• Langue : Anglais
• Discipline : Droit public
• Identifiant : 2024ULILD016
• Type de thèse : Doctorat
• Date de soutenance : 27/09/2024

Résumé en langue originale

La sécurité de l'information est étroitement liée au droit de protection des données, car une mise en œuvre inefficace de la sécurité peut entraîner des violations de données à caractère personnel. Le RGPD repose sur la gestion de risques pour la protection des droits et libertés des personnes concernées, ce qui signifie que la gestion de risques est le mécanisme de protection des droits fondamentaux. Cependant, l'état de l'art en matière de gestion des risques liés à la sécurité de l'information et de gestion des risques juridiques sont encore immatures. Malheureusement, l'état actuel de l'art n'évalue pas la multidimensionnalité des risques liés à la protection des données, et il n'a pas tenu compte de l'objectif principal d'une approche basée sur les risques, à savoir mesurer les risques pour prendre des décisions éclairées. Le monde juridique doit comprendre que la gestion des risques ne fonctionne pas par défaut et plusieurs fois nécessite des méthodes scientifiques appliquées d'analyse des risques. Cette thèse propose un changement d'état d'esprit sur la gestion des risques liés à la protection des données, avec une approche holistique qui fusionne les risques opérationnels, financiers et juridiques. Le concept de valeur à risque des données personnelles est présenté comme le résultat de plusieurs stratégies quantitatives basées sur la modélisation des risques, la jurimétrie, et l'analyse de la protection des données à la lumière de l'apprentissage automatique. Les idées présentées ici contribueront également à la mise en conformité avec les prochaines réglementations basées sur le risque qui reposent sur la protection des données, telles que l'intelligence artificielle. La transformation au risque peut sembler difficile, mais elle est obligatoire pour l'évolution de la protection des données.

Résumé traduit

Information security is deeply linked to data protection law, because an ineffective security implementation can lead to personal data breaches. The GDPR is based on a risk-based approach for the protection of the rights and freedoms of the data subjects, meaning that risk management is the mechanism for protecting fundamental rights. However, the state of the art of information security risk management and legal risk management are still immature. Unfortunately, the current state of the art does not assess the multi-dimensionality of data protection risks, and it has skipped the main purpose of a risk-based approach, measuring risk for taking informed decisions. The legal world shall understand that risk management does not work by default, and it often requires applied-scientific methods for assessing risks. This thesis proposes a mindset change with the aim of fixing data protection risk management, with a holistic data protection approach that merges operational, financial, and legal risks. The concept of a Personal Data Value at Risk is introduced as the outcome of several quantitative strategies based on risk modeling, jurimetrics, and data protection analytics. The ideas presented here shall also contribute to comply with upcoming risk-based regulations that rely on data protection, such as artificial intelligence. The risk transformation may appear difficult, but it is compulsory for the evolution of data protection.