaine d’universités règles issues du Règlement général de pro-
ont aujourd’hui un correspondant Pix+Droit, une demi-dizaine d’Uni- tection des données personnelles (RGPD) :
versités ont déjà déployé Pix+Droit et organisé des certifications et règles relatives à la collecte et au traitement
de plus en plus se manifestent auprès de l’équipe Pix et de la coor- des données (responsable du traitement,
dination nationale Pix+Droit pour déployer la certification en IUT, sous-traitants), droit des personnes sur leurs
Licence ou Master, cette année ou à la rentrée prochaine. données (accès, rectification, etc.).
↓
18 19Vous pouvez aussi lire
