Big Data et le droit :



Documents pareils
Big Data: les enjeux juridiques

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Déclaration des droits sur Internet

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Big- Data: Les défis éthiques et juridiques. Copyright 2015 Digital&Ethics

Être plus proche, mais pas à n importe quel prix

COURRIER ELECTRONIQUE : LES REGLES DE L'OPT-IN

BIG DATA & PROTECTION DES DONNEES DANS LE DOMAINE DE LA SANTE

Délibération n du 27 septembre 2010

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Le Traitement des Données Personnelles au sein d une Association

«Marketing /site web et la protection des données à caractère personnel»

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

(Document adopté par la Commission le 19 janvier 2006)

P résentation. L ensemble des concepts et des outils de la Gestion des Ressources Humaines. La Gestion des Ressources Humaines (collection Les Zoom s)

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

L EVALUATION PROFESSIONNELLE

Le Big Data face au défi de la confiance

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Revue d actualité juridique de la sécurité du Système d information

SÉNAT PROPOSITION DE LOI

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Outil d autoévaluation LPRPDE. Loi sur la protection des renseignements personnels et les documents électroniques

1 von :59. Vie numérique Dimanche5 mai 2013

RAPPORT DE STAGE ET RÉSUMÉ

Déclaration du Capital naturel

Avis d'initiative relatif à la protection de la vie privée dans le cadre du commerce électronique.

ENQUÊTE SUR LE COMMERCE D'ESPÈCES SAUVAGES SUR L'INTERNET

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Webinar EBG Nouvelles perspectives d'exploitation des données clients avec le big data

COMMUNICATION POLITIQUE ObligationS légales

Nathalie Métallinos Avocat à la Cour d'appel de Paris

La légalité du marketing viral

Photos et Droit à l image

Réponse du Conseil d Etat à la question écrite urgente de M. François Lefort : Le Conseil d Etat a-t-il estimé l évasion fiscale à partir de Genève?

CODE PROFESSIONNEL. déontologie

Introduction à la publicité en ligne

DE LA R^PUBLIQUE FRAN AISE. Mandature Seance du 13 janvier 2015 LES DONNEES NUMERIQUES: UN ENJEU D'EDUCATION ET DE CITOYENNETE

La légalité du «marketing viral»

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Que faire des data? 04/06/2015

Politique de Sage en matière de protection de la vie privée sur le site

Mesurer pour progresser vers l égalité des chances GUIDE MÉTHODOLOGIQUE À L USAGE DES ACTEURS DE L EMPLOI

Recommandations sur le Cloud computing

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Contrôle interne Le nouveau cadre prudentiel

Utilisation des médias sociaux par les organes publics en conformité avec la protection

PÉRENNISER LA PERFORMANCE

Proposition de directive relative au timeshare 1

Restrictions et Libéralisation des I.D.E Au Maroc. Mr. Marwane MANSOURI

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

Président : M. Blin, conseiller le plus ancien faisant fonction., président REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS

PROTÉGER VOS BASES DE DONNÉES

Une stratégie efficace et pragmatique pour les

CC, Décision n QPC du 23 novembre 2012

Quelles assurances proposer? Focus sur le cloud computing

LA REFORME DU REGIME DES SÛRETES

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Ad-exchanges & RTB (avec la participation de Fabien Magalon, La place

Introduction Big Data

Conditions d achat. 2. Commandes et confirmations de commande. 3. Délais et dates de livraison. Pour l entreprise: Schunk Electrographite S.A.S.

Les seniors, une cible particulière? Tiphaine Garat Ingénieur d étude, UDS

POLITIQUE DE GESTION DES CONFLITS D INTERETS D EXANE

LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL AUX ÉTATS-UNIS : CONVERGENCES ET DIVERGENCES AVEC L APPROCHE EUROPÉENNE. Winston J.

GS Days Les journées francophones de la sécurité. 18 mars 2014, Paris

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

CEDH FRANGY c. FRANCE DU 1 ER FEVRIER 2005

EMDAY by Clic et Site #emday2014. Charte V2 du CPA : Fonctionnement et conséquences pour la collecte d adresses

Annexe 2 Les expressions du HCAAM sur la coordination des interventions des professionnels autour du patient

TRADUCTION EXTÉRIEURE NON RÉVISÉE

Résumé du projet de loi n 43 visant à modifier la Loi sur les mines

Open data : les données libérées doivent-elles être gratuites?

Éléments juridiques sur la carte d achat

La protection des personnes à l égard du traitement automatisé des données à caractère personnel dans le cadre du profilage

Garantir une meilleure prestation de services et une expérience utilisateur optimale

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

L application du règlement sur la reconnaissance mutuelle aux procédures d autorisation préalable

Directive cadre du groupe. Protection des données des clients et des partenaires.

Les pièges de la TVA intracommunautaire

Le Protocole de Nagoya sur l accès et le partage des avantages

Vision prospective et obstacles à surmonter pour les assureurs

Norme internationale d information financière 1 Première application des Normes internationales d information financière

Big Data? Big responsabilités! Paul-Olivier Gibert Digital Ethics

Transcription:

Big Data et le droit : Comment concilier le Big Data avec les règles de protection des données personnelles? CRIP - Mercredi 16 Octobre 2013 Yann PADOVA, avocat Baker & McKenzie SCP est membre de Baker & McKenzie International. Les membres de Baker & McKenzie International sont des cabinets d'avocats présents dans différents pays à travers le monde. Conformément à la terminologie usuelle utilisée par les sociétés de services professionnels, la référence à un "associé" désigne un associé de l'un de ces cabinets d'avocats et la référence à un "bureau" désigne un bureau de l'un de ces cabinets d'avocats. 2013 Baker & McKenzie SCP

Sommaire Big Data : de quoi s agit-il? Big Data est-il compatible avec les règles de protection des données personnelles? Quelles pistes 2011 Baker & McKenzie 2

Big Data : de quoi s agit-il?

Big Data : de quoi s agit-il? Concept désignant l accroissement exponentiel des données disponibles et suceptibles de faire l objet d une utilisation et une analyse automatisées. La production massive des données est un phénomène qui découle des comportements humains (téléphonie, gélocalisation, navigation sur le net) mais aussi des machines ellesmêmes (M to M). Big Data se caractérise par quatre V : Volume (massif de données), Variété (de sources), Vélocité (puisssance de calcul), Valeur (selon le BCG valorisation à 440 milliards d'euros en 2020). Des applications pratiques séduisantes dans de nombreux domaines : santé (épidémiologie, médecine prédictive, traitements ciblés ), marketing (analyse des préférences, mesures de fréquentation, promotions personnalisées, publicitées ciblées), sécurité (PredPol), transports (gestion en temps réel du trafic, analyse des comportements à risque) etc. Une transformation profonde du rapport à l information : du déductif à l inductif : «Le but du modèle Big Data n est pas de comprendre le pourquoi mais uniquement le comment». 4

Big Data est-il compatible avec les règles de protection des données personnelles?

S agit-il de données personnelles? Rappel de la définition : «toute information relative à une personne physique identifiée, ou qui peut être identifiée, directement ou indirectement» (article 3 Loi «informatique et libertés») En Europe, cette notion a toujours été largement interprétée : «les données concernent une personne si elles ont trait à l'identité, aux caractéristiques ou au comportement d'une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée». (Avis G29 20 juin 2007). Aux Etats-Unis : la FTC dans son rapport de Mars 2012 (Protecting Consumer Privacy in an Era of Rapid Change) : «elle peut raisonnablement être liée à un consommateur, un ordinateur ou un équipement» La conséquence : Big Data échappera difficilement à l application de la règlementation des données personnelles, et ce même si il ne comporte que des identifiants d équipements, des données non structurées, voire même des données déidentifiées. 6

Big Data respecte-t-il le principe de finalité? Rappel du principe : Les données personnelles doivent être collectées pour des «finalités explicites, légitimes et spécifiques» (article 6 LIL) Elles ne doivent pas faire l objet d un traitement ultérieur qui soit incompatible avec ces finalités, Par essence les finalités pour lesquelles les données du Big Data seront utilisées ne sont pas connues au moment où elles sont collectées, Conséquences juridiques : violation du principe de finalité (risque pénal et administratif) 7

Big Data respecte-t-il l obligation de recueil du consentement des personnes? Rappel des règles applicables : «un traitement de données doit avoir reçu le consentement de la personne concernée» ou satisfaire, notamment, «à l exécution d une mission de service public ; à l exécution d un contrat ; ou à l intérêt légitime du responsable de traitement ou du destinataire des données, sous réserve de ne pas méconnaître l intérêt ou les droits et libertés fondamentaux de la personne concernée» (article 7 LIL). Un consentement (opt in) doit être «libre, spécifique, informé et non ambigü» doit presque toujours être requis pour des utilisations secondaires. A défaut, ces usages ne sont pas compatibles. (Avis G29 2 avril 2013 sur la limitation de finalité). En pratique: les projets de Big Data ne sont pas en mesure de recueillir un consentement éclairé puisque la finalité n est pas définie d une part et que, d autre part, la collecte des données, parfois indirecte, n est pas connue des personnes concernées. 8

Big Data respecte-t-il l obligation d information des personnes? Rappel du principe : Les personnes concernées doivent être informées : de l identité du responsable de traitement, de la finalité poursuivie, des destinataires des données, de ses droits et, le cas échéant, des transferts hors UE (article 32 LIL) Cette information devra assurer une transparence quant aux critères de décision à partir des données analysées. (Avis G29 2 avril 2013 sur la limitation de finalité), Le défaut d information ne permet pas aux personnes d exercer leurs droits et est donc considéré comme consituant une collecte «déloyale» au sens de la loi (Cour de Cassation et CNIL l affirment régulièrement). Des obligations difficiles à concilier avec le Big Data 9

Quid des droits des personnes? Rappel des droits des personnes concernées : Droit d opposition, d accès, et de mise à jour des profils issus des analyses du Big Data Un droit d accès direct aux données sous un format facilement accessible à l utilisateur et en assurant une portabilité des données est recommandé par le G29 afin de permettre de limiter les risques de déséquilibre entre les décisions du responsable de traitement et la personne concernée ainsi que les risques de décisions arbitraires ou discriminatoires. Le cas des décisions prises sur le fondement des traitements de données de Big Data Rappel du principe: interdiction de prendre une décision sur le seul fondement d un traitement automatisé de données (Article 10 de la LIL). En pratique : Risque d inefficacité et d impossibilité d exercice du droit d accès aux données traitées dans le cadre du Big Data, Risque quant aux décisions prises via les traitements de Big Data 10

Quid de la sécurité et des règles applicables aux transferts de données? Comment identifier correctement les rôles et respecter les règles applicables aux transferts de données? Le Big Data suppose pour son exploitation le recours à des prestataires tiers pouvant traiter les données a priori pour le compte de l entreprise, Ce prestataire tiers devrait en principe être qualifié de «sous-traitant», L entreprise peut être amenée à partager des données de Big Data auprès de tiers se trouvant dans des pays ne disposant d une protéquation adéquate. Difficultés pratiques : Dans le monde du Big Data, le prestataire peut avoir une totale autonomie sur le traitement des données et devenir ainsi responsable de traitement, La sécurisation juridique et logique des transferts de données peut être particulièrement complexe. 11

Quelques pistes

A la recherche de solutions et de bonnes pratiques (I) Anonymiser les données? Mais «l anonymat est devenu algorithmiquement impossible» (Arvind Narayanan University of Princeton). Responsabiliser les entreprises utilisant le Big Data par l auto-régulation? o Evaluation formelle de la politique de réutilisation des données accumulées, de l impact qu elles ont sur les personnes, o Assumer la responsabilité de ces utilisations secondaires : droits d accès, contrôle des croisements et exclusion de certains services par rapport aux données proposées Promouvoir les «codes de bonne conduite» et les faire «labelliser» par le Régulateur? Organiser un plus grand contrôle de ses données par la personne concernée? o Projet MyData ou MesInfos, o Rémunérer l usage des données? o Solution non accessible à tous. 13

A la recherche de solutions et de bonnes pratiques (II) Démontrer que l intérêt légitime du responsable de traitement ne méconnaît pas les droits et libertés fondamentaux de la personne concernée? Mener une évaluation des risques, du rapport coût/avantage du projet envisagé. Renforcer l information et la sécurité? Veiller à mettre à jour ou élargir les notices d information existantes ou futures afin de bien y intégrer les utilisations secondaires pour les analyses et activités relatives au Big Data, Renforcer les politiques et procédures encadrant la divulgation des données à des tiers, Sécuriser les flux transfrontières résultant de traitement Big Data. 14

Le cadre juridique Européen de demain va-t-il régler la question? Le projet de Règlement réaffirme l attachement de l UE aux principes fondamentaux de la protection des données : consentement, finalité, transparence, droits des personnes Mais il prévoit plusieurs instruments qui sont susceptibles d intéresser les acteurs du Big Data : l évaluation des risques soulevés par les traitements de données via l obligation des mener des «Privacy Impact Assessment», Veiller à ce que le Big Data soit anticipé dans les procédures visant à mettre en œuvre le Privacy By Design. Un amendement du rapporteur en faveur de la pseudonymisation constitue une ébauche de réponse juridique. 15

Merci de votre attention Yann Padova Senior Counsel Baker & McKenzie 1 rue Paul Baudry 75008 Paris, France Tel: +33 (0) 1 44 17 59 27 Fax: +33 (0) 1 70 92 59 27 yann.padova@bakermckenzie.com http://www.bakermckenzie.com 2012 Baker & McKenzie 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back