● Il doit fournir un score – un Datascore – qui prend en compte divers critères, tels que la transmission des données, la localisation des serveurs, l’information des usagers, la responsabilité dans la conception des dispositifs ou le niveau d’information des usagers.
● Un prototype de logiciel pour NumDiag est prévu pour fin 2024, avec des premiers pilotes en 2025. Les scores seront initialement déclaratifs, mais des audits seront nécessaires pour assurer leur fiabilité, avec la collaboration possible de la Commission nationale de l’informatique et des libertés (Cnil).
Qu’est-ce qui vous a donné envie de créer un score de confiance dans le numérique ?
Avec Gwenaëlle Donadieu, nous avions dans un premier temps travaillé sur le projet « human at home » pour lequel on avait truffé un appartement de différents capteurs pour savoir ce qu’il était possible de faire en matière de protection et atteintes à la vie privée. Nous nous sommes rendu compte que, quand on rentre dans un appartement, on dispose d’un diagnostic énergétique que l’on sait mesurer, mais il n’existe aucun indicateur simple à comprendre qui permette de savoir si les données personnelles sont en danger ou non, et ce dans n’importe quel environnement, que ce soit un tramway, un immeuble, une métropole, etc. Ce type d’évaluation relève d’aspect cyber et technologiques, mais également d’aspects organisationnels entre les usagers des environnements connectés, à savoir s’ils sont par exemple correctement informés et ont consenti à des règles liées aux dispositifs technologiques de l’environnement. L’information aux usagers, les aspects juridiques et les aspects techniques doivent être couplés pour former un indicateur pertinent prenant en compte une dimension humaine. C’est ainsi que NumDiag et son Datascore ont vu le jour.
L’idée est de parcourir tout le chemin de la donnée depuis l’environnement localisé de l’usager jusqu’aux fournisseurs
Vous voulez faire un « Nutri-Score du numérique ». Quels types de critères doivent être pris en compte selon vous ?
Un objet connecté pris dans son individualité ne fournit pas suffisamment toutes les informations. De la même manière, le même objet, dans différents contextes, ne répondra pas aux mêmes critères, par exemple si la même caméra est installée dans une université française ou chinoise. Concrètement, on doit donc être en mesure d’évaluer le mode de transmission des données, par exemple entre une caméra et un serveur, de savoir où se situe ce serveur, s’il est sur un cloud souverain ou à l’étranger. Comment les usagers qui passent sous une caméra sont-ils informés de la présence de cette dernière ? Quand la caméra sera démontée, est-ce que le serveur sera détruit ? Est-ce que l’on peut s’assurer qu’un coup de perceuse sera opéré pour détruire le disque dur ? Est-ce que le dispositif a été conçu de manière responsable ?
Ce score doit donc rester compréhensible tout en rendant compte d’aspects complexes et hétérogènes…
C’est exact. En somme, l’idée est de parcourir tout le chemin de la donnée depuis l’environnement localisé de l’usager jusqu’aux fournisseurs. Le challenge est de trouver la méthode adéquate pour agréger l’ensemble des éléments mesurés pour en faire un unique score lisible, sachant que certains aspects doivent être pondérés différemment. Par exemple, on ne peut pas attribuer une note trop élevée si un aspect de la protection des données n’est pas respecté.
Quand et pour qui cette solution sera-t-elle disponible ?
À ce jour, nous sommes en train de finaliser les critères d’évaluation et les pondérations afin de fournir un logiciel prototype qui sera disponible fin 2024 pour un déploiement de pilotes en 2025. Notre objectif est de populariser ce Datascore — même si le nom n’est pas encore définitif — auprès du grand public pour inciter les fournisseurs de services à le renseigner. On souhaite également cibler les fournisseurs vertueux qui souhaitent mettre en avant leurs démarches. Ce logiciel peut également aider les fournisseurs à s’améliorer en leur permettant de se rendre compte de critères objectifs.
Les « Datascores » seront-ils audités ?
Dans un premier temps, quand les fournisseurs rempliront les critères qui leur permettront d’obtenir un score, ce sera simplement déclaratif et donc cela ne peut pas être certifiant. Dans certains cas, il faudra effectivement effectuer des audits, par exemple via des auditeurs agréés qui paieront pour utiliser notre logiciel. Par ailleurs la Cnil peut organiser des audits et faire peser un poids sur les organisations. Nos échanges avec eux sont constructifs et ils sont volontaires pour nous aider, et sensibles à l’aspect humain du Datascore.
