Personal data breaches : towards a deep integration between information security risks and GDPR compliance risks
Violations de données personnelles : vers une intégration profonde entre les risques de sécurité de l'information et les risques de non-conformité au RGPD
- Protection des données
- Vie privée
- Violation des données
- Gestion des risques
- Analyse quantitative des risques
- Jurimétrie
- Droit à la vie privée
- Protection de l'information (informatique) -- Droit
- Gestion du risque
- Évaluation du risque
- Apprentissage automatique
- Recherche quantitative
- Data protection
- Privacy
- Data breach
- Risk management
- Quantitative risk analysis
- Jurimetrics
- Langue : Anglais
- Discipline : Droit public
- Identifiant : 2024ULILD016
- Type de thèse : Doctorat
- Date de soutenance : 27/09/2024
Résumé en langue originale
La sécurité de l'information est étroitement liée au droit de protection des données, car une mise en œuvre inefficace de la sécurité peut entraîner des violations de données à caractère personnel. Le RGPD repose sur la gestion de risques pour la protection des droits et libertés des personnes concernées, ce qui signifie que la gestion de risques est le mécanisme de protection des droits fondamentaux. Cependant, l'état de l'art en matière de gestion des risques liés à la sécurité de l'information et de gestion des risques juridiques sont encore immatures. Malheureusement, l'état actuel de l'art n'évalue pas la multidimensionnalité des risques liés à la protection des données, et il n'a pas tenu compte de l'objectif principal d'une approche basée sur les risques, à savoir mesurer les risques pour prendre des décisions éclairées. Le monde juridique doit comprendre que la gestion des risques ne fonctionne pas par défaut et plusieurs fois nécessite des méthodes scientifiques appliquées d'analyse des risques. Cette thèse propose un changement d'état d'esprit sur la gestion des risques liés à la protection des données, avec une approche holistique qui fusionne les risques opérationnels, financiers et juridiques. Le concept de valeur à risque des données personnelles est présenté comme le résultat de plusieurs stratégies quantitatives basées sur la modélisation des risques, la jurimétrie, et l'analyse de la protection des données à la lumière de l'apprentissage automatique. Les idées présentées ici contribueront également à la mise en conformité avec les prochaines réglementations basées sur le risque qui reposent sur la protection des données, telles que l'intelligence artificielle. La transformation au risque peut sembler difficile, mais elle est obligatoire pour l'évolution de la protection des données.
Résumé traduit
Information security is deeply linked to data protection law, because an ineffective security implementation can lead to personal data breaches. The GDPR is based on a risk-based approach for the protection of the rights and freedoms of the data subjects, meaning that risk management is the mechanism for protecting fundamental rights. However, the state of the art of information security risk management and legal risk management are still immature. Unfortunately, the current state of the art does not assess the multi-dimensionality of data protection risks, and it has skipped the main purpose of a risk-based approach, measuring risk for taking informed decisions. The legal world shall understand that risk management does not work by default, and it often requires applied-scientific methods for assessing risks. This thesis proposes a mindset change with the aim of fixing data protection risk management, with a holistic data protection approach that merges operational, financial, and legal risks. The concept of a Personal Data Value at Risk is introduced as the outcome of several quantitative strategies based on risk modeling, jurimetrics, and data protection analytics. The ideas presented here shall also contribute to comply with upcoming risk-based regulations that rely on data protection, such as artificial intelligence. The risk transformation may appear difficult, but it is compulsory for the evolution of data protection.
- Directeur(s) de thèse : Moritz, Marcel
- Président de jury : Malgieri, Gianclaudio
- Membre(s) de jury : Gellert, Raphaël
- Rapporteur(s) : Vestri, Gabriele -
- Laboratoire : Centre d'études et de recherches administratives politiques et sociales (Lille)
- École doctorale : École doctorale des Sciences Juridiques, Politiques et de Gestion (Lille ; 1992-....)
AUTEUR
- Enríquez, Luis