Big Data et le droit :

Transcription

1 Big Data et le droit : Comment concilier le Big Data avec les règles de protection des données personnelles? CRIP - Mercredi 16 Octobre 2013 Yann PADOVA, avocat Baker & McKenzie SCP est membre de Baker & McKenzie International. Les membres de Baker & McKenzie International sont des cabinets d'avocats présents dans différents pays à travers le monde. Conformément à la terminologie usuelle utilisée par les sociétés de services professionnels, la référence à un "associé" désigne un associé de l'un de ces cabinets d'avocats et la référence à un "bureau" désigne un bureau de l'un de ces cabinets d'avocats Baker & McKenzie SCP

2 Sommaire Big Data : de quoi s agit-il? Big Data est-il compatible avec les règles de protection des données personnelles? Quelles pistes 2011 Baker & McKenzie 2

3 Big Data : de quoi s agit-il?

4 Big Data : de quoi s agit-il? Concept désignant l accroissement exponentiel des données disponibles et suceptibles de faire l objet d une utilisation et une analyse automatisées. La production massive des données est un phénomène qui découle des comportements humains (téléphonie, gélocalisation, navigation sur le net) mais aussi des machines ellesmêmes (M to M). Big Data se caractérise par quatre V : Volume (massif de données), Variété (de sources), Vélocité (puisssance de calcul), Valeur (selon le BCG valorisation à 440 milliards d'euros en 2020). Des applications pratiques séduisantes dans de nombreux domaines : santé (épidémiologie, médecine prédictive, traitements ciblés ), marketing (analyse des préférences, mesures de fréquentation, promotions personnalisées, publicitées ciblées), sécurité (PredPol), transports (gestion en temps réel du trafic, analyse des comportements à risque) etc. Une transformation profonde du rapport à l information : du déductif à l inductif : «Le but du modèle Big Data n est pas de comprendre le pourquoi mais uniquement le comment». 4

5 Big Data est-il compatible avec les règles de protection des données personnelles?

6 S agit-il de données personnelles? Rappel de la définition : «toute information relative à une personne physique identifiée, ou qui peut être identifiée, directement ou indirectement» (article 3 Loi «informatique et libertés») En Europe, cette notion a toujours été largement interprétée : «les données concernent une personne si elles ont trait à l'identité, aux caractéristiques ou au comportement d'une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée». (Avis G29 20 juin 2007). Aux Etats-Unis : la FTC dans son rapport de Mars 2012 (Protecting Consumer Privacy in an Era of Rapid Change) : «elle peut raisonnablement être liée à un consommateur, un ordinateur ou un équipement» La conséquence : Big Data échappera difficilement à l application de la règlementation des données personnelles, et ce même si il ne comporte que des identifiants d équipements, des données non structurées, voire même des données déidentifiées. 6

7 Big Data respecte-t-il le principe de finalité? Rappel du principe : Les données personnelles doivent être collectées pour des «finalités explicites, légitimes et spécifiques» (article 6 LIL) Elles ne doivent pas faire l objet d un traitement ultérieur qui soit incompatible avec ces finalités, Par essence les finalités pour lesquelles les données du Big Data seront utilisées ne sont pas connues au moment où elles sont collectées, Conséquences juridiques : violation du principe de finalité (risque pénal et administratif) 7

8 Big Data respecte-t-il l obligation de recueil du consentement des personnes? Rappel des règles applicables : «un traitement de données doit avoir reçu le consentement de la personne concernée» ou satisfaire, notamment, «à l exécution d une mission de service public ; à l exécution d un contrat ; ou à l intérêt légitime du responsable de traitement ou du destinataire des données, sous réserve de ne pas méconnaître l intérêt ou les droits et libertés fondamentaux de la personne concernée» (article 7 LIL). Un consentement (opt in) doit être «libre, spécifique, informé et non ambigü» doit presque toujours être requis pour des utilisations secondaires. A défaut, ces usages ne sont pas compatibles. (Avis G29 2 avril 2013 sur la limitation de finalité). En pratique: les projets de Big Data ne sont pas en mesure de recueillir un consentement éclairé puisque la finalité n est pas définie d une part et que, d autre part, la collecte des données, parfois indirecte, n est pas connue des personnes concernées. 8

9 Big Data respecte-t-il l obligation d information des personnes? Rappel du principe : Les personnes concernées doivent être informées : de l identité du responsable de traitement, de la finalité poursuivie, des destinataires des données, de ses droits et, le cas échéant, des transferts hors UE (article 32 LIL) Cette information devra assurer une transparence quant aux critères de décision à partir des données analysées. (Avis G29 2 avril 2013 sur la limitation de finalité), Le défaut d information ne permet pas aux personnes d exercer leurs droits et est donc considéré comme consituant une collecte «déloyale» au sens de la loi (Cour de Cassation et CNIL l affirment régulièrement). Des obligations difficiles à concilier avec le Big Data 9

10 Quid des droits des personnes? Rappel des droits des personnes concernées : Droit d opposition, d accès, et de mise à jour des profils issus des analyses du Big Data Un droit d accès direct aux données sous un format facilement accessible à l utilisateur et en assurant une portabilité des données est recommandé par le G29 afin de permettre de limiter les risques de déséquilibre entre les décisions du responsable de traitement et la personne concernée ainsi que les risques de décisions arbitraires ou discriminatoires. Le cas des décisions prises sur le fondement des traitements de données de Big Data Rappel du principe: interdiction de prendre une décision sur le seul fondement d un traitement automatisé de données (Article 10 de la LIL). En pratique : Risque d inefficacité et d impossibilité d exercice du droit d accès aux données traitées dans le cadre du Big Data, Risque quant aux décisions prises via les traitements de Big Data 10

11 Quid de la sécurité et des règles applicables aux transferts de données? Comment identifier correctement les rôles et respecter les règles applicables aux transferts de données? Le Big Data suppose pour son exploitation le recours à des prestataires tiers pouvant traiter les données a priori pour le compte de l entreprise, Ce prestataire tiers devrait en principe être qualifié de «sous-traitant», L entreprise peut être amenée à partager des données de Big Data auprès de tiers se trouvant dans des pays ne disposant d une protéquation adéquate. Difficultés pratiques : Dans le monde du Big Data, le prestataire peut avoir une totale autonomie sur le traitement des données et devenir ainsi responsable de traitement, La sécurisation juridique et logique des transferts de données peut être particulièrement complexe. 11

12 Quelques pistes

13 A la recherche de solutions et de bonnes pratiques (I) Anonymiser les données? Mais «l anonymat est devenu algorithmiquement impossible» (Arvind Narayanan University of Princeton). Responsabiliser les entreprises utilisant le Big Data par l auto-régulation? o Evaluation formelle de la politique de réutilisation des données accumulées, de l impact qu elles ont sur les personnes, o Assumer la responsabilité de ces utilisations secondaires : droits d accès, contrôle des croisements et exclusion de certains services par rapport aux données proposées Promouvoir les «codes de bonne conduite» et les faire «labelliser» par le Régulateur? Organiser un plus grand contrôle de ses données par la personne concernée? o Projet MyData ou MesInfos, o Rémunérer l usage des données? o Solution non accessible à tous. 13

14 A la recherche de solutions et de bonnes pratiques (II) Démontrer que l intérêt légitime du responsable de traitement ne méconnaît pas les droits et libertés fondamentaux de la personne concernée? Mener une évaluation des risques, du rapport coût/avantage du projet envisagé. Renforcer l information et la sécurité? Veiller à mettre à jour ou élargir les notices d information existantes ou futures afin de bien y intégrer les utilisations secondaires pour les analyses et activités relatives au Big Data, Renforcer les politiques et procédures encadrant la divulgation des données à des tiers, Sécuriser les flux transfrontières résultant de traitement Big Data. 14

15 Le cadre juridique Européen de demain va-t-il régler la question? Le projet de Règlement réaffirme l attachement de l UE aux principes fondamentaux de la protection des données : consentement, finalité, transparence, droits des personnes Mais il prévoit plusieurs instruments qui sont susceptibles d intéresser les acteurs du Big Data : l évaluation des risques soulevés par les traitements de données via l obligation des mener des «Privacy Impact Assessment», Veiller à ce que le Big Data soit anticipé dans les procédures visant à mettre en œuvre le Privacy By Design. Un amendement du rapporteur en faveur de la pseudonymisation constitue une ébauche de réponse juridique. 15

16 Merci de votre attention Yann Padova Senior Counsel Baker & McKenzie 1 rue Paul Baudry Paris, France Tel: +33 (0) Fax: +33 (0) yann.padova@bakermckenzie.com Baker & McKenzie 16