Le point avec Muriel Assuline, avocat associé cabinet Assuline & Partners (http://www.avocat-paris-assuline.com/).
Le « Big data » se définit comme un ensemble de données extrêmement volumineux que l’on va traiter et analyser à des fins prédictives. Mais pas seulement.
Le « Big data » est avant tout une démarche particulière : elle va consister à extraire l’information pertinente d’un ensemble de données. Cet ensemble se caractérise par le volume, la variété, la valeur et la vélocité. C’est la fameuse règle des 4 V. Volume : grande masse de données qui ne cesse de croître. Variété : données diverses provenant de sources tout aussi diverses, non structurées. Valeur : données importantes pour la science, l´environnement, la santé, etc. (24, 6 milliards $ CA mondial prévu en 2016). Vélocité : les données sont traitées rapidement, voire en temps réel idéalement.
L’intérêt pratique du « Big data » tient en effet à leurs nombreuses applications potentielles : analyse financière, connaissance du client, identification de tendances à long terme, etc. C’est l’utilité sociale et économique du « Big data » qui conduit à les utiliser. Et en outre, le « Big data » a des capacités prédictives. Le « Big data » est utilisé par les grandes entreprises dans une pure logique économique : soit pour identifier, étudier les tendances générales d’un marché déterminé et ajuster l´offre à la demande, soit pour prédire le comportement des clients et leur fournir une publicité ciblée.[1] En outre, le « Big data » permet aux entreprises d´apprendre en permanence et de s´adapter rapidement aux situations.
Le « Big data » s´est développé grâce à la multiplication de ses sources. La diversité des terminaux (PC, mobiles, tablettes, objets connectés..), des usages de l´Internet (e-commerce, réseaux sociaux, géolocalisation..), l´ouverture par les gouvernements des bases de données publiques (open data : statistiques, métro trafic..) ainsi que la démocratisation de plateformes à travers le cloud computing, qui permet la gestion des gros volumes de données, ont déterminé l´accumulation des masses gigantesques des données, d´où le développement des outils de traitement des données à grande échelle.
Données privées et données publiques
Les données collectées et traités par le « Big data » peuvent être classifiées en deux catégories : des données privées (données à caractère personnel récoltées ou non en ligne ; données relevant du patrimoine informationnel de l´entreprise) et des données publiques (Open data).
Lorsque les usages du « Big data » visent les personnes en tant que telles, la pleine application des principes fondamentaux de la protection des données est requise. Le responsable du traitement, lorsqu’il collecte et traite des données à caractère personnel, devra notamment respecter la loi n°78-17 du 6 janvier 1978, dite Loi « Informatique et Libertés », ainsi que le futur Règlement européen, en cours d’adoption définitive, sur la protection des données, dans la collecte et le traitement des données à caractère personnel.
En effet, contrairement aux États-Unis où les données personnelles sont considérées comme des biens marchands pour lesquels le consentement du citoyen est donné à priori, en France, la loi « Informatique et Libertés » vise à garantir au citoyen qu´en cas de collecte de données à caractère personnel, celui-ci est consentant, qu´il connait la personne collectant ces données, ainsi que les finalités de cette collecte. Aujourd´hui, on observe une montée en puissance de ce principe, car des pratiques comme le marketing électronique, la géolocalisation ou les cookies nécessitent à priori le consentement de l´individu. En ce sens, une étude menée par la CNIL et dix-neuf de ses homologues à travers le monde en 2013 a montré que l’information donnée aux internautes est insuffisante : 20 % des sites mondiaux les plus importants, et 50 % des applications de téléphones mobiles n’apportent aucune information sur les traitements effectués, privant ainsi les utilisateurs de la possibilité de donner leur consentement libre et éclairé à l’utilisation de leurs données. [2] D´ailleurs, autant le projet de règlement européen du 25 janvier 2012 portant sur la protection des données personnelles que le projet de loi pour une République numérique présenté par Emmanuel MACRON et Axelle LEMAIRE, adopté en première lecture à l’Assemblée Nationale le 26 janvier 2016, et qui sera examiné par le Sénat au printemps, renforce les obligations du responsable du traitement en la matière, puisque c´est à ce dernier qu´il incombe de placer la personne concernée en situation de comprendre en toute transparence les principaux éléments du traitement : nature des données collectées, finalités du traitement, destinataires des données, durée de conservation des catégories de données traitées, droits de la personne concernée (droit d’accès, de rectification et d’opposition au traitement), informations relatives aux éventuels transferts de données vers des pays extérieurs à l’Union européenne.
L’afflux de données disponibles sur Internet, dans un environnement où elles semblent être à la disposition de tous, n’exonère pas le responsable du traitement de données personnelles de les collecter de façon loyale et licite (article 6 de la loi « Informatique et Libertés »). En outre, le projet de règlement européen du 25 janvier 2012 sur la protection des données, exige que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. En ce sens, le Groupe de travail européen, encore dénommé le « G29 », précise que l’utilisation d’une finalité vague ou générale, telle que « l’amélioration des usages [ou] à des fins de marketing [ou] à des fins de sécurité informatique [ou] de recherche future (…) sans plus de détail ne répond pas habituellement aux critères de l’exigence spécifique ». [3]
La loi « Informatique et Libertés »
Dès lors que la notion de « Big data » appelle à des techniques d’analyse très sophistiquées, souvent, les données collectées initialement sont traitées plus tard pour des finalités ultérieures. Cette nouvelle opération doit être en parfaite harmonie avec le principe de compatibilité. A ce titre, la loi « Informatique et Libertés », ainsi que la directive européenne 95/46/CE du 24 octobre 1995, exigent que les données à caractère personnel collectées pour une ou plusieurs finalités « ne soient pas traitées ultérieurement de manière incompatible avec ces finalités ».
Quant au traitement et à la conservation des données à caractère personnel, la loi « Informatique et Libertés » prévoit l´obligation de mettre en œuvre un traitement de données de manière loyale et licite. Le responsable du traitement ne pourra conserver les données personnelles que pour la durée nécessaire aux finalités du traitement. Pendant cette période l´obligation de prendre toutes les précautions nécessaires pour assurer la sécurité des données personnelles traitées s´impose au responsable du traitement. Le projet de règlement européen du 25 janvier 2012 sur la protection de données ajoute aux obligations traditionnelles imposées par la loi « Informatique et Libertés » à la charge du responsable du traitement, l´obligation de mener une étude d´impact sur la protection des données et la vie privée en cas de risques spécifiques pour les droits et les libertés des personnes (e.g. la fraude, l´usurpation d´identité, la discrimination, des atteintes portées à la réputation, etc).
Conservation et transfert
Enfin, les avancées de la technologie sont telles aujourd’hui que les questions concernant le « Big Data » ne portent pas seulement sur la nature des données collectées, mais aussi le lieu où elles sont conservées et notamment le niveau de protection de ces données à l´étranger. En effet, le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles, constaté par la Commission européenne. La question s´est posée notamment à propos de la décision « Safe Harbor » constatant un niveau de protection adéquat des données personnelles transférées vers les États-Unis.
Or, dans une affaire récente, la Cour de justice de l´Union européenne a invalidé ce mécanisme en considérant que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner). Les entreprises qui transfèrent des données à caractère personnel vers les États-Unis devront se conformer à cette décision. Affaire à suivre, puisque la Commission européenne a annoncé le 2 février 2016 la conclusion d´un nouvel accord « EU-US Privacy Shield » avec les Etats-Unis, qui devra être analysé par le « G29 » afin d´en connaître précisément le contenu et la pertinence des nouvelles garanties. [4]
[1] Groupe de travail de l’article 29, Avis sur les réseaux sociaux en ligne, 12 juin 2014, voir <www.cnpd.public.lu/fr/publications/groupe-art29/wp163_fr.pdf>.
[2] V. http://www.cnil.fr/linstitution/actualite/article/article/operation-internet-sweep-day-une-premiere-mondiale-visant-a-apprecier-le-niveau-dinformat/
[3] Groupe de travail de l’article 29, Avis sur les réseaux sociaux en ligne, 12 juin 2014, voir www.cnpd.public.lu/fr/publications/groupe-art29/wp163_fr.pdf.
[4] Commission européenne, « La Commission européenne et les États-Unis s’accordent sur un nouveau cadre pour les transferts transatlantiques de données, le «bouclier vie privée UE-Etats-Unis », Communiqué de presse du 2 février 2016