Protection des Données et Éthique

Palantir est une entreprise orientée vers la mission. Ayant à cœur de concevoir des logiciels exceptionnels et de contribuer à la réussite de notre organisation, notre équipe s'engage à travailler pour le bien commun et à faire ce qui est juste.

Chez Palantir, nous sommes convaincus qu’il est essentiel de préserver les principes fondamentaux de la vie privée et des libertés civiles dans le cadre de l’utilisation des données. Lorsque, dès nos premières missions, nous sommes impliqués dans la lutte contre le terrorisme, nous avons été amenés à nous demander si nous pourrions renforcer significativement la sécurité nationale aux États-Unis, sans pour autant affaiblir les mesures constitutionnelles de protection de la vie privée. En réponse à cette question, nous avons investi une partie de notre capital financier et intellectuel pour développer une technologie aujourd’hui approuvée par les régimes de protection des données les plus sévères (et les plus sceptiques) au monde.

Notre culture nous amène à débattre ouvertement et de façon critique de l’impact de notre technologie. Elle garantit le respect de nos convictions initiales, alors même que la nature des données et les environnements dans lesquels nous opérons évoluent. Nous encourageons les Palantiriens, dès leur arrivée, à se poser la question suivante : « Ai-je envie de vivre dans un monde façonné par les technologies que nous concevons ? »

Afin d’aider nos ingénieurs et nos cadres à répondre positivement à cette question, nous :

  1. Adhérons à un ensemble de principes guidant nos décisions techniques et commerciales.
  2. Investissons pour développer une technologie favorisant l'utilisation responsable des données.
  3. Employons une équipe d'ingénieurs spécialistes de la vie privée et des libertés civiles, à qui nous donnons les moyens d'atteindre leurs objectifs.
  4. Collaborons avec des experts indépendants, maîtrisant les questions de confidentialité, de politique publique et d'éthique.

Alors que nous concevons et déployons des technologies visant à répondre à des questions de plus en plus complexes et stratégiques, nous suivons un ensemble de principes qui nous aident à adopter un comportement responsable.

  • Les systèmes devraient intégrer des principes de «protection des données dès la conception ». Nous avons toujours eu pour objectif d’éliminer les compromis en apparence inévitables entre confidentialité et utilité d’un produit. Dans cette optique, nous faisons de la protection des données une priorité à chaque étape du processus d’ingénierie et nous concevons des fonctions dédiées, jouant un rôle essentiel dans nos plateformes, qui s’intègrent de façon transparente aux outils collaboratifs et analytiques.
  • Les décisions susceptibles d’affecter les droits des individus en matière de liberté, d’opportunité et de bonheur ne peuvent être laissées uniquement aux ordinateurs. Nos clients utilisent les données pour prendre des décisions éclairées ayant des implications lourdes pour les individus. Plutôt que de compter sur des algorithmes qui compromettent le principe de responsabilité, nous intégrons toujours des solutions permettant aux analystes de faire preuve de jugement, en fonction du contexte et de leur intuition.
  • Les systèmes doivent faciliter la responsabilisation et la transparence. Pour garantir le respect des droits fondamentaux, la protection efficace des données repose sur une gouvernance et des procédures multicouches qui se recoupent. Nous concevons des plateformes qui soutiennent ces politiques avec des mécanismes contrôlant l’accès, régissant l’utilisation, avertissant les utilisateurs des exigences à respecter dans le traitement des données et générant des informations pour les responsables en charge de l’audit.
  • Mais la technologie n’est pas la solution à tous les problèmes. Certaines décisions ont des implications trop graves ou trop complexes pour être automatisées ou rationalisées, même avec intervention humaine. Nous nous efforçons donc de contextualiser les grands problèmes mondiaux et de réfléchir de façon critique pour déterminer s’il est possible de développer des solutions complémentaires de manière éthiquement responsable. En cas de réponse négative, nous préférons nous abstenir.

L’ingénierie en protection de données et libertés civiles est un domaine en pleine évolution et chaque organisation est soumise à des exigences et préoccupations particulières. L’application de ces principes différera d’un produit à l’autre et d’une entreprise à l’autre. Cependant, l’objectif final devrait être le même : élaborer et mettre en œuvre des technologies en parfaite connaissance de leur impact potentiel sur les droits fondamentaux, et intégrer des capacités techniques pour soutenir le traitement responsable des données.

Chez Palantir, nous concevons des plateformes logicielles qui aident nos clients à intégrer et analyser leurs propres données, dans le respect des considérations éthiques et juridiques. En tant qu’organisation, nous ne recueillons pas de données, nous ne vendons pas de données et nous ne facilitons pas le partage non autorisé de données avec les clients ou d’autres parties.

Depuis plus de dix ans, nous développons des produits garantissant une utilisation responsable des données. Au fil du temps, nous avons ainsi mis au point plusieurs technologies de protection des données qui font maintenant partie intégrante des plateformes Palantir. Ces fonctionnalités permettent aux entreprises de contrôler et de superviser l’accès à leurs données à l’aide de stratégies de plus en plus sophistiquées et flexibles.

Contrôles d’accès

Nos plateformes offrent des restrictions d’accès hautement granulaires, avec des autorisations d’accès souples et subtiles, comme des limitations temporelles ou basées sur les objectifs. Cela permet de gérer précisément les données, parfois même à l’échelle de nombreuses bases de données indépendantes. Ainsi, l’accès est étroitement aligné sur des spécifications de finalité. Un utilisateur peut donc accéder uniquement aux informations spécifiques nécessaires pour une tâche définie (p. ex., enquêter sur un crime précis ou déterminer s’il convient de prolonger le crédit d’une personne), pendant une période limitée.

Fédération

La fédération permet aux utilisateurs de chercher et d’analyser des données provenant de plusieurs bases de données indépendantes, sans dupliquer et centraliser les données dans un seul endroit. Nos plateformes offrent des interfaces de requête intelligentes qui éliminent la complexité inhérente à la fédération. Les utilisateurs peuvent alors accéder aux informations dont ils ont besoin, sans que la source en question soit intégrée directement dans l’instance Palantir de l’organisation.

JOURNALISATION D’AUDIT ET ANALYSE

Les actions de l’utilisateur au sein d’un système doivent être enregistrées pour que les entités de surveillance autorisées, aussi bien internes qu’externes, puissent confirmer l’utilisation appropriée des données et le respect des lois applicables. Nos plateformes conservent les logs d’audit et les rendent accessibles (et lisibles) pour les utilisateurs autorisés, qui peuvent ainsi identifier de façon proactive l’usage inapproprié des systèmes.

Intégrité des données

Nos plateformes suivent la provenance et l’historique des versions de toutes les données du système. De cette façon, les utilisateurs et personnes concernées peuvent évaluer la fiabilité des données et, si nécessaire, passer en revue et corriger les inexactitudes. Offrir aux utilisateurs des données à jour et bien organisées réduit les risques de conclusions erronées qui pourraient provoquer de légers désagréments ou aller jusqu’à entraîner des conséquences juridiques graves et coûteuses pour un individu.

Rétention et suppression des données

Les utilisateurs du système doivent pouvoir mettre en œuvre des politiques de rétention flexibles et auditables et vérifier que les données marquées pour suppression ont effectivement été supprimées du système. Nos plateformes permettent aux organisations de s’assurer que les informations obsolètes ou non pertinentes sont supprimées, comme l’exigent les meilleures pratiques de gestion des données ou même les réglementations imposant des amendes élevées en cas de non-conformité.

Chaque Palantirien joue un rôle dans notre engagement en faveur de la protection des données et des enjeux éthique. Parallèlement, nous employons une équipe interdisciplinaire composée d’ingénieurs, d’avocats et de philosophes, pour orienter nos initiatives dans ce domaine. Cette équipe est surnommée en interne l’équipe Protection des Données et Éthique, en anglais Privacy & Civil Liberties (PCL). En charge de la protection des données et des enjeux éthiques, elle a un vaste éventail de responsabilités et doit notamment :

  • travailler avec les services de développement de produits et développement commercial pour concevoir, élaborer et implémenter une technologie qui favorise une utilisation responsable des données ;
  • suivre les avancées technologiques pour analyser les avantages et les risques qu’elles représentent en matière de protection des données et éthique ;
  • déterminer les conséquences de l’évolution des lois et des politiques de protection des données et de la confidentialité pour nos clients partout dans le monde ;
  • aider nos clients à adopter des pratiques de traitement des données et des techniques analytiques pour se conformer aux exigences en matière de confidentialité, de sécurité et d’intégrité des données ;
  • former les Palantiriens pour qu’ils puissent repérer les problèmes liés à la protections des données et des enjeux éthique et travailler collectivement pour surmonter ces obstacles ;
  • faciliter le dialogue interne sur les questions de protection des données et les événements d’actualités se rapportant à notre travail.

Nos clients aux quatre coins du monde – institutions gouvernementales, entreprises commerciales et organisations à but non lucratif – sont confrontés à des défis majeurs dans le domaine de la protection des données et des enjeux éthiques. À quel moment l’utilisation de données open source telles que les informations sur les réseaux sociaux devrait-elle être restreinte en vue de protéger la vie privée et la liberté d’expression ? Quelles données d’utilisation devraient générer les systèmes d’information des forces de l’ordre pour permettre un audit efficace et garantir la responsabilisation vis-à-vis des gouvernements et du public ?

Comment s’assurer que les informations médicales sensibles ne sont accessibles qu’aux chercheurs qui en ont besoin et ne sont utilisées qu’aux fins pour lesquelles un patient a donné son consentement ?

Notre équipe en charge de la protections des données et éthique oriente notre réflexion sur ces questions, en tenant compte de toutes leurs implications. Les exemples suivants décrivent l’approche que nous avons adoptée pour relever certains de ces défis :

  • La Police nationale danoise mise sur Palantir pour son système analytique central. La Scandinavie est depuis longtemps à l’avant-garde de la protection des données et les capacités de Palantir garantissent l’application rigoureuse et efficace des règles de confidentialité.
  • Une agence américaine multijuridictionnelle des forces de l’ordre a déployé Palantir pour faciliter l’utilisation des données ALPR (lecteur automatique de plaques d’immatriculation) à des fins d’analyse. Quand nous avons remporté ce contrat, il n’existait pas de loi régissant l’utilisation de cette source d’informations relativement nouvelle. Conscients des implications des données ALPR en matière de vie privée, nous avons travaillé avec l’agence pour mettre au point une évaluation élective de l’impact sur la vie privée et une politique de confidentialité formelle réglementant l’utilisation de ces données. Ces documents ont anticipé des exigences qui ont finalement été formulées dans un projet de loi ultérieur sur l’utilisation des données ALPR pour tous les organismes de l’État chargés de veiller au respect de la loi. Grâce à nos efforts pour résoudre proactivement les problèmes de confidentialité, nous avons pu très simplement mettre en conformité l’utilisation des produits Palantir lorsque la loi a été promulguée.
  • Une équipe travaille en étroite collaboration avec notre équipe en charge de l’ingénierie philanthropique afin de donner à nos partenaires dans l’humanitaire les ressources dont ils ont besoin pour protéger les données de populations déjà vulnérables. Ces études de cas sont tirées de l’édition 2016 de notre rapport annuel d’ingénierie philanthropique. Elles montrent comment nous aidons nos partenaires à explorer des questions concernant l’impact de l’utilisation des données sur leurs missions et sur les populations qu’ils servent.

En 2012, nous avons créé le Palantir Council of Advisors on Privacy and Civil Liberties (PCAP – Conseil consultatif de Palantir sur la vie privée et les libertés civiles). Il s’agit d’un groupe d’experts indépendants spécialistes de la confidentialité, de la politique publique et de l’éthique, qui nous aide à cerner et surmonter les problèmes complexes que nous rencontrons dans le cadre de nos activités. En 2014, nous avons intégré au PCAP un groupe de conseillers internationaux qui nous apporte son expertise sur les réglementations européennes et internationales en matière de confidentialité des données.

L’équipe PCL de Palantir et les groupes PCAP américains et internationaux se réunissent régulièrement pour échanger sur des sujets divers, tels que :

  • l’évolution des lois, politiques et technologies relatives à la confidentialité ;
  • les stratégies techniques et procédurales pour limiter les risques en matière de protection des données et éthique ;
  • les opportunités d’améliorer les mesures de protection de la vie privée et des libertés civiles intégrées dans nos produits.

En dehors de ces réunions régulières, l’équipe PCL consulte souvent les membres du PCAP de manière ponctuelle, pour étudier au cas par cas tout nouveau problème.

MEMBRES DU PCAP

Bryan Cunningham – Fondateur de Cunningham Levy LLP et avocat spécialiste des questions de confidentialité, de cybersécurité et de protection des données. Conseiller de longue date de Palantir, il est directeur exécutif du PCAP.

Alex Deane – Directeur général de FTI Consulting. Il a fondé Big Brother Watch, une organisation britannique reconnue qui milite pour la protection des données et des libertés civiles. Il a été directeur des cabinets de David Cameron et de Tim Collins pendant leurs mandats respectifs de secrétaire d’État à l’éducation, dans le cabinet fantôme de l’opposition.

Robert Gellman – Consultant spécialiste de la confidentialité et de l’information, qui a travaillé pendant près de deux décennies sur les questions de protection de la confidentialité au Congrès américain.

Chris Hoofnagle – Professeur auxiliaire à la Faculté de droit et à l’École d’information (où il est résident) de l’Université de Californie à Berkeley.

Sebastien Laurent – Professeur en Sciences Politiques et Histoire à l’Université de Bordeaux. Il est co-directeur du programme « Sécurité Globale et Analyste Trilingue » et enseigne également un séminaire à Sciences-Po Paris et Sciences-Po Bordeaux.

Nancy Libin – Coprésidente de la division Confidentialité, sécurité et technologie du cabinet d’avocats Davis Wright Tremaine, ancienne responsable de la protection de la vie privée et des libertés civiles du ministère américain de la Justice et ancienne conseillère de Joseph Biden (pendant son mandat de sénateur), en lien avec le Comité judiciaire du Sénat et le Center for Democracy and Technology.

Sylvain Métille – Associé au sein du cabinet d’avocats suisse HDC, spécialisé dans la protection des données, la surveillance et le droit informatique. Il anime également des conférences sur la cybercriminalité à l’Université de Lausanne.

Stephanie Pell – Consultante spécialiste de la vie privée et des libertés civiles, qui a travaillé pour le ministère de la Justice en tant qu’assistante du procureur, puis en tant qu’avocate principale pour le procureur général adjoint.

Alexander Pretschner – Chaire de génie logiciel au sein du département d’informatique de l’Université technique de Munich, dont les recherches se concentrent sur les tests et la sécurité des systèmes informatiques.

Priscilla Regan – Professeure à la Schar School of Policy and Government de l’Université George Mason, qui s’intéresse principalement à l’analyse de l’utilisation des nouvelles technologies de l’information et des communications. Auteure de nombreux ouvrages, elle a notamment publié « Legislating Privacy: Technology, Social Values, and Public Policy ».

Tim Sparapani – Ancien avocat principal spécialiste de la vie privée et de l’immigration au sein de l’Union américaine pour les libertés civiles ACLU) et premier directeur de la politique publique chez Facebook. Il dirige maintenant son propre cabinet de conseil dédié aux questions de confidentialité, SPQR Strategies.

Daniel Weitzner – Directeur et fondateur de MIT Internet Policy Research Initiative, ancien directeur adjoint de la technologie pour la politique Internet à la Maison Blanche et co-fondateur du Center for Democracy and Technology.

Le PCAP joue uniquement un rôle de conseil et ses membres sont indemnisés pour leur temps. Le PCAP n’est en aucun cas tenu de soutenir et/ou d’approuver les décisions prises par Palantir.

Les discussions avec les membres du PCAP sont confidentielles.