Elle intervenait lors de l’atelier de travail sur la protection des données organisé par le Mauritius Institute of Directors. Drudeisha Madhub, Data Protection Commissioner, a de nouveau mis les dirigeants d’entreprises face à leurs responsabilités, leur indiquant qu’ils doivent tout mettre en œuvre pour protéger les données de leurs clients, employés et partenaires et se conformer entièrement à la loi sur la protection des données. Elle a une fois de plus mis les points sur les i en abordant certains éléments clés, incluant la nécessité d’avoir un Data Governance Framework au sein de chaque entreprise.
“Without a proper Data governance framework, we cannot handle and manage data properly in the right way. This framework gives controllers and processors, as we call them in the data protection legal jargon, the ability, the autonomy and the confidence to actually allow our teams to accurately set goals, measure performance, strategise and discover new opportunities.” La mise en œuvre de ce Framework est une grande responsabilité que les entreprises doivent assumer, dit-elle.
Drudeisha Madhub fait ressortir que 83 % des entreprises admettent qu’elles ne sont pas en mesure de transformer des Data Points fragmentés en des Comprehensive User Records. Un autre grand défi. C’est l’une des raisons de l’adoption croissante des plateformes de données clients (CDP), qui aident à gérer et centraliser les données des clients afin que tout le monde puisse en bénéficier.
Reputational damage
La Data Protection Commissioner soutient que sans un Data Governance Framework, une entreprise ne peut – en aucun cas – garantir la qualité ou la conformité des données, ainsi que les réglementations en matière de protection de la vie privée. Elle déplore que depuis des années, les entreprises locales ont ouvert la porte au Mismanaging Customer Data, ce qui les entraîne « dans des eaux troubles » sur le plan légal, avec de lourdes amendes à la clé au niveau de la GDPR (General Data Protection Regulation), sans oublier le Reputational Damage que cela peut entraîner pour une entreprise.
« Je suis très cynique à ce sujet, mais je trouve que beaucoup d’entreprises locales estiment qu’il n’est pas important d’avoir un bon cadre de protection des données. L’application de la loi a été un aspect essentiel de la mise en œuvre de la protection des données, à la fois par le Data Protection Office (DPO) et les gestionnaires de données, c’est-à-dire les entreprises. It is a shared responsibility », dit-elle, en ajoutant que «sans cette harmonie entre l’organisme de réglementation, les opérateurs et le gouvernement, il n’y a aucune chance que nous réussissions. S’il manque un élément de ce triangle, rien ne fonctionne ». Mais les choses vont avancer dans la bonne direction, d’après Drudeisha Madhub, et nous verrons des changements arriver.
Lors de l’atelier de travail, elle a évoqué les pouvoirs du DPO pour vérifier la conformité des entreprises et enquêter sur les plaintes. Généralement, des solutions à l’amiable sont trouvées, des listes de Remedial Measures sont données et un suivi est effectué par le DPO. Ce modus operandi a fonctionné plutôt bien durant les trois dernières années. « We have the power of entry and search. We can also delegate some of our powers to the police or another authorized officer who can actually assist us in investigations. And we are already doing that in a number of cases. We have the power to come and do a security check at your premises and see what your level of compliance is », previent-elle.
Il est donc primordial pour les entreprises de discipliner leurs pratiques de traitement et de gestion des données, il faut tenir le bon registre. Le DPO a un modèle pour les aider, et c’est un point de départ très important dans un cadre de la Data Governance. Il faut avoir des registres à jour car si une entreprise est appelée en cour, « qu’est-ce que vous produisez si vous n’avez pas de documents ? C’est la preuve de la façon dont vous traitez les données. Sans cela, vous serez toujours pointé du doigt. Vous ne serez pas une entreprise de confiance si vous n’avez pas de bonnes pratiques en matière de protection des données. Go wherever you want to go, European Court of Justice, European Court of Human Rights, you will see privacy as a big element in today’s trending modern human rights. Because we are living in a society of over-surveillance. »
Le droit des individus
Par ailleurs, elle insiste sur les droits des individus, qui ont le droit de restreindre la façon dont leurs données sont traitées. Ils ont le droit de demander leurs données, qui les conserve, le responsable du traitement de ces données ou le sous-traitant, et ils ont le droit de demander de limiter le traitement de leurs données. En outre, toute violation de la loi sur la protection des données est une infraction. Si une entreprise n’est pas enregistrée au Data Protection Office, elle est en infraction. Si elle n’a pas de Data Protection Officer, c’est un délit. Si elle ne respecte pas les sections 28 et 29, ou toute autre section de la loi, c’est une infraction.
Le danger des réseaux sociaux et de l’IA
La Data Protection Commissioner met en garde contre les Deepfakes et l’IA en général, expliquant notamment que « image generators are typically trained using extensive datasets that contain images of real individuals. These images can be sourced from social media platforms and search engines without the individuals’ knowledge or any legal basis.” Lorsque les individus postent leurs photos en ligne, ils ne réalisent pas que leurs photos pourront être utilisées « for training AI models ».
Ces individus sont donc inconscients que leur vie privée et leurs informations personnelles sont violées. L’IA générative présente de nouveaux défis aux systèmes de sécurité, pire : « Generative AI can produce content that mimics or replicates copyrighted material, leading to potential legal challenges and disputes over intellectual property rights. » Pire, l’utilisation abusive de contenu à base d’IA peut mener à des impacts sur la santé mentale des individus « exposure to hyper-realistic AI-generated content, such as deepfakes, can cause psychological distress, confusion, and trust issues among individuals. »