Protection des données personnelles et Big Data : inconciliables, vraiment ?
Publié par La rédaction le | Mis à jour le
Pour l'industrie, la législation sur les données personnelles est le pire ennemi des projets de Big Data. Mais un projet de règlement européen devrait aplanir ces difficultés, détaille l'avocat François Coupez.
Si l'on demande au Big Data quel est son pire ennemi, la réponse fuse (en tout cas par la voix quasi unanime des acteurs de la filière) : le droit, et en particulier celui protégeant les données à caractère personnel. La question se pose donc : au-delà de toutes les marques d'intérêts que lui porte l'État qui en a fait, avec le Cloud computing, le thème du 4ème appel à projets dans le cadre des investissements d'avenir, le Big Data est-il soluble dans la protection des données à caractère personnel ? Pire, s'il est inconciliable avec la loi existante, le sera-t-il également avec le projet de règlement européen qui unifiera en 2017 ou 2018 le droit de tous les pays de l'Union européenne en la matière ?
Pour le grand public, à tort ou à raison, une définition du Big Data tournant autour de la règle des « 3v » s'est dégagée. en ajoutant, pour des raisons marketing, parfois un ou plusieurs « v ». Le Big Data (défini ici et ici) est ainsi caractérisé par le Volume des informations qui peuvent être traitées, la Vélocité de l'analyse de ces données parfois en temps quasi-réel, la Variété du type de données traité (structurées et non structurées telles que celles de tout type issues des contenus des réseaux sociaux) ou encore le fait que la Véracité de ces données ne soit pas forcément assurée.
Si l'on peut discuter de l'intérêt de cette discussion à l'instar de Marc Chemin, coordinateur du plan Big Data de la Nouvelle France Industrielle lancé par le gouvernement, cette règle a un intérêt pour le juriste et en particulier ce dernier « v » (véracité), qui est aussi intrinsèquement le plus intéressant à analyser et nous révèle une partie de la problématique juridique : pourquoi une donnée dont on n'est pas certain de la validité peut être traitée avec parfois autant d'intérêt qu'une donnée véridique ? En raison de l'effet induit des traitements Big Data. En effet, avec des traitements de type datamining, la valeur d'une ou plusieurs données était mise en avant, comme si l'on utilisait un microscope. À l'inverse, avec le Big Data, c'est le sens caché de l'ensemble des « signaux faibles » qui se révèle, soit une utilisation similaire à celle d'un télescope. L'erreur de représentation de portions même importantes du tableau importe moins que la vision de l'ensemble de la toile du peintre, ou de la physionomie d'une planète. Bien évidemment, des données enrichies, fiabilisées ne donneront que plus de valeur et de précision à l'ensemble. En réalité, si les données sont l'or noir actuel, alors le Big Data est le moyen de le raffiner.
Apercevoir l'avenir. ou de nouveaux horizons ?
Non seulement le Big Data révèle souvent un sens caché à ce qui apparemment n'en a pas, mais il permet surtout, à côté de cette vision des tendances, d'en discerner les évolutions et donc in fine d'entrevoir l'avenir. Les projets de traitements Big Data concernant les zones où des actes délinquants sont susceptibles de se produire se multiplient ainsi depuis quelques années, IBM parmi d'autres acteurs proposent ainsi des solutions d'analyses prédictives permettant d'effectuer « le suivi des actes criminels, pour prévoir la probabilité des incidents et délits, pour déployer efficacement des effectifs sur le terrain et pour résoudre plus rapidement les affaires ». Analysant aussi bien les faits passés que les actualités via des traitements Big Data, les travaux du Dr. Kira Radinksy ont, quant à eux, permis la prédiction d'épidémie (épidémie de Choléra de Cuba en 2012) et s'appliquent maintenant au monde des affaires. Pour le moment, de son aveu même, son algorithme ne se vérifie 'qu'à' 70%, voire 90%.
De plus, avec le Big Data, les data scientists se sont rendus compte qu'ils trouvaient. ce qu'il ne cherchaient pas. C'est la 'sérendipité', un autre apport fondamental des traitements Big Data. L'analyse de quantités astronomiques de données permet ainsi de faire ressortir des applications ou des solutions qui n'étaient pas anticipées à l'origine par ceux qui avaient initié le traitement.
Enfin, le télescope qu'est le traitement Big Data, donnant un sens à un ensemble de données qui n'en ont pas, va jusqu'à permettre d'identifier des personnes à partir du traitement d'informations qui avaient été spécifiquement rendues anonymes. Là aussi les exemples sont nombreux, notamment dans les cas d'analyse de données de paiement.
Données personnelles : une opposition absolue ?
Si l'on résume les apports possibles du Big Data exposés ci-dessus :
- on trouve des informations et corrélations que l'on ne cherchait pas a priori ;
- on identifie à partir de données que l'on avait pourtant fait exprès de rendre non identifiantes ;
- Les données traitées peuvent être erronées, cela n'altère pas forcément la qualité générale du traitement (voire cela peut l'enrichir, dans certains cas) ;
- on entrevoit l'avenir.
Or, les principes qui fondent notre régime légal de protection des données à caractère personnel rentrent en confrontation directe avec ces éléments :
- les données personnelles doivent être collectées pour une ou plusieurs finalités préalablement déterminée(s) (et uniquement celle(s)-ci). Ces finalités sont déterminées, explicites et légitimes, les données ne pouvant pas être « traitées ultérieurement de manière incompatible avec ces finalités » (article 2 de la loi du 6 janvier 1978) ;
- Certes, la réglementation ne s'applique pas à des données personnelles qui ont été irrémédiablement anonymisées telles que les données statistiques. Mais si celles-ci redeviennent malgré tout identifiantes, la réglementation s'impose, et notamment l'information préalable des personnes dont les données sont collectées, voire leur consentement dans certains cas ;
- les données doivent être « exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées » ;
- un traitement permettant de prendre des décisions sur un éventuel comportement futur pourrait rentrer en contradiction avec le fait que, sauf exception, « aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité » (art. 10 al. 2 de la loi du 6 janvier 1978) ;
- Notre régime légal actuel est largement fondé sur le principe de formalités préalables à accomplir guidant le cadre exact du traitement effectué.
La messe est-elle dite pour le Big Data ? Le croire serait négliger un apport important du règlement européen sur la protection des données personnelles actuellement en discussion au niveau européen destiné à remplacer les lois locales existantes : celui-ci opère une révolution copernicienne en remplaçant le principe de formalités préalables par l'exigence de conformité du traitement aux règles posées.
De la formalité à la conformité : et tout est (si) différent
De façon très synthétique, le texte tel que discuté actuellement conduit au renforcement des droits des personnes dont les données sont traitées (droit à l'oubli, consentement renforcé, etc.) ou encore à la détermination claire des responsabilités de chacun (en renforçant celle des prestataires notamment). S'il ne remet pas en cause le principe de finalité, pierre angulaire de la protection des données à caractère personnel, il tend à moins l'enfermer dans des formalités figées pour, au contraire, prendre en compte l'évolution et la fluctuation des traitements, en promouvant le 'privacy by design', les analyses d'impact en plus des analyses de sécurité et en dressant haut la bannière de 'l'accountability', soit l'établissement de mesures appropriées afin de garantir et de démontrer la bonne application des règles. En imposant, en pratique, la traçabilité de la donnée personnelle à toutes les étapes et sous toutes ses formes, de sa vie à sa destruction, sa disparition ou plutôt son oubli, le règlement transforme la formalité préalable en obligation systématique de conformité.
Et si l'argument de « l'allègement » des contraintes administratives n'est que poudre aux yeux pour les entreprises (la conformité étant bien plus chronophage in fine), l'adaptation possible aux contraintes du Big Data, dans une certaine mesure, est par contre un argument plus sérieux. Ainsi, en dissociant le moment et l'objet de la collecte des informations de ceux qui gouverneront son utilisation, le Big Data ne peut que bénéficier d'un régime où la formalité préalable disparaît. Ceux qui mettront en oeuvre de tels traitements n'auront plus qu'à, eux aussi, se conformer en tout point aux règles alors même que leurs finalités évoluent dans le temps. En mettant en oeuvre des solutions d'information des personnes, d'effacement, de ré-anonymisation des données ou de traitement des profils s'adaptant à chaque étape de cette évolution de la finalité, alors le Big Data intégrera la protection des données personnelles dans ses pratiques quotidiennes. Certes, il serait plus simple de ne rien faire. Mais au moins le respect de ces règles et le suivi par l'accountability rend imaginable la conciliation entre Big Data et protection des données personnelles.
D'autant plus que l'accroissement du volume des données traitées va de pair avec un risque exponentiel de piratage de ces données. Assurer leur sécurité - et donc la parfaite traçabilité des traitements nécessaires - est nécessaire. D'où le renforcement des exigences dans le domaine (obligation de notification des violations de sécurité, etc.) et, de façon plus globale, le renforcement des sanctions en cas de manquement aux règles prévues dans le règlement (on parle notamment d'une pénalité financière allant jusqu'à 5% du CA annuel mondial de l'entité concernée).
Pour citer la présidente de la CNIL, Isabelle Falque-Pierrotin : « la question que pose le Big Data n'est donc pas de changer nos principes, mais de travailler sur de nouveaux outils d'encadrement qui donneront d'ailleurs aux entreprises un avantage concurrentiel ». Axelle Lemaire, dans son discours au salon Big Data 2015, ne mentionnait rien d'autre d'ailleurs lorsqu'elle faisait référence à la construction de la confiance « sur les principes de proportionnalité et de maîtrise des données ». Et ce n'est pas le projet de loi français sur le numérique, intégrant des dispositions sur les règles Informatique et libertés, qui devrait faire bouger les lignes : rappelons que ces dispositions seront pour la très grande part « à obsolescence programmée », le règlement européen précédemment cité étant prévu pour annuler et remplacer les règles des pays de l'Union européenne deux ans après son adoption (prévue pour fin 2015 ou début 2016).
Big Data : vers l'ultime frontière ?
En réalité, le vrai risque que soulèvent les traitements de ce type en matière de données personnelles a déjà été identifié de longue date par le droit : que le seul traitement algorithmique impose automatiquement à un individu une décision ayant des effets juridiques (perte de droit, sanction pénale, etc.), par exemple au prétexte que l'avenir peut être précisément prévu. Tant qu'un humain pourra bénéficier de l'aide apportée par le traitement réalisé, et au besoin le corriger en prenant de toute façon la décision finale, le traitement pourra rester conforme au droit. Ce ne sera plus le cas si l'on en vient à se fonder uniquement sur une décision d'origine algorithmique, en écartant toute intervention humaine considérée comme source d'erreur potentielle. Il est vrai qu'à ce stade, la problématique deviendra beaucoup plus générale que simplement juridique, comme l'estiment Elon Musk, Bill Gates ou encore Stephen Hawking.
Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies
A lire aussi : les précédentes tribunes de François Coupez
Administrateurs des SI : pourquoi une charte spécifique s'impose
Encadrement juridique du Cloud : peut-on éviter l'orage ?
Hacker les hackers : la « légitime défense numérique » existe-t-elle ?