ATOS BIG DATA vs Protection des données? And the winner is. Données personnelles: les impacts du futur règlement Colloque AFDIT / Cabinet Alain Bensoussan Emmanuelle Bartoli, Chief Legal Counsel Data Privacy and Security Document confidentiel Ne pas diffuser sans autorisation 1
Ce que l on sait du Big data Big Data, un terme marketing pour exprimer un volume massif de données La théorie des 3 V: Volume de données Vélocité de création et de collection de données Variété des données collectées. 2,5 trillions d octets de données par jour Sur la quantité de données existantes aujourd hui, 90% ont été créées en 2 ans Big data est une priorité pour 65% des professionnels de l IT Prévisions 2020: 10.4 zettaoctets/ mois D ici à 2015, le Big Data devrait générer 16,9 milliards de dollars 2
Le Big Data pour quoi faire? Les Data : «le nouveau pétrole des années 2010» issu de «gisements d information» Big: une masse impressionnante de données sont collectées via TOUS les médias et à TOUT moment et en TOUTE occasion Faire parler les données sur les individus ou sur des populations nécessité de structuration de la masse d information Mieux comprendre les clients, les patients, les utilisateurs Développer un meilleur écosystème opérationnel et informationnel permettant des prises de décisions plus rapides et plus précises 3
En quelques mots. Structuration des bases Base de de données données non structurée great opportunity risks faire du sûr-mesure 4
Un challenge ou une opportunité? Les challenges deviennent des opportunités La quantité des données La variété des données L interconnexion entre les données L utilisation des données pour de nouvelles finalités Les craintes des consommateurs Expansion du Cloud Classification accrue des données Valorisation des données Innovation Des produits et services plus performants Harper Reed, Directeur de Campagne de B. Obama en 2012 «Le problème avec le Big Data, c est le «big» (...). Cet aspect est déjà résolu. Nous avons traité le big et devrions nous préoccuper de la donnée. Alors pourquoi ne pas seulement dire data.» 5
Les grands principes de la protection des données confrontés au Big data (1/2) Comment respecter ce principe lorsqu il y a des données d origines multiples faisant l objet de «retraitements» massifs? Comment garantir l exactitude des données dans le temps et dans la masse? FINALITE LEGITIME SPECIFIQUE & EXPLICITE EXACTITUDE DUREE DE RETENTION INFORMATION DES PERSONNES Comment déterminer la durée de rétention raisonnable à une donnée dont la finalité de traitement a été changée plusieurs fois? Comment assurer une information efficace lorsque les finalités de traitements sont infinies? 6
Limitation de la finalité vs Big Data En 2013, le G29 a rendu un avis intitulé «Limitation de finalités» dans lequel est abordé largement la question du Big Data. Définition des finalités ultérieures: tout ce qui vient après la collecte des données Le choix de la double négation: interdiction d une finalité incompatible avec la finalité initiale flexibilité insécurité juridique Lorsque la compatibilité n est pas évidente rechercher une connexion Proposition d un faisceau d indices par le G29: proximité de la finalité initiale et de la nouvelle finalité envisagée contexte de la collecte initiale et ce qu un usager normal peut envisager nature des données et impact sur l individu garanties mises en œuvre par le responsable de traitement (anonymisation ou pseudonymisation) 7
Le projet de règlement frein ou accélérateur de Big Data? Proposition de Règlement Avantages Inconvénients Consentement renforcé Droits des personnes concernées renforcés meilleure information Quel niveau d information sera-ton en mesure de donner? Risque de notice d information trop longue et incompréhensible. Responsabilité accrue des sous-traitants Meilleure répartition des responsabilités toute la responsabilité ne pèse plus seulement sur les responsables de traitements Dans le Big data, toutes les parties prenantes pourraient être responsables de traitement. Minimisation des données Pour les personnes concernées: limitation de la dissémination des informations Pour les entreprises: exercice d optimisation des traitements Antinomique avec Big Data et avec ce qui existe déjà Comment définir ce qui est excessif ou pas? 8
Le projet de règlement frein ou accélérateur de Big Data? Règlement Avantages Inconvénients Droit à l oubli Etude d impact sur la vie privée Mise en place d une politique de nettoyage des bases. Les personnes disposent d un droit d avoir leurs données effacées. La protection des données est inscrite dans l ADN des traitements réalisés pour le Big data. Les entreprises s assurent de leur conformité. En pratique, comment faire lorsque les données sont disséminées sur de multiples bases de données? N/A Transferts de données Fluidité des transferts et sécurité accrue grâce à l approche «politique groupe». Pour les personnes concernées il sera plus difficile de localiser et tracer leurs données si leurs transferts est plus difficiles. 9
Sécuriser le Big Data Le Big Data casse les frontières des systèmes or sans frontières, il est difficile d établir une politique de sécurité et encore plus d en assurer une application effective. La donnée aura une valeur différente en fonction du moment auquel elle sera traité besoin de sécurité différent en fonction de la valeur de la donnée. Les accès aux bases de données sont démultipliés nécessité d une politique forte de contrôle d accès aux bases de données. Authentification forte et Traçabilité des accès En challengeant les professionnels de la données, le Big Data constitue une véritable opportunité pour nos entreprises d exploiter l Or noir que sont les données personnelles. 10
Organiser une gouvernance des données Mobilisation de plusieurs fonctions: HR, IT, Business Harmonisation des traitements de l information entre les différentes entités d un groupe (particulièrement challengeant dans les groupes internationaux ou encore lors de fusion acquisition) Gestion et contrôle de l origine des données pour garantir une bonne qualité, et ainsi valoriser les données Détermination d une grille d analyse de la valeur des données permettant une classification en fonction de la nature des données. Comme pour la traçabilité des aliments, la traçabilité des données apparaît nécessaire pour garantir le respect des principes de protection des données. 11
Conclusion et interaction avec la salle And the winner is? 12
CONTACT MERCI pour votre attention! Emmanuelle BARTOLI ATOS Chief Legal Counsel Data Privacy and Security e.bartoli@atos.net +33 6 22 49 76 17 13