Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Transcription

1 ALTANA CABINET D AVOCATS Le BIG DATA Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN logo Document confidentiel Ne pas diffuser sans autorisation 1 1

2 Introduction Sources du Big Data Développement des outils de traitement des données à grandes échelle BIG DATA Enjeux: économique Pétrole du XXIème siècle ; la ministre en charge de l économie numérique, Fleur Pellerin, a confié en janvier 2013 à l AFDEL la mission de conduire une réflexion sur la structuration d une filière Big Data en France Big Data Launchpad, piloté par Bertrand Diard, CEO de Talend, Administrateur et président de la Commission Big Data de l AFDEL. La commission a pour mission d analyser et de promouvoir le marché des Big Data en France, auprès des membres de l AFDEL, des vecteurs d opinion, et des pouvoirs publics l AFDEL préconise la création d'un fonds de 300 millions d'euros pour l une des technologies clefs du numérique. 2

3 Qu estce que le BIG DATA? les 4V du BIG DATA Définition du terme Big Data Traduction : grosses données ou données massives Expression qui désigne la croissance exponentielle du volume des données disponibles sous forme numérique dans les entreprises et surtout sur internet. Exemple : achat en ligne, contenu de livres, conversations en ligne, informations sur les profils des réseaux sociaux, vidéos en ligne, ou encore des flux de sites d'actualités, etc. Le Big Data permet de traiter, d'exploiter et d'analyser intelligemment en tempsréel de larges flots continus de données, qui n étaient pas exploitées jusqu'à présent. 3

4 Quelles données? Quelle qualification? Les données pouvant composer les BIG DATA sont issues de différents sources : Des données privées : des données à caractère personnel récoltées ou non en ligne Des données privées : relevant du patrimoine informationnel des entreprises Des données publiques : open data Les différentes origines des données amènent : à une qualification ou un régime juridique différent de la donnée initiale, à une interrogation sur le régime de la donnée retraitée dans le cadre du Big Data : quel régime pour la donnée initiale et celle issue d un retraitement dans le cadre d une exploitation d un Big Data? à de possibles difficultés de mettre en œuvre des Big Data : création d un ensemble de donnée «secondes» retraitées sur la base de données «brutes» Modification d un traitement de données initial déclaré amenant à procéder à des interconnexions de fichiers La notion de traitement de données à caractère personnel s étend : le croisement de plusieurs données à caractère personnel collectées peut aboutir à la mise en œuvre d un traitement dit sensible de manière indirecte La nature de la donnée à caractère personnel entre en conflit avec la notion de propriété et de «marchandisation» La conception de la vie privée en droit français place sa protection sur le terrain de la dignité humaine. Or comment céder une donnée qui est aussi un attribut de la personnalité? ( Rapport d information du Sénat du 27 mai 2009 relatif au respect de la vie privée à l heure des mémoires numériques). 4

5 La question de la propriété des données La titularité des droits sur les données Données privées/personnelles : ne peuvent pas faire l objet, librement, d une appropriation par un tiers. Attribut de la personnalité de la personnalité bien légal et spécial lié à l existence de la personne humaine bien informationnel Typologie des régimes juridiques permettant de protéger les données : le droit pénal responsabilité civile : concurrence déloyale ou parasitisme, la contrefaçon de droit de propriété intellectuelle, la protection de la vie privée, loi Informatique et Liberté. Données publiques (open data) : leur usage est régi par la loi CADA du 17 juillet 1978 modifiée par une ordonnance de 2005 et par la circulaire Etalab qui a conçu la licence ouverte, libre et gratuite qui autorise expressément la réutilisation des données publiques et leur exploitation commerciale. Ex : le site qui permet de comparer les prix des carburants en France. 5

6 La question de la propriété des données La protection des bases de données : Définition : recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. (Art. L du C.P.I.) Double protection cumulative : Droit d auteur : exigence d'originalité (approche objective retenue) distinction de la simple compilation des données dans une base, non protégeable au titre des droits d'auteur l'auteur d'une base de données peut seulement s'opposer à la reprise de la structure et l organisation de sa base Droit sui generis : directive du 11 mars 1996 sur les base de données transposée en France par loi du 1 juillet 1998 droit du producteur de la base contre une extraction ou une réutilisation de la totalité ou d une partie qualitativement ou quantitativement substantielle du contenu de sa base. Condition : preuve de l'investissement qui a été déployé pour réaliser la base (matériel, financier ou humain). Durée : 15 ans après le 1er janvier de l'année civile qui suit celle de l'achèvement de la base de données. Distinction entre propriété et titularité Le traitement des données : enjeux du Big Data liés à la recherche de la qualité des données Traitement des données (du flow de données brutes à la bases de données retraitées à valeur ajoutée) Collecte, traitement, rationalisation, et structuration des données Nettoyage et correspondance entre les données (dédoublonnage, déduplication des données, etc.) Mise à jour et enrichissement des bases de données Ecosystème complet (technique et juridique) permettant de garantir et de valoriser la qualité des données 6

7 La protection des données personnelles En France : loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 régie le traitement de données à caractère personnel en France institue la CNIL pose les grands principes s appliquant à l informatique et aux fichiers afin de veiller à ce qu ils soient au service du citoyen et ne portent atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques : Le principe de finalité (usage déterminé et légitime) Le principe de proportionnalité et de pertinence des données (informations pertinentes et nécessaires) Le principe d une durée limitée de conservation des données Le principe de sécurité et de confidentialité des données (obligation de sécurité) Le principe du respect des droits des personnes (droit d accès et de rectification, droit d opposition) Respect des obligations en amont de déclaration préalable auprès de la CNIL (voire d autorisation) Respect des obligations d informations et de consentement des intéressés au traitement de données à caractère personnels : système de l optin Le traitement des données : risques du Big Data liés à la recherche de la qualité des données Interconnexion : mise en relation automatisée d informations provenant de fichiers ou de traitements qui étaient au préalable distincts. Nécessité d une autorisation de la CNIL 4 Critères: Mise en relation de fichiers ou de traitements de données à caractère personnel Mise en relation concerne au moins deux fichiers ou traitements distincts Processus automatisé ayant pour objet de mettre en relation des informations issues de ces fichiers ou de ces traitements Fichiers interconnectés issus de traitements ayant des finalités différentes A distinguer de la notion de rapprochement (pas nécessairement automatisé et pas nécessairement plusieurs fichiers) 7

8 La protection des données personnelles En Europe : directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 Proposition européenne de Règlement sur la protection des données personnelles et leur libre circulation du 25 janvier 2012 visant à réformer la directive n 95/46/CE et a renforcer les obligations en matière de données personnelles : consacre explicitement un droit à l oubli numérique (article 17) permettant la suppression de données en ligne, sous réserve qu aucun motif légitime ne justifie leur conservation ; v v v Ce principe est potentiellement de nature à remettre en cause les objectifs attendus du Big Data visant à créer de nouvelles bases de données issues de données premières. Le droit à l oubli viendrait remettre en cause le droit d exploiter une donnée initiale et donc la donnée dérivée issue d un traitement Big Data Un tel principe impliquera dès lors d autant plus une traçabilité des données secondes issues d un traitement Big Data consacre un principe d «Accountability» (ou «rendre compte» / «responsabilisation») politique de Privacy by Design : conformité à la réglementation des données personnelles dès la conception de la technologie (article 23) ; politique de Security by design : conformité à la réglementation des données personnelles au niveau de la l'infrastructure sécuritaire du réseau v Les outils permettant le traitement de Big Data et la création de données secondes issues des données initiales ne devront donc pas permettre de croiser des données ou générer des traitements qui seraient contraires à la réglementation des données à caractère personnel. v Double contrôle : Contrôle a priori : dès la conception du traitement des données Contrôle a posteriori : dans les conditions de traitement des données (capacité à auditer et à contrôler le processus de traitement des données ) mise en place d un Data Protection Officer (ancien Correspondant Informatique et Libertés) au sein des entreprises de plus de 250 salariés. 8

9 Réglementations sectorielles et/ou spécifiques à certains types de données Le cas des données sensibles : origines sociales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, relatives à la santé ou à la vie sexuelle principe : interdiction de les collecter ou de les traiter (art. 8 loi Informatiques et Libertés) exceptions : consentement, intérêt public Le cas des données de biométrie : ensemble des techniques informatiques permettant d identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales: empreinte digitale, contour de la main, reconnaissance de l iris, de la voix, etc. soumis à l autorisation préalable de la CNIL (art. 25 loi "Informatique et libertés"). Le cas des données du secteur bancaire règlement n 9702 modifié du 21 février 1997 relatif au contrôle interne des établissement de crédit et des entreprises d investissement organise les obligations relatives à la protection du secret bancaire et à l accès aux données par les régulateurs bancaires français. Le cas des données de santé à caractère personnel : le stockage de ces données est réservé aux hébergeurs agréés par le Ministère de la santé qui répond juridiquement de la conformité de l opération globale d hébergement depuis la loi du 4 mars Le nonrespect de ces réglementations peut donner lieu à des sanctions pénales ou prononcées par des autorités administratives indépendantes (CNIL, AMF, etc.) La connaissance du cadre juridique des données s impose 9

10 Exigence de sécurité Problématique majeure : près de 90% des entreprises ont subi une atteinte à l intégrité de leurs données (source Ponemon Institute). Rappel des obligations du responsable de traitement (Loi «Informatique et Libertés») : Obligations de sécurité et de confidentialité Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (Article 34) Même en cas de soustraitance Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un soustraitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du soustraitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un soustraitant au sens de la présente loi ( ) (Article 35) Rappel des obligations de sécurité du réseau (Loi «Informatique et Libertés» et Loi HADOPI) : Obligation de mettre en place un moyen de sécurisation de l accès au réseau Constitue une négligence caractérisée le fait pour la personne titulaire d un accès doit de ne pas avoir mis en place un moyen de sécurisation de cet accès soit d avoir manqué de diligence dans la mise en œuvre de ce moyen mois) (R3355 du Code la Propriété Intellectuelle : amende de 750 euros et suspension de l accès pour une durée maximale de 1 Obligation de notification des failles de sécurité En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public doit notifier sans délai: la Cnil de l existence d une violation; les personnes concernées, lorsqu il y a un risque d atteinte à la vie privée ou d atteinte aux données à caractère personnel. (Article 34 bis de la loi «Informatique et Libertés» du 6 janvier 1978, modifiée par la loi du 6 août 2004) L article Code Pénal sanctionne le défaut de notification par 5 ans d'emprisonnement et de d'amende. 10

11 La localisation des données Le principe : les données doivent être localisées au sein de l UE Le cas des transferts de données q Hors UE Le principe : Pas de transfert si l État n assure pas un niveau de protection suffisant On parle de Pays équivalent, Pays adéquat, Pays non adéquat Les exceptions : l existence de clauses contractuelles ou de règles internes reconnues par la CNIL interprétation stricte des exceptions de l article 69 de la loi Informatique et Libertés (consentement exprès, exécution d un contrat, sauvegarde de la vie de la personne ) qvers un pays non reconnu comme adéquat Plusieurs possibilités s offrent à l entreprise : Les BCR (règles internes d entreprises) Les clauses contractuelles types Les systèmes régionaux (exemple du Safe harbor aux USA) La standardisation : les normes ISO 11

12 Modalités de contractualisation sur les BIG DATA Suivant la définition données du Big Data et les données le composant, les principes et modes de contractualisation applicables seront variables : Comment céder des Big Data dont on ne peut se considérer totalement propriétaire? Comment assurer une sécurité juridique des contrats conclus portant sur des Big Data dont le contenu est par définition mouvant (suppression de données demandées, rectification sollicitée, droit à l oubli ) Commet obtenir une garantie de fiabilité des données mises à disposition? Comment les auditer? Les classiques garanties d éviction sollicitées dans le cadre des contrats de concession verront leur objectifs revus : Il ne s agira plus de se garantir d une revendication d un tiers liée à un droit de propriété intellectuelle mais de celle d un tiers agissant sur le respect de son droit à l oubli Sur quel territoire les données pourront être exploitées? Les contrats conclus pourront il faire l objet de cession ou sous licence? Quels seront les droits initiaux existants relatifs aux Big data pour en assurer leur circularisation? Quels seront les modalités de mise à disposition et qui sera considéré comme devant assurer les obligations de sécurité liées à ces Big Data? 12

13 RECOMMANDATIONS Encadrer le Big Data par des contrats avec : les prestataires, les clients, les utilisateurs, les partenaires, etc. ; Analyser les contrats des prestataires sous deux aspects : les clauses relatives aux données et aux traitements (i) et les clauses relatives aux obligations et garanties des parties (ii) ; S interroger sur les données traitées : d'où viennent les données? quel est leur statut? qui peut accéder aux données (interne/ externe) et sur quels critères? quels traitements sont effectués? les données sontelles rendues anonymes, sontelles conservées, etc.? y atil des interconnexions de fichiers? ou sont localisées les données? Etablir au sein de l entreprise des règles encadrant le contrôle et l exploitation des données ; Mettre en place des outils de sécurité (protection contre les attaques externes et internes) ; Mettre en place des mesures de contrôle de la conformité des traitements, tels que des audits ; 13

14 CONTACT Claire BERNIER Avocat Associé ALTANA 45 rue de Tocqueville PARIS LD : Fax : cbernier@altanalaw.com Mathieu MARTIN Avocat Associé Cabinet BISMUTH LYON PARIS 63 avenue de Saxe BP Lyon Cedex 03 Tél. +33 (0) rue d Anjou Paris Tél. +33 (0) Fax +33 (0) mathieu.martin@bismuth.fr 14