Stratégie

Big Data : la réglementation modifiée au niveau européen

Big Data : la réglementation modifiée au niveau européen

Le juridique doit être inclus dès le début des projets Big Data. Thierry Dor, avocat, donne la marche à suivre pour respecter la réglementation actuelle et celle en cours de finalisation au niveau européen qu'il s'agisse de collecte, traitement et conservation des données.

PublicitéBig Data est synonyme de Big Questions juridiques. Le juridique prend une nouvelle dimension avec l'arrivée du Big Data et de ses bases de données gigantesques.  Maître Thierry Dor (Photo), avocat associé spécialiste des nouvelles technologies au sein du cabinet Gide Loyrette Nouel, a livré la marche à suivre pour les DSI, les directeurs marketing et les analystes de données afin qu'ils déploient un projet Big Data en toute légalité. Il s'exprimait lors de l'évènement Big Data, organisé par l'ebg, le 14 décembre. 

Les textes de loi sont en cours d'évolution au niveau européen en matière de collecte, de traitement et de conservation des données. "Il faut absolument anticiper", conseille Thierry Dor.  Le projet de règlement va avoir un impact fort sur les activités de Big Data et devra être appliqué dès qu'il sera voté. 

Ce projet de règlement, « il convient de le lire, de le comprendre, de se l'approprier » dit-il. « Pour ceux qui ont l'habitude de cet exercice, il y a encore possibilité de vous adresser à vos parlementaires européens puisque les séances d'amendement sont encore devant nous » relève-t-il. 

Informer sur l'usage le plus large possible

Avec l'évolution des textes, il faudra « être très prudent et le plus large possible lorsque l'on informera sur la collecte des données et que l'on recueille un consentement » dit-il, ceci afin  « de ne pas se voir reprocher d'utiliser les données pour une finalité au delà de celle prévue à l'origine.  »

Et de citer en exemple, un père de famille de Minneapolis qui se plaignait que sa fille lycéenne reçoive des coupons pour l'achat de produits pour les nouveaux nés de la part du grand magasin Target.  Ce père a découvert par ce biais que sa fille était enceinte.

Les messages très ciblés ont été arrêtés ...



Les messages très ciblés ont été arrêtés

Target collectait des données sur les typologies des produits achetés, et avait mis en place une corrélation de données permettant d'identifier le fait qu'une femme est enceinte. Cela permettait de lui adresser une publicité ciblée et des coupons de réduction sur des produits de futurs achats. Suite à cette affaire, Target a arrêté d'adresser ces message très ciblés. Mais le magasin envoie toujours des coupons destinés aux produits sur les nouveaux nés en les mélangeant avec d'autres types de publicité.  

Autre recommandation de Thierry Dor : « regarder dans quelle mesure vous pouvez anonymiser, pseudonymiser les données.»  Il insiste : « c'est toujours plus facile de le faire avant qu'après. Lorsque c'est fait au moment de la collecte à la source cela peut être assez simple. Une fois que les données à caractère personnel ont été collectées, cela devient extrêmement compliqué de revenir en arrière. »

Publicité Tout au cours de son intervention de 15 minutes, Thierry Dor a décortiqué les phases clés de traitement des données durant lesquelles le juridique et le particulier ont leur mot à dire. Il a présenté les écarts entre la législation actuelle et celle qui en cours de préparation au niveau du parlement européen.

Collecter, traiter et conserver

Parlant du Big Data, il interroge : « lorsqu'on est juriste, face à une innovation, la principale question qu'on se pose, c'est : 'quel est le rapport du droit avec cette innovation? Est ce que le droit est de nature à favoriser cette innovation ou à la freiner? » Dans le cadre du Big Data, les questions centrales qui se posent sont celles de la collecte, du traitement et de la conservation des données.

Thierry Dor a analysé cette question sous deux angles de vue. Le premier angle concerne l'appropriation des données. Le second touche aux règles relatives au traitement des données à caractère personnel.  

Collecter des données sur les réseaux sociaux ...




Collecter des données sur les réseaux sociaux

Premier axe : « est ce que les données collectées sur diverses sources, à la volée, sur les réseaux sociaux, sont librement collectables ou font-elle l'objet d'une appropriation qui doive me rendre prudent sur la façon dont je les collecte? Quelle est ma capacité à utiliser des données qui sont disponibles ou accessibles? » interroge-t-il.

S'il s'agit de donnée individuelle, celle-ci n'est pas protégée en tant que telle. Une donnée individuelle entre dans un champ d'exploitation relativement  libre à partir du moment où elle a été divulguée, elle peut donc être librement utilisée, affirme le spécialiste.

En revanche, si l'on veut récupérer des données placées dans une base de données constituée, ce n'est plus possible. Lorsqu'un effort financier a été fait pour collecter des données individuelles et les placer dans une base de données, le droit protège cet investissement. Il s'agit d'un droit « Sui Generis » lié au code de la propriété intellectuelle. L'extraction et la reproduction substantielle des données de cette base sera donc assimilé à de la contrefaçon.

Tenir compte des conditions générales du site Web

Autre cas de collecte, si l'on veut récupérer des données sur des sites Internet ou des réseaux sociaux. Leurs conditions générales d'utilisation régissent les interactions entre les tiers et ces sites Web. Il peut exister des restrictions quant à l'utilisation des données dans les conditions générales des sites. « Donc il vous appartient d'être prudent dans la collecte de données. Il faut s'assurer que cette collecte est licite au regard des conditions générales d'utilisation du site » insiste Thierry Dor.

Il reste les données publiques, issues des administrations ou des collectivités par exemple, aujourd'hui, une grande partie des bases de données publiques sont en train de passer en Open Data. C'est un changement. Un site (http://www.data.gouv.fr/) a ainsi été créé sur lequel on trouve l'ensemble des bases de données publiques qui sont disponibles pour des réutilisations. Ces données peuvent enrichir les corrélations en matière de Big Data.

Les données météo, trafic ou d'environnement ne sont pas personnelles ...



Les données météo, trafic ou d'environnement ne sont pas personnelles

Second axe : quelles sont les règles relatives au traitement des données à caractères personnel ?  « Ces règles ne s'appliquent qu'aux données qui permettent d'identifier directement ou indirectement un individu » précise Thierry Dor.

Tous les projets Big Data qui utilisent des données qui ne sont pas personnelles ou qui sont immédiatement anonymisées ne sont alors pas concernés. On pourra citer en tant qu'applications de données qui ne sont pas à caractère personnel celles qui sont utilisées pour la  météorologie, l'environnement, le trafic routier, ...et pour les données à caractère personnel et immédiatement anonymisées, un bon exemple est l'application du suivi de la grippe mise en oeuvre par Google.

«  Il s'agit d'un site sur lequel sont réalisés des suivis d'épidémie de grippe à partir de données qui sont immédiatement anonymisées dès leur collecte. Il n'y a donc pas de problème au regard de la protection des données  à caractère personnel » décrit l'avocat. Il souligne que la question serait totalement différente si Google gardait ces données en considérant que les individus qui ont consulté le site pourraient être malades et grippés.

Les données de santé protégées

Il faut attirer l'attention sur le fait que la donnée relative à la santé dans la réglementation française et  européenne est une donnée sensible qui fait l'objet d un certain nombre de protections particulières.

Si l'on revient aux usages principaux du Big Data, il s'agit principalement d'applications de marketing, et la plupart d'entre elles utilisent des données à caractère personnel. Trois sujets doivent être résolus en matière de protection des données à caractère personnel avant de se lancer dans une démarche Big Data de ce type.

La finalité des données du Big Data difficile à définir au départ ...



La finalité des données du Big Data difficile à définir au départ

Le premier sujet concerne la collecte des données à proprement parlé et les modalités de la collecte vis à vis de l'individu. Les deux principales modalités sont celles de l'information et du consentement. Le deuxième sujet concerne les conditions du traitement et  la finalité des données.

Quand on collecte une donnée,  c'est dans une finalité bien précise. Or, c'est parfois compliqué de dire laquelle en matière de Big Data où il y a beaucoup d'expérimentations. « On va tenter beaucoup de choses,  donc on n'est pas toujours certain dès le départ de la direction vers laquelle on se dirige » relève Thierry Dor. Troisième et dernier sujet : la conservation des données.

Les dispositions de la loi de 1978 régissent la protection des données à caractère personnel en France. La loi a été modifiée à la suite d'une directive de 1995. « Un règlement est en cours de rédaction  et a vocation à remplacer cette directive » indique l'avocat. Ce projet de règlement dès qu'il sera voté par le parlement européen entrera en application immédiate dans l'enceinte des 27 pays de l'union européenne. Le projet de règlement a déjà été publié en janvier 2012, c'est à dire qu'il devrait bientôt être voté.

En ce qui concerne l'information et  le consentement des personnes lors de la collecte des données, la tendance de fond des réglementations est d'aller de plus en plus vers le consentement. Auparavant la simple information était suffisante avec la possibilité pour l'internaute de faire un « opt out », c'est à dire de s'opposer au traitement des données. « Aujourd'hui, on va de plus en plus vers de l''opt in' c'est à dire un consentement préalable »  indique Thierry Dor.

Les cookies font l'objet de l'opt-in

Il souligne que cette approche existe en matière de marketing électronique, qu'elle existe aussi en matière de collecte de données de géolocalisation. Elle existe désormais en matière de pose de cookies car depuis l'ordonnance de 2011, la majorité des cookies font désormais l'objet d'un « opt in ».

« Cette question du consentement est relativement présente dans le projet de règlement donc pour les données que vous collectez directement auprès d'individus soyez conscients que les règles classiques basées sur la simple information sont en train de tendre de plus en plus vers des règles qui imposent un consentement »  pointe l'avocat.

Ce consentement peut être recueilli de manières diverses et variées et pas seulement par une case à cocher. La pose de cookies devient de plus en plus compliquée et pourtant la CNIL a pris une position assez souple sur le sujet des cookies par rapport à ses  homologues européennes.

Informer de la finalité de l'usage des données ...



Informer de la finalité de l'usage des données

En ce qui concerne la finalité et la proportionnalité des données collectées, on opère dans le cadre d'une certaine finalité qui doit faire l'objet d'une information de la personne concernée. Or, les projets, la vie de l'entreprise, les nouvelles technologies permettent  de traiter ces données dans d'autres perspectives et pour d'autres finalités. 

« C'est un principe qui n'est pas compatible aujourd'hui avec les règles du juridique qui veulent que, à une donnée collectée correspond une information de l'individu et qu'on ne puisse pas changer librement les finalités pendant le traitement » avertit Thierry Dor.

L'avocat conseille d'être très prudent et le plus large possible lorsque l'on informe sur la collecte des données et lorsqu'on recueille un consentement afin de ne pas se voir reprocher par la suite d'utiliser les données pour une finalité au delà de celle prévue à l'origine.

Côté conservation des données, le principe est que les données ne doivent pas être conservées au delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées. Or, « c'est très difficile, lorsqu'on collecte beaucoup de données, de les effacer et surtout de les effacer de manière sélective. Cet élément va être de plus en plus important dans le futur » pense Thierry Dor.

Informer de la durée de conservation des données personnelles

Comment agir ? Aujourd'hui l'information sur la durée de conservation n'existe pas dans la loi. Mais  « dans le futur règlement,  vous devrez lorsque vous informez des individus de la collecte de leurs données, les informer aussi de la durée prévue sur la conservation de leurs données » avertit Thierry Dor.

Sans oublier, qu'il existe un droit à l'oubli,  c'est-à-dire la capacité sur internet d'effacer ses traces et de se faire oublier.  « On en a beaucoup parlé, il y a eu beaucoup de jurisprudences dans laquelle Google s'est fait condamner et ce point est de plus en plus important à surveiller » conclut Thierry Dor. 

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Disposez-vous d’un cadre de sécurité unifié pour tous vos environnements IT, qu’ils soient dans le cloud ou sur site ?