Cette page répertorie l'analyse d'impact sur la protection des données personnelles (ou PIA pour Privacy Impact Assessment) réalisée entièrement par notre équipe pour le projet. Nous nous sommes appuyés sur le logiciel PIA développé par la CNIL dans l'objectif de rendre accessible au plus large nombre la rédaction d'un PIA.
Quel est le traitement qui fait l'objet de l'étude ? Au cours de ce projet d'assemblage et d'exploitation d'une interface neuronale, nous serons amenés à acquérir des signaux électroencéphalographiques de collaborateurs de l'équipe projet ou de volontaires de l'ENSIM.
L'équipe projet est composée de 8 étudiants ingénieurs de l'École Nationale Supérieure d'Ingénieurs du Mans (ENSIM) : Jessy Lebrun, Estelle Ganot, Alexis Nain, Tom Pouderoux, Kevin Zemsi Mbengmo, Aristide Bourry, Adrien Danis et Dylan Jacquot.
Les signaux sont acquis au moyen d'un casque OpenBCI. Celui-ci est composé d'un set de 16 électrodes réparties à la surface du cuir chevelu des volontaires. Les signaux bruts sont alors envoyées vers un ordinateur afin d'y être analysées.
Ces signaux seront ensuite utilisés pour entraîner un programme d'intelligence artificielle afin de déduire l'état mental du volontaire à un instant donné parmi ceux visés par notre application.
Les états mentaux recherchés sont définis en amont de l'acquisition et sont décrits le plus précisément possible aux volontaires.
L'ensemble constitué des signaux électroencéphalographiques et des états mentaux prédits constitue alors un jeu de données qui sera conservé sur accord des personnes concernées.
Ce traitement va ainsi nous permettre de nous familiariser avec les technologies d'interface neuronale et donc de compléter notre formation d'ingénieurs.
De plus, elle nous permettront de développer une application innovante de type jeu vidéo implémentant une interface neuronale.
Il permettra enfin à l'école de disposer à l'avenir d'une documentation suffisante afin de permettre la réutilisabilité du matériel OpenBCI et son utilisation pour les futures générations d'élèves ingénieurs de l'école. Quelles sont les responsabilités liées au traitement ? Lors des expérimentations menées en collaboration avec des volontaires lors de ce projet, le responsable de traitement est l'équipe projet “Casque d'interaction neuronale : exploration”.
Nous avons désigné Dylan Jacquot comme responsable de la protection des données personnelles pour ce traitement. Il aura la responsabilité de rédiger, en collaboration avec l'équipe, les différents documents attendus pour être en conformité avec le RGPD.
De plus, l'équipe projet est placée sous la direction de Jessy Lebrun qui est le responsable de la bonne exécution de celui-ci sur toute l'année universitaire 2020-2021.
Tous les autres membres de l'équipe projet, à savoir Estelle Ganot, Alexis Nain, Aristide Bourry, Adrien Danis, Tom Pouderoux et Kevin Zemsi Mebengmo pourront également être amenés à interagir avec les données acquises lors du traitement.
Enfin, ce projet est réalisé sous la supervision de deux enseignants référents de l'ENSIM : Mme Catherine Cléder et M. Kais Hassan. Ils sont nos correspondants réguliers au sein de l'école et encadrent notre projet de son début à son terme. Quels sont les référentiels applicables ?
Étant donné qu'il se déroule dans le cadre d'une formation d'ingénieurs au sein de l'ENSIM, l'ensemble des membres de l'équipe projet ont accepté de respecter le règlement des études de l'ENSIM adopté par le Conseil d'administration du 20 Avril 2021.
Ainsi, un manquement grave aux dispositions de ce règlement pourrait entrainer des sanctions disciplinaires envers les personnes responsables de ce manquement.
Évaluation : Acceptable Commentaire d'évaluation : Toutes les informations nécessaires pour avoir une vue globale du traitement des données opéré semblent décrites de manière claire dans cette partie.
Quelles sont les données traitées ? Les principales données collectées au cours de ce projet sont les données électroencéphalographiques issues des 16 électrodes d'un casque OpenBCI sous la forme d'un flux de valeurs de l'ordre du microvolt numérisées et acquises à la fréquence de 250Hz.
Les signaux d'entrée sont ainsi l'ensemble des valeurs acquises par chaque électrode pendant toute la durée de l'expérimentation. Ils sont ensuite traités par un ensemble d'algorithmes de traitement du signal.
De plus, une donnée prédictive est produite au cours du processus. L'algorithme d'intelligence artificielle prédit en effet l'état mental du volontaire et le stocke afin de créer un jeu de données par volontaire.
Selon la volonté de ce dernier, ces données pourront être stockées sous la forme d'un jeu de données. Dans le cas où il ne donne pas son accord tacite, les données ne seront conservées que le temps de l'expérience.
Enfin, des données à caractère personnel sont récoltées sur les volontaires. De manière exhaustive, ces données sont le nom, le prénom et la date de naissance du volontaire. Ces données sont récoltées lors de la signature du formulaire de consentement et ne seront utilisées que pour que les participants puissent exercer leurs droits à la rectification, à l'effacement ou encore à la portabilité.
Les données récoltées seront alors conservées jusqu'à la formulation par le volontaire d'une demande de destruction des données le concernant.
Il est à noter que les destinataires exclusifs des données récoltées sont les membres de l'équipe projet et ce uniquement à des fins de recherches dans le cadre de la formation d'ingénieurs de l'ENSIM. Les enseignants référents du projet seront autorisées à y accéder sur leur demande et sous certaines conditions. Comment le cycle de vie des données se déroule-t-il (description fonctionnelle) ? Les données électroencéphalographiques sont acquises grâce aux électrodes du casque OpenBCI.
Ces données sont ensuite transmises de manière sécurisée à une machine distante qui aura pour rôle de réaliser le traitement du signal entrant ainsi que l'entraînement ou l'utilisation de l'intelligence artificielle.
Les données d'entraînement de l'intelligence artificielle sont alors couplées aux étiquettes de celles-ci (c'est-à-dire leur nature, par exemple “Mouvement imaginé de la main gauche”) et sont finalement stockées en sur le serveur de données de manière sécurisée.
Elles seront ainsi archivées et pourront être réutilisées ultérieurement toujours dans un objectif pédagogique.
Un retour visuel est par ailleurs présenté à l'utilisateur selon l'état mental déterminé par notre application. Quels sont les supports des données ? Les données seront conservées sur un serveur de données. Celui-ci est couplé avec un serveur de backup afin de réaliser une sauvegarde régulière des informations enregistrées.
Après la fin du projet, une copie des données pourra être conservée par l'ENSIM sur accord de la personne volontaire ayant participé à l'enregistrement. Les données seront alors conservées uniquement à des fins pédagogiques pour former d'autres étudiants de l'école.
Évaluation : Acceptable Commentaire d'évaluation : Les données traitées et les modalités de traitement sont clairement définies ici, cette partie semble donc acceptable en l'état.
Les finalités du traitement sont-elles déterminées, explicites et légitimes ? Le traitement est réalisé dans l'unique but de permettre une montée en compétences des élèves ingénieurs de l'ENSIM dans le domaine des interfaces cerveau machine.
Dans ce cadre, l'objectif du projet est de réaliser une application ludique exploitant les signaux électroencéphalographiques. Le traitement permet la validation de celle-ci en situation réelle.
Aucun traitement qui ne rentre pas dans le cadre strict de la prédiction des mouvements imaginés pour réaliser cette application ne sera opéré.
Quel(s) est(sont) les fondement(s) qui rend(ent) votre traitement licite ? Avant chaque enregistrement de données électroencéphalographiques, un formulaire de consentement est soumis aux volontaires qui sont invités à en prendre connaissance. Le fondement juridique du traitement est donc le consentement de la personne concernée.
Ce formulaire de consentement décrit la finalité de récolte des données et demande au volontaire la permission de conserver ses données électroencéphalographiques à des fins pédagogiques et de recherche uniquement.
Il informe également le volontaire de ses droits relatifs aux données à caractère personnel le concernant conformément au Règlement Général sur la Protection des Données.
De plus, les personnes en contact avec les données (membres de l'équipe projet) ont l'obligation de signer un accord de confidentialité avant toute manipulation des données électroencéphalographiques.
Cet accord prévoit notamment l'interdiction de conserver une copie ou l'original des données électroencéphalographiques, de partager ou vendre quelque information que ce soit relevant des mesures réalisées ou des données prédites par le système et d'utiliser les données électroencéphalographiques à des fins ne correspondant pas exactement à la prédiction d'un mouvement imaginé dans le cadre du projet.
Il est important de savoir que ce projet s'inscrit dans un cadre pédagogique et donc dans la politique de formation d'ingénieurs de l'ENSIM. Nous nous sommes de plus engagés au travers d'un contrat pédagogique passé avec l'école à réaliser un projet de quatrième année. Ce projet nous a alors été attribué par l'école et les données récoltées sont indispensables au test et à l'évaluation de notre application finale.
Les données collectées sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ? Les jeux de données disponibles en ligne constituent une base pour un projet tel que celui-ci mais ne sauraient être suffisants. En effet, les signaux électroencéphalographiques sont très différents d'un individu à l'autre et d'un essai à l'autre, il est donc très important d'être en capacité de tester notre application sur de véritables signaux électroencéphalographiques en temps réel.
Les données électroencéphalographiques de volontaires sont donc essentielles pour notre montée en compétence dans ce domaine des interfaces homme machine. Les jeux de données ainsi crées seront aussi très utiles dans le cadre de l'amélioration de la formation des ingénieurs futurs en cas d'accord donné par le volontaire pour leur conservation.
Nous nous assurons que seules les données pertinentes pour notre application ne soient conservées par filtrage spatial et fréquentiel des signaux électroencéphalographiques. Effectivement, seuls les signaux issus d'électrodes pertinentes pour déceler un mouvement imaginé seront conservés. Ils seront aussi filtrés dans une bande de fréquence adaptée (par exemple 8Hz-30Hz) afin de ne conserver que de l'information qui pourrait être utile. Ainsi, les signaux finaux conservés sur accord du volontaire ne seront que celles essentielles au fonctionnement de l'application.
De plus, en ce qui concerne les autres données personnelles (nom, prénom et date de naissance), ces données sont strictement nécessaires non seulement afin de permettre l'exercice des droits des volontaires.
Les données sont-elles exactes et tenues à jour ? Les informations captées par les électrodes sont de nature numériques. Ainsi, les données ne peuvent être parfaitement exactes puisqu'elles sont numérisées avant d'être exploitées.
Cependant, nous estimons que la précision des mesures permet d'avoir une appréciation très correcte du véritable signal électroencéphalographique du volontaire.
En ce qui concerne la prédiction de l'état mental du volontaire, il faut être conscient que les interfaces cerveau ordinateur sont encore embryonnaires et n'atteignent parfois pas un taux de réussite satisfaisant.
Néanmoins, nous avons comme priorité de développer une application suffisamment efficace pour pouvoir prédire avec une précision fiable l'état mental du volontaire.
Dans tous les cas, une erreur dans la prédiction de l'état mental du volontaire ne lui sera en aucun cas préjudiciable puisqu'elle ne fera l'objet d'aucune prise de décision ne l'affectant ni d'un partage avec des tiers.
Sur demande du volontaire et dans la limite de la durée du projet au cours de l'année universitaire 2021-2022, tout volontaire peut demander à réitérer l'expérience afin de rectifier ou mettre à jour ses données si celles-ci ont été conservées.
Quelle est la durée de conservation des données ? Les données à caractère personnel permettant d'identifier directement le volontaire seront alors conservées jusqu'à l'expression par celui-ci d'une demande de suppression des données. Dans ce cas, les données seront définitivement supprimées sous un délai de 30 jours à compter de la réception de la demande de suppression.
En ce qui concerne les jeux de données, ceux-ci seront effacés à la fin de l'expérience à moins que le volontaire n'autorise expressément la conservation de ceux-ci à des fins pédagogiques lors de la signature du formulaire de consentement.
Dans ce cas, il pourra être envisagé que les données soient utilisées et conservées ultérieurement par l'ENSIM à des fins pédagogiques et de la manière définie dans le formulaire de consentement signé par le volontaire.
Évaluation : Acceptable Commentaire d'évaluation : Le caractère licite du traitement a été prouvé par le recueil du consentement du volontaire et les finalités sont clairement énoncées. Cette partie est donc acceptable.
Comment les personnes concernées sont-elles informées à propos du traitement ? Les personnes concernées par le traitement sont informées à l'oral par un des membres de l'équipe projet présents pour l'expérimentation.
Ils sont également informées de leurs droits concernant leurs données personnelles ainsi que des finalités du traitement sur le formulaire de consentement qu'ils doivent remplir avant tout enregistrement des données.
Si applicable, comment le consentement des personnes concernées est-il obtenu ? Le consentement des personnes concernées est obtenu par l'intermédiaire de la signature d'un formulaire de consentement papier. Il est imprimé en deux exemplaires dont un sera conservé par l'intéressé et l'autre archivé par l'équipe projet.
Il est important de noter que les personnes volontaires sont informées par écrit et à l'oral de leur droit à retirer leur consentement à tout moment de l'expérimentation, et ce sans avoir à fournir la moindre justification, ainsi que leur droit à déposer une réclamation devant une autorité de contrôle.
Comment les personnes concernées peuvent elles exercer leurs droit d'accès et droit à la portabilité ? Les personnes concernées par le traitement ont la possibilité d'exercer leur droit d'accès et à la portabilité en contactant par mail le délégué à la protection des données personnelles de l'équipe projet, Dylan Jacquot.
Selon la volonté de l'intéressé, les données personnelles recueillies le concernant lui seront adressées par mail dans un délai de 30 jours maximum à compter de la réception du mail par le responsable de la protection des données personnelles.
Ces données seront fournies sous la forme d'un fichier CSV, qui est lisible aisément même en utilisant un éditeur de texte standard et qui peut être utilisé pour générer, par exemple, des graphiques concernant les données électroencéphalographiques récoltées.
Afin d'assurer la sécurité du transfert de ces données, nous assurerons le cryptage des données lors de l'envoi.
L'adresse e-mail du responsable de la protection des données personnelles est indiquées dans le formulaire de consentement rempli par les volontaires lors de l'expérimentation.
Comment les personnes concernées peuvent elles exercer leurs droit de rectification et droit à l'effacement (droit à l'oubli) ? De la même manière que pour exercer leur droit à la rectification et à l'effacement des données, l'intéressé peut contacter par mail le responsable de la protection des données personnelles de l'équipe projet.
S'il souhaite rectifier les données électroencéphalographiques le concernant (notamment en cas de suspicion d'une erreur d'acquisition), c'est-à-dire réitérer l'expérimentation, la demande sera traitée sous 30 jours et l'intéressé sera recontacté par le responsable de la protection des données personnelles pour convenir d'un rendez-vous afin de refaire un enregistrement dans les mêmes conditions que le premier.
Dans le cas où le volontaire souhaite l'effacement de ses données personnelles, sa demande sera traitée sous 30 jours maximum à compter de la réception du mail par le responsable de la protection des données personnelles, ce après quoi ses données seront détruites si aucune autre nouvelle n'est donnée de sa part.
Comment les personnes concernées peuvent elles exercer leurs droit de limitation et droit d'opposition ? Les personnes volontaires ont la possibilité d'exercer leurs droits de limitation et d'opposition en contactant le responsable de la protection des données personnelles du projet par mail.
Une réponse lui sera alors fournie dans un délai maximal de 30 jours à compter de la réception du mail par le responsable de la protection des données personnelles.
Les obligations des sous-traitants sont-elles clairement définies et contractualisées ? Aucun sous-traitant n'est employé dans le cadre de ce traitement puisqu'il s'agit d'un projet étudiant.
Cependant, dans le cas où les données seraient cédés à l'ENSIM à la fin du projet, nous serons amenés à rédiger et faire signer un contrat à nos responsables de l'école afin de leur décrire les conditions dans lesquelles elles sont cédées, c'est-à-dire celles dans lesquelles les formulaires de consentement des volontaires ont été signés.
En cas de transfert de données en dehors de l'Union européenne, les données sont-elles protégées de manière équivalente ? Dans le cadre du projet, aucune donnée ne sera transférée en dehors de l'Union européenne.
Évaluation : Acceptable Commentaire d'évaluation : Les droits garantis par le RGPD sont en mesure d'être respectés grâce au protocole défini dans cette partie. L'ensemble est donc acceptable.
Chiffrement
Dès l'enregistrement des données électroencéphalographiques terminé, nous sauvegarderons sur accord du volontaire les données sous la forme d'un fichier CSV.
Ce fichier sera ensuite encrypté par l'intermédiaire de la version la plus à jour possible d'OpenSSL.
Nous utiliserons ainsi l'algorithme RSA 256 bits afin de protéger les données électroencéphalographiques des volontaires.
L'utilisation d'un moyen de chiffrement est effectivement autorisé sans déclaration préalable par la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
De plus, un mot de passe vérifiant des conditions spécifiques (longueur supérieure à 20 caractères, utilisation de chiffres, caractères spéciaux, lettres majuscules et minuscules) sera défini afin d'autoriser chaque déchiffrement des fichiers.
Il sera recommandé de définir un mot de passe supplémentaire sur les fichiers CSV à la lecture de ceux-ci.
Enfin, afin de permettre l'exercice des droits fondamentaux des personnes volontaires, les fichiers CSV seront nommés par une fonction de hachage basée sur le nom, prénom et la date de naissance du volontaire.
Cela permettra, sur sa demande, d'accéder au fichier correspondant à ses données personnelles afin de nous permettre l'export (conformément au droit à la portabilité), la suppression (dans le cadre du droit à l'effacement) ou encore la modification (relativement au droit à la rectification).
La clé publique de chiffrement sera accessible directement sur le serveur de données. Les clés privées et les mots de passent seront conservés sur une clé USB dont une sauvegarde sera réalisée à chaque nouvelle entrée de données électroencéphalographiques.
Dans la mesure du possible, la communication entre le casque neuronal OpenBCI et la machine distante sera également cryptée si la mesure est jugée nécessaire (notamment s'il est jugé que les mesures mises en œuvre d'origine sur le casque ne sont pas suffisantes pour garantir la protection des données personnelles).
Protection des sites web
Les sites web utilisé de manière collaborative par les membres de l'équipe projet sera passé en https dès que possible afin de sécuriser au mieux la connexion.
Il est aussi nécessaire de s'authentifier afin d'accéder à certaines fonctionnalités réservées aux membres de l'équipe projet ou de modifier certaines parties des sites web.
Gestion des tiers accédant aux données.
Tout tiers souhaitant accéder aux données n'y sera autorisé que si son accès est clairement motivé et nécessaire pour les finalités de notre projet et sous réserve de la signature d'un accord de confidentialité.
Cet accord de confidentialité engage le tiers souhaitant accéder aux données à ne pas vendre, partager ou encore modifier les données électroencéphalographiques et de ne les exploiter que dans le cadre strict de l'avancée du projet.
De plus, les clés de chiffrement ne seront accessibles qu'à l'équipe projet qui est la seule habilitée à accéder aux données.
Backup locaux
Le serveur de base de données contenant les signaux électroencéphalographiques traités verra ses informations régulièrement sauvegardées sur un serveur de backup.
Minimisation des données
Les données seront traitées avant d'être enregistrées afin de ne garder que les données pertinentes pour l'expérience et non l'intégralité des données recueillies lors de la collecte.
Deux traitements principaux seront opérés : les filtres spatiaux et fréquentiels. Ils permettront de ne garder que l'information utile pour identifier un état mental bien défini dans le signal.
En ce qui concerne les données personnelles directement identifiantes (nom, prénom et date de naissance) sont uniquement celles nécessaires pour identifier un participant et permettre l'exercice de ses droits.
Journalisation
Chaque traitement sera minutieusement documenté afin de conserver une trace sur les conditions d'enregistrement de celui-ci.
Ainsi, chaque enregistrement de données électroencéphalographiques donnera lieu à un compte-rendu écrit qui sera conservé, indiquant notamment les personnes de l'équipe projet présentes, les remarques formulées par le volontaires et les heures de début et de fin de l'expérimentation.
Sauvegarde des données
Les données seront sauvegardées régulièrement sur un serveur de backup et les clés seront régulièrement sauvegardées sur une clé USB.
En effet, une sauvegarde sera réalisée chaque semaine à minima et une mise à jour des données du serveur de backup sera opérée pour chaque traitement réalisé.
Maintenance
Le matériel utilisé lors du traitement (casques d'interaction neuronale, serveurs et supports de communication) seront maintenus en cas d'imprévu technique.
Effectivement, l'école peut prendre en charge tout ou partie des frais de remplacement en cas de panne.
Il sera toutefois difficile de remplacer certaines parties coûteuses du casque d'interaction neuronale.
Sécurité physique
Les traitements seront hébergés par le chef de projet. L'accès physique aux serveurs ne sera possible qu'accompagné de lui ou par lui-même.
Pour ce qui est de l'étape d'acquisition des signaux électroencéphalographiques, elle se déroulera dans une salle de l'école dont l'accès est conditionné à la possession d'une carte d'étudiant de l'école.
L'accès à cette salle sera contrôlé par les membres de l'équipe projet présents sur place pour l'expérimentation.
Traçabilité
Il sera possible de mettre en place un serveur de log (possiblement virtualisé sur le serveur central de base de données) afin de pouvoir tracer un accident et fournir des éléments en cas de problème.
Contrôle des accès logiques
Les données du serveur contenant les données ne seront accessibles que par une connexion par un identifiant et un mot de passe. Il faudra en outre disposer des clés de déchiffrement afin de pouvoir accéder au contenu des fichiers.
Nous nous assurerons de sélectionner un mot de passe offrant une protection face au piratage maximale.
Sécurisation de l'exploitation
Le serveur sera hébergé par l'équipe projet et non en externe ce qui favorise la confidentialité des données et atténue les risques liés à la sous-traitance du matériel informatique.
Sécurisation des canaux informatiques
Un pare-feu pourra être déployé sur le serveur afin de prévenir une cyber-attaque.
De plus, nous pourrons mettre en place un système IDS en entrée du serveur de base de données afin de pouvoir détecter une intrusion. Ainsi, nous pourrons être informés rapidement d'une attaque sur un serveur pour essayer d'y répondre dans les plus brefs délais et minimiser les pertes.
Eloignement des sources de risques
Toutes les personnes n'étant pas sollicitées dans le cadre du projet seront incapables d'accéder aux données.
De plus, le traitement des données ne se fera qu'au sein de l'école et par des personnes (élèves ou enseignants) internes à celle-ci limitant ainsi grandement les risques humains.
Protection contre les sources de risques non humaines
Au sein de l'ENSIM un système d'alarme incendie efficace est en place de manière permanente. Il peut ainsi permettre une intervention rapide des services de secours en cas de problème.
Également, les risques liés aux phénomènes météorologiques et les inondations sont très peu probables en Sarthe, limitant d'autant plus les risques de perte ou de détérioration de données.
Gérer la politique de protection de la vie privée
Le responsable de la protection des données personnelles veillera tout au long du projet au respect des règles et du respect des droits définis par le RGPD. Ainsi, il sera possible de mettre à jour au fur et à mesure notre plan d'action et notre politique “Informatique et libertés” au fur et à mesure de l'avancement du projet.
En effet, il est possible qu'à mesure de l'avancement du projet il soit nécessaire de collecter d'autres données personnelles.
Il sera alors nécessaire de mettre en place toutes les mesures possibles dans le cadre de ce projet et dans la limite du temps imparti pour celui-ci afin de mettre en œuvre une protection des données personnelle maximale.
Intégrer la protection de la vie privée dans les projets
Le projet inclus la protection de la vie privée et des données personnelle parmi les axes de réflexion et d'attention du projet.
Un responsable de la protection des données personnelles a été nommé et une analyse d'impact sur la protection des données a été réalisée avant le début des traitements.
Gestion des personnels
Au cours du projet, le responsable de la protection des données personnelles se chargera de communiquer à tous les membres de l'équipe les bonnes pratiques en terme de protection de la vie privée et de protection des données à caractère personnel.
De plus, les membres de l'équipe auront signé un accord de confidentialité dans lequel ils s'engagent à ne pas conserver l'original ou une copie des données.
Cette clause est valable même après la fin du projet ce qui renforce la sécurité et la confidentialité des données récoltées.
Archivage
Sur accord du volontaire, les données électroencéphalographiques le concernant seront conservées sur nos serveurs.
L'ENSIM pourra également être amenée à conserver ces données à la fin du projet à des fins pédagogiques pour les promotions futures d'élèves ingénieurs.
Cette utilisation sera uniquement possible selon des modalités à définir avec l'équipe projet et uniquement dans le cadre strict d'un usage pédagogique et selon les conditions soumises aux volontaires lors de la complétion du formulaire de consentement.
Sécurisation des documents papier
Les documents produits au cours de l'expérimentation (formulaires de consentement et accords de confidentialité complétés) seront conservés dans un coffre sécurisé par un code.
Ils seront également numérisés et sécurisés par la mise en place d'un mot de passe afin de les ouvrir en lecture seule.
Ceci permettra de conserver ces documents sur le long terme tout en minimisant le risque de perte de ceux-ci et en permettant de garder confidentiel les documents attestant de la participation à l'expérimentation.
Organisation de la politique de protection de la vie privée
Au cours de ce projet, une équipe a été constituée afin de veiller au respect de la vie privée et à la protection des données personnelles.
De plus, Dylan Jacquot a été nommé responsable de la protection des données personnelles.
De cette manière, il sera considéré comme le DPD de l'équipe projet au regard du traitement des données personnelles réalisé.
Commentaire d'évaluation : Les mesures définies dans cette partie semblent être suffisantes à l'échelle du projet pour garantir la protection des données personnelles des volontaire et est donc acceptable en l'état. Elle pourra cependant faire l'objet d'ajouts par la suite au cours de l'avancée du projet.
Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ? Revente ou partage illicite des données, Extraction d'informations sur les personnes (préférences, opinions…) des signaux électroencéphalographiques, Acquisition de connaissances sur l'état de santé de la personne concernée
Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ? Cyber-attaque du serveur de base de données, Usurpation d'identité
Quelles sources de risques pourraient elles en être à l'origine ? Équipe projet, Proches des membres de l'équipe, Personnel de l'ENSIM
Quelles sont les mesures initiales, parmi celles identifiées, qui contribuent à traiter le risque ? Chiffrement, Protection des sites web, Gestion des tiers accédant aux données., Minimisation des données, Sécurité physique, Traçabilité, Gestion des personnels, Eloignement des sources de risques, Sécurisation de l'exploitation, Contrôle des accès logiques, Sécurisation des canaux informatiques, Sécurisation des documents papier
Comment estimez vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures prévues ? Limitée, L'accès aux données électroencéphalographiques serait grave pour les personnes concernées puisqu'il serait possible, du moins théoriquement, d'en extraire des informations cruciales sur celle-ci.
Elles peuvent également être considérées comme des données médicales sensibles qui pourraient être utilisées à mauvais escient.
Cependant, les mesures prises au cours du projet, surtout le filtrage des données et leur cryptage, limitent fortement les possibilités d'extraction de telles informations des signaux.
Le risque existe donc mais est toutefois circonscrit par les mesures de protection prises au cours du projet.
Comment estimez vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures prévues ? Négligeable, La signature par l'ensemble des personnes accédant aux données d'un accord de confidentialité réduit considérablement le risque qu'une personne interne au projet n'accède de manière illégitime aux données ou en use sans respecter les finalités du projet.
De plus, étant donné l'ampleur très modeste du projet (cantonné au cadre universitaire), il semble peu probable que des personnes malintentionnées aient l'intention de dérober les données.
Évaluation : Acceptable Commentaire d'évaluation : Au regard des mesures présentées (au niveau organisationnel et sécuritaire) pour assurer la protection des données, le risque de modification des données personnelles est acceptable.
Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ? Impact limité
Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ? Modification des résultats de l'expérimentation, Cyber-attaque du serveur de base de données, Problèmes techniques divers (fiabilité de la transmission, qualité du support de stockage des données…)
Quelles sources de risques pourraient elles en être à l'origine ? Équipe projet, Personnel de l'ENSIM, Proches des membres de l'équipe
Quelles sont les mesures, parmi celles identifiées, qui contribuent à traiter le risque ? Backup locaux, Gestion des tiers accédant aux données., Sécurité physique, Sauvegarde des données, Archivage, Gestion des personnels, Sécurisation de l'exploitation, Traçabilité, Sécurisation des canaux informatiques, Contrôle des accès logiques, Eloignement des sources de risques
Comment estimez vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures prévues ? Négligeable, Une modification non désirée des données électroencéphalographiques serait susceptible d'engendrer des erreurs dans la prédiction réalisée par l'intelligence artificielle et provoquerait ainsi une erreur de jugement sur l'intention initiale du volontaire.
Cependant, ceci aurait essentiellement un impact sur les résultats de l'expérience puisque le résultat de celle-ci n'impactera en aucune façon les participants.
Le risque est donc relativement négligeable pour les participants de l'expérimentation.
Comment estimez vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures prévues ? Négligeable, Au regard des clauses de l'accord de confidentialité signé par les personnes en contact direct avec les données, il est peu probable qu'une personne ne modifie sciemment celles-ci.
De plus, des problèmes techniques pourraient éventuellement survenir bien que ce ne soit rare. En effet, les protocoles sécurisés employés opèrent une vérification de l'intégrité des données et le matériel est régulièrement maintenu à jour.
Ce risque apparaît donc plutôt négligeable.
Évaluation : Acceptable Commentaire d'évaluation : Au regard des mesures présentées (au niveau organisationnel et sécuritaire) pour assurer la protection des données, le risque de modification des données personnelles est acceptable.
Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ? Impact limité
Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ? Problème d'ordre technique grave sur les serveurs, Cyber-attaque du serveur de base de données
Quelles sources de risques pourraient elles en être à l'origine ? Incendie, Inondation, Équipe projet, Personnel de l'ENSIM, Proches des membres de l'équipe
Quelles sont les mesures, parmi celles identifiées, qui contribuent à traiter le risque ? Backup locaux, Gestion des tiers accédant aux données., Gestion des personnels, Archivage, Sauvegarde des données, Maintenance, Sécurité physique, Protection contre les sources de risques non humaines, Contrôle des accès logiques, Sécurisation de l'exploitation, Eloignement des sources de risques, Sécurisation des canaux informatiques, Traçabilité, Sécurisation des documents papier
Comment estimez vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures prévues ? Négligeable, La disparition des données pose essentiellement des problèmes pour les organisateurs de l'expérimentation en causant des retards importants. Pour la personne volontaire, cela n'a que peu d'impact. Comment estimez vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures prévues ? Négligeable, Le risque d'inondation est relativement faible au Mans donc ce facteur a peu de chances de provoquer une disparition des données.
Les incendies, quant à eux, sont bien plus fréquents et sont susceptibles de survenir dans une salle de serveur bien que cela reste peu probable.
En effet, le serveur de données est maintenu à une température convenable grâce à un système de climatisation approprié, cela limite donc les risques d'incendie.
Enfin, les clauses de l'accord de confidentialités signé par tous les individus en contact avec les données minimisent le risque en interdisant une destruction des données non demandée par la personne volontaire pour l'expérimentation.
Évaluation : Acceptable Commentaire d'évaluation : Au regard des mesures présentées (au niveau organisationnel et sécuritaire) pour assurer la protection des données, le risque de disparation des données personnelles est acceptable.
Nom du DPD : Dylan Jacquot
Le traitement pourrait être mis en œuvre.
Opinion du DPD :
L'analyse d'impact sur la protection des données personnelles conduite par l'équipe chargée de la protection des données est acceptable en l'état. En effet, elle décrit le traitement, la manière dont les droits et principes fondamentaux du RGPD et de la législation française seront respectés et fourni un ensemble de mesures cohérentes pour permettre la protection des données. Cependant, cette analyse devra être mise à jour au cours du projet en cas d'imprévu ou d'une modification sur l'organisation du traitement des données personnelles.
Recherche de l'avis des personnes concernées : L'avis des personnes concernées n'a pas été demandé.
Raison pour laquelle l'avis des personnes concernées n'a pas été demandé : Le traitement aura lieu beaucoup plus tard dans l'année universitaire. Il n'est pas possible à l'heure actuelle de demander l'avis des personnes concernées.