Big Data: les enjeux juridiques J O S Q U I N L O U V I E R, A V O C A T S C P L E C L E R E & L O U V I E R J O U R N É E R N B «BIG D A T A» C L U S T R N U M E R I Q U E 2 8 / 0 4 / 2 0 1 5
INTRODUCTION Big Data : exploitation d une masse de données, de sources multiples, à des fins d analyse, de prédiction ou de ciblage commercial. constitution et valorisation d une base de données spécifiques Nombreuses problématiques juridiques, droit actuel semble en partie inadapté à ce nouveau business.
La légalité de l exploitation des données Big Data implique exploitation de nombreuses données, personnelles ou non. Confrontation du Big Data avec la loi Informatique et Libertés de 1978 (revue en 2004) Bases de données protégées par une loi spécifique. Obligations légales sont nombreuses, et a priori incompatibles avec le business model du Big Data. 50% des applications sur Iphone et 20% des principaux sites français ne respectent pas la loi.
La légalité de l exploitation des données Principaux risques juridiques pour le prestataire Big Data: La «propreté» des données, Les recours possibles des personnes concernées L utilisation de base de données tierces protégées.
La propreté des données Loi Info et Libertés s applique uniquement à la collecte, et l exploitation de données «à caractère personnel» Définition large de la loi: «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres.» Combinaison de données anonymisées peut aboutir à un traitement de données «à caractère personnel».
La propreté des données Collecte loyale et licite des données. Question de l information et du consentement de l utilisateur, générateur des données personnelles Donnée disponible donnée librement exploitable! Obligation d information de l utilisateur du service Sanctions de la CNIL: Pages Jaunes, Direct Annonces, Google (déc. 2013) Recommandation: s assurer de l information préalable des personnes concernées, par le service qui fournit ces données, et contractualiser (garanties).
La propreté des données Responsable du traitement doit informer la personne concernée et la CNIL de la finalité du traitement. Finalité doit être explicite et clairement déterminée. Données ne peuvent être collectées et exploitées que pour cette finalité initiale: problème de la réutilisation des données d origine à des fins différentes.
L exploitation des données Autres points de vigilance: Durée de conservation des données Interconnexion des fichiers ayant des finalités différentes: nécessité d une autorisation préalable Droits de rectification et d opposition de la personne concernée Sécurisation des données L utilisation de bases de données tierces protégées par la loi spécifique sur les BDD
Focus: la protection spécifique des BDD Utilisation d une BDD tierce implique autorisation et/ou licence de son propriétaire Art. L.341-1 CPI: le producteur d une BDD «bénéficie d'une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain substantiel.» Loi interdit toute extraction ou réutilisation quantitativement ou qualitativement substantielle de la BDD.
Les risques pour les prestataires Sanctions de la CNIL: mises en demeure et avertissements publics, sanctions financières, retrait autorisations, verrouillage des données. Sanctions pénales pour les cas les plus graves (transmission dossiers au Parquet) Préjudice d image et commercial important en cas de publicité (pour le client et/ou le prestataire)
Recommandations Concilier Big Data et Loi Info et Libertés est délicat mais pas impossible mettre en place des mécanismes de suppression automatique des données «périmées» s assurer de la cohérence des finalités des fichiers croisés; sinon solliciter autorisation CNIL prévoir ou reproduire des mécanismes de mise à jour ou suppression des données en cas d utilisation de BDD tierces, prévoir les clauses contractuelles adéquates avec ses clients, et fournisseurs de données, quant à leur «propreté» (garanties, clauses de responsabilité).
Recommandations (suite) Réflexion quant au choix des données : données personnelles vs données anonymisées Anticiper les difficultés et faire preuve d imagination dans les démarches avec la CNIL; il existe des marges de manœuvre Négocier les licences nécessaires avec producteurs de BDD tierces Utiliser des données publiques (open data)
Focus: open data Open data: possibilité d exploitation commerciale des données publiques, sous licence ouverte et gratuite (sauf exception). Restriction préalable: obligation de mentionner la source des données, et la date de leur dernière mise à jour. Pas de garantie sur la qualité des données. Portail data.gouv.fr
Contact SCP LECLERE & LOUVIER Avocats 25, rue Pierre Sémard 38000 GRENOBLE 04.76.27.73.50 contact@leclerelouvier-avocats.com www.leclerelouvier-avocats.com