Big data : aspects juridiques

1 Big data : aspects juridiques Jacques Larrieu, professeur, Anna Pigeon, doctorante, INSERM-

2 Plan 1. La collection 2. Les données (personnelles) 3. Le sujet

3 Protection des bases de données (Dir. UE 96/9) Définition :«un recueil d œuvres, de données ou d autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d une autre manière» Droit d auteur sur la structure Originalité : choix ou disposition des données

4 La collection Droit sui generis sur le contenu informationnel Condition : notion d investissement substantiel Prérogatives : interdire l extraction d une partie substantielle (quantitativement ou qualitativement) du contenu de la base et/ ou sa réutilisation

Localisation des faits J. Larrieu & A. Pigeon, 5 Bet365 betradar.com Autriche Football Dataco Football live Suisse Sportradar AG Allemagne Sport Live Data

6 Loi et tribunal compétents CJUE 18 oct. 2012, Football DatacoLtd/ Sportradar, C-173/11 «réutilisation»: Art. 7.2,b : toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu Localisation : Lieu d émission? Lieu de réception?

7 Loi et tribunal compétents Critère de l accessibilité? Critère de la destination CJUE : La localisation d un acte de réutilisation sur le territoire de l Etat membre vers lequel les données concernées sont envoyées dépend de l existence d indices permettant de conclure que cet acte révèle l intention de son auteur de cibler les personnes situées sur ce territoire

8 Anna Pigeon Doctorante, Université Toulouse 1 Capitole UMR 1027 INSERM- Université Toulouse III Epidémiologie et analyses en santé publique: risques, maladies chroniques et handicaps

9 Les données Droit Européen des données personnelles Dir. 95/46 (loi 6 janv. 1978) Donnée personnelle Traitement Responsable du traitement Obligations

10 Données de santé : problématique Qu est ce qu une donnée de santé C est une donnée personnelle Relative à la santé Comment peut-on les utiliser? Respect du cadre juridique Un exemple: le projet GEN2PHEN

11 Les données de santé Les données de santé sont des données personnelles Article 2 de la LIL: Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. 11/12/2014

12 Les données de santé Des données personnelles sensibles: données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Relatives à la santé d une personne: Relatives à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne (Projet de règlement européen).

13 Les données de santé Relèvent de l intimité de la vie privée Statut particulier Respect de règles garantissant la confidentialité Protection particulière: La directive européenne 95/46 /CE et la proposition du règlement La loi informatique et libertés du 06 janvier 1978 modifiée

14 Régime juridique des données de santé Principe: Interdiction de traitement Exceptions: Consentement de la personne Ou autres exceptions ( recherche médicale, évaluation des pratiques, médecine préventive ) Régimes différents selon la finalité du traitement

15 Régime juridique des données de santé Responsable du traitement ( la personne qui a pris l initiative de sa mise en œuvre et qui en a déterminé les finalités) doit: Réaliser des formalités préalables devant la CNIL: déclaration ou autorisation en fonction de la finalité Informer les personnes sur les droits dont elles disposent sur leurs données et recueillir leur consentement Respecter la finalité du traitement et la durée de conservation des données Mettre en œuvre des mesures de sécurité adéquates

16 La circulation des données de santé Les données de santé peuvent être communiquées et utilisées dans les conditions déterminées par la loi: dans l'intérêt direct du patient (assurer son suivi médical, faciliter sa prise en charge par l assurance maladie obligatoire ) pour les besoins de la santé publique ( recherche médicale). Les utilisations interdites Les données de santé ne peuvent en aucun cas faire l objet d une cession ou d une exploitation commerciale

17 La circulation internationale de données Echanges au sein de l UE: principe de libre circulation Echanges de l UE vers des pays situés hors de l UE Ces transferts sont interdits sauf exceptions: Si le transfert a lieu vers un pays reconnu par la Commission européenne comme offrant un niveau de protection des données suffisant, Si des clauses contractuelles Types, approuvées par la Commission européenne, sont signées entre deux entreprises, Si des règles interne d entreprises (BCR) sont adoptées au sein d'un groupe, Si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Safe Harbor, Si l'une des exceptions prévues par l article 69 de la LIL est invoquée.

18 La circulation internationale de données dans le cadre de la recherche en santé Le responsable du traitement doit assurer la sécurité et la confidentialité des données: Les données doivent être codées Exceptions: le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; Si une particularité de la recherche l exige

19 La circulation internationale de données dans le cadre de la recherche en santé Pas de définition de la notion de donnée codée Enfin, la présentation des résultats du traitement des données ne peut en aucun cas permettre l identification directe ou indirecte des personnes concernées 11/12/2014

20 Un exemple: GEN2PHEN Projet européen de bioinformatique Financé dans le cadre du 7 ème programme cadre de l UE Construction d une infrastructure informatique de recherche regroupant les bases de données G2P existant Utilisation d une masse très importante de données Utilisant des données génétiques: Définition dans la proposition de règlement: toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal ; Retour d expérience 11/12/2014

21 Internet : «publicisation de soi» Droit à l effacement? Droit sur le profil?

22 Le sujet : droit à l oubli «Droit à l oubli»? CJUE 13 Mai 2014, Google Spain Article «La Vanguardia» : saisie en 1998 2014 : résultats de recherche sur Google L intéressé peut-il exiger un déréférencement sur Google? E-reputation

23 Le sujet : droit à l oubli? Application de la directive 95/46? 1. Moteur = responsable d un «traitement de données à caractère personnel» 2. Soumission à la directive : Google.es a des activités publicitaires finançant l activité du moteur de recherche => le traitement est effectué dans le cadre des activités d un établissement du responsable sur le territoire de l UE

24 Le sujet : droit à l oubli? Droit d effacement ou d opposition? Équilibre entre intérêts personne/tiers/moteur Droits fondamentaux de l intéressé prévalent sur droit à l information des tiers et intérêts éco du moteur Déréférencement même si l info reste sur le site. Google : formulaire de réclamation en ligne : 1000 saisines/jour Rôle d un opérateur privé? Légitimité? TGI Paris 16 sept. 2014, M&Mme X /Google France Cass. civ. 1, 19 nov. 2014, X, n 13-25156

25 Le sujet : profilage Exploitation des données à modélisation de comportements -> profil CJUE, Google Spain, 37 : «l organisation et l agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet leur permettant d établir un profil plus ou moins détaillé de la personne concernée.»

26 Le sujet : profilage Qui doit avoir la maîtrise du profilage? UE : «toute personne physique devrait avoir le droit de s'opposer au profilage» (proposition de règlement UE sur données personnelles, 12 mars 2014, consid. 58) Art. 20 : une personne ne peut être soumise à un profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, ses droits ou libertés de la personne concernée

27 Le sujet : profilage Agrégation de données à un service d annuaire : CE 12 Mars 2014, n 353193, Pages Jaunes Infos tirées de réseaux sociaux " Copains d'avant ", " Facebook ", " Twitter ", " Trombi ", " Linkedin " et " Viadeo» agrégées à l annuaire Pages Blanches (25 000 000 de personnes concernées) CE : les données à caractère personnel extraites de réseaux sociaux en vue de leur mention dans le service d'annuaire " Pages Blanches " n'ont pas été collectées de manière loyale et licite, faute de consentement explicite et éclairé des intéressés

28 Le sujet : profilage Solutions? Passer d une logique défensive à une logique dynamique et positive Droit de propriété? Sté de gestion collective des droits de propriété? Mais faible valeur du profil individuel pris isolément

29 Sujet : profilage «Droit à l autodétermination informationnelle» Garantir à l individu la maîtrise de ses données, la capacité à décider de la communication et de l utilisation de ses données Etude 2014 Conseil d Etat, Le numérique et les droits fondamentaux, P. 267

30 Merci de votre attention Anna.pigeon@live.fr larrieu@ut-capitole.fr 11/12/2014