Doctrine Juridique

Big Data : contexte et perspectives juridiques d’une société de l’information en cours de « data-ification »

Bref historique

On pourrait le résumer ainsi :
1984 – Big brother is watching you.
2014 – Big data is selling you.

Dans les faits, en quelque trente années, l’inquiétude de vivre dans une société de surveillance étatique voire totalitaire ne s’est pas estompée, loin s’en faut, alors même que de nombreux pays ont connu à partir de 1989 une réelle démocratisation. Toutefois, ces menaces pour les libertés individuelles ne sont plus du tout perçues comme elles l’étaient au tournant des années 80, lorsque la loi dite « Informatique et libertés » du 7 janvier 1978 a été adoptée en France pour préserver les citoyens de la puissance informatique qui était alors essentiellement l’apanage de l’Etat.

Pour les particuliers, là où un fichage par l’Etat était des plus préoccupants, notamment du fait d’un souvenir de la 2nde Guerre Mondiale encore très présent pour une large part de la population, aujourd’hui, c’est à qui en dévoilera le plus possible sur lui-même sur les réseaux sociaux.

Pour les entreprises, la croissance continue des moyens de stockage et d’échange de données à des coûts toujours plus attractifs ainsi que l’apparition du web leur ont permis, d’une part, d’obtenir bien plus de données sur et de leurs clients qu’aucun commerçant n’en avait jamais eues et, d’autre part, de les valoriser, aidées en cela par une directive européenne(1) conférant des droits de propriété intellectuelle aux producteurs de bases de données depuis la fin des années 90.

Enfin, les Etats quant à eux sont désormais partagés entre le souci du respect des libertés individuelles, l’accès le plus large possible aux nouvelles technologies pour un développement de leur économie, la mise en exploitation des « open data » et, dans le même temps, le souci de la prévention et de la répression d’infractions soit nouvelles (usurpation d’identité par exemple), soit déjà connues mais que les nouvelles technologies « revisitent » quand elles ne consistent pas en une guerre ouverte contre des réseaux internationaux de pirates et de terroristes.

Définition de « Big Data »

Les Big Data (ou les méga-données) se définissent bien sûr par la quantité de données traitées par le responsable du traitement, mais aussi par ce qui va permettre de leur donner du sens : des algorithmes de plus en plus puissants dans les capacités d’analyse qu’ils fournissent.

En ce qui concerne le volume de données, l’objectif n’est pas de détenir « beaucoup » mais toutes les données afférentes à un sujet. Car, dès lors, ces données peuvent en comporter de fausses. La valeur de l’analyse ne reposant plus sur un échantillonnage, nécessitant le plus de justesse possible pour tirer une vérité d’une partie à un tout, mais sur l’ensemble, si quelques valeurs sont erronées sur plusieurs millions, les résultats n’en seront pas affectés(2).

Dans une tentative de définition plus complète, il conviendrait de se référer au fait que l’ère nouvelle des méga-données fait passer l’esprit humain du raisonnement de la causalité à celui de la corrélation, laquelle présente un pouvoir de prédiction très fort dans la survenance d’événements en apparence incertains. On ne cherche plus à comprendre le pourquoi d’un état de fait, mais seulement à constater l’état de fait lui-même en considérant que cela est bien souvent tout à fait suffisant.

Les conséquences sont multiples. En particulier, il en résulte un intérêt pour une appréhension de toute information possible, aussi insignifiante soit-elle en apparence, pour qu’additionnée, corrélée à d’autres informations, peut-être tout aussi insignifiantes, ensemble elles révèlent un risque ou une opportunité. Ces données, dont on perçoit l’intérêt à la fois de les collectionner en masse et de les conserver le plus longtemps possible, peuvent alors être utilisées pour révéler des choses pour lesquelles nul n’aurait pensé, au moment de leur collecte, qu’elles les recèlent.

Opportunités et risques

Les bienfaits attendus sont immenses, que cela soit dans le milieu de la santé, des services aux personnes, de la sécurité publique et bien entendu dans la sphère marchande.

Mais, ceux qui détiennent ces données pourront, par leur réutilisation, leur interconnexion et leur extrapolation, en savoir bien plus que celui, à qui ces données se réfèrent, ne l’aurait souhaité au moment de leur collecte, laquelle peut être de surcroît potentiellement dispersée auprès de plusieurs responsables de traitement et se dérouler sur une période de plusieurs mois voire années.

Au-delà des risques portant sur la liberté de communication (par un traçage constant de toute communication sans même que le contenu ne soit enregistré), la vie privée (par l’invasion promise des objets connectés au domicile et au corps notamment), la réputation (par la possible révélation publique de faits réels ou déduits), la liberté de circulation (par une géolocalisation quasi-permanente du fait des télécommunications et de l’utilisation de moyens GPS, parfois dans de simples Apps dont l’orientation n’est pas l’objet), d’autres risques d’une portée bien plus générale doivent être pris en considération. Ainsi, le fait que de plus en plus de « décisions » puissent être prises de manière automatique pourrait conduire à une perte d’autonomie et de responsabilisation pour des personnes qui s’en remettraient par trop à des systèmes informatiques. De même, dans un mode de prédiction, la question du libre-choix des individus est déjà posée.

Sans doute faut-il se rappeler cette réflexion de Montesquieu : « C'est une expérience éternelle que tout homme qui a du pouvoir est porté à en abuser (...) Pour qu'on ne puisse abuser du pouvoir, il faut que, par la disposition des choses, le pouvoir arrête le pouvoir »(3).

Dans le contexte du « small data » qui existait jusqu’à présent, nos garde-fous étaient pêle-mêle une harmonisation de notre droit au niveau communautaire, une instance de régulation et de promotion de la protection des données à caractère personnel (la CNIL), une obligation d’identifier ses traitements de données et de les déclarer à la CNIL, l’information des personnes concernées sur leurs droits, une obligation de sécurité des données, etc.

Dans le contexte des méga-données, il apparaît qu’au-delà d’un « simple » accroissement des risques existants pour la protection de la vie privée et des libertés fondamentales de chacun, c’est la nature même des risques qui est en train d’évoluer sans que l’on puisse prédire exactement le niveau auquel ces risques seront portés.

L’état du droit

En premier lieu, on ne peut que citer l’article 1er de la loi en ce qu’il définit un principe de portée générale et intemporelle :
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

Au service de ce principe fondateur, d’autres sont énoncés à titre de « Conditions de licéité des traitements de données à caractère personnel »(4) mais avec lesquels les principes qui fondent les technologies reposant sur les méga-données sont souvent en apparence très contradictoires. Ainsi, de manière non exhaustive :

  • « Les données sont collectées et traitées de manière loyale et licite »(5). Le principe de loyauté et de proportionnalité dans la collecte interdit la libre collecte de données à partir de l’« internet des objets »(6).
  • « Les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités »(7). Ce principe de finalité des traitements, qui interdit tout détournement de finalité, s’oppose donc à celui de méga-données réutilisables à l’infini.
  • « Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées »(8). Ce principe d’une durée de conservation interdit quant à lui la conservation ad vitam eternam de données pour leur utilisation ultérieure (même sans détournement de finalité).

Une infraction à l’un de ces principes est passible de 5 ans d’emprisonnement et de 300.000 euros d’amende(9).

Hormis le respect de ces principes, des facteurs tout à fait opérationnels peuvent s’avérer très difficiles à surmonter pour les acteurs économiques qui souhaitent acquérir ou agréger des données à caractère personnel.

Ainsi, le responsable de traitement initial doit informer la personne concernée notamment de son identité, de la finalité du traitement, des destinataires des données, de ses droits et, le cas échéant, des transferts hors de l’U.E.(10). Un responsable de traitement peut en effet, sous certaines conditions, transférer des données à caractère personnel à un tiers, lequel devient alors à son tour responsable de traitement.

Puisque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le nouveau responsable de traitement doit fournir à cette dernière les informations énumérées précédemment dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données(11). En pratique, les exceptions prévues (lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche) sont appréciées de manière très restrictive par la CNIL.

Par conséquent, concrètement, les coûts associés à la mise en oeuvre de ces mesures peuvent être très importants et, le cas échéant, réduire à néant l’intérêt du partenariat envisagé entre les deux responsables de traitement dans le contexte d’un partenariat technologique par exemple.

L’évolution du droit

Au sein de l’Union Européenne, une « proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » est en discussion depuis début 2012.

Globalement, le texte adopté le 12 mars 2014 réaffirme notamment les principes de(12) :

  • Traitement licite, loyal et transparent au regard de la personne concernée,
  • Collecte pour des finalités déterminées, explicites et légitimes, et d’absence de traitement ultérieur de manière incompatible avec ces finalités,
  • Conservation sous une forme permettant l'identification directe ou indirecte des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données sont collectées.

Au-delà de ces principes, le but affiché par le texte est de circonscrire tout traitement de données à caractère personnel en termes d’adéquation, de pertinence et de limitation des données à caractère personnel « au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées »(13), là où la loi de 1978 visait des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs »(14).

Il est annoncé par les instances européennes qu’un accord Parlement-Conseil est attendu avant la fin de l’année et qu’une fois adoptés, les États membres disposeront d'un délai de deux ans pour appliquer le règlement et pour transposer la directive dans leur droit national.

Dès lors, est-ce à dire que l’U.E., à trop vouloir protéger les libert és individuelles, serait en train de s’interdire la voie du développement technologique et économique que représentent les méga-données, au bénéfice d’acteurs situés hors de ses frontières ?

La question mérite d’être posée, mais quelque vingt ans après l’adoption du premier texte européen(15) déjà porteur de ces principes tout comme l’est le droit français, il est fort improbable que l’U.E. revoie sa copie sur des sujets aussi essentiels en matière de libertés publiques.

En outre, sur le plan international, la question des méga-données n’est pas abandonnée à la seule réglementation européenne. Ainsi, force est de constater qu’aux USA, les préoccupations ne sont pas si différentes qu’on veut bien le dire en Europe. En effet, deux rapports ont été remis au Président Obama(16) qui, tout en soulignant les opportunités économiques et technologiques dont les USA pourraient bénéficier, relèvent les risques inhérents qui pèsent sur les libertés publiques en termes de « privacy »(17) et émettent des propositions techniques et juridiques d’encadrement de l’usage des méga-données ; l’un d’eux appelant de ses voeux une législation fédérale en matière d’incident portant sur des données à caractère personnel, en remplacement d’un patchwork confus de règles éparses, et l’application de la loi américaine aux étrangers.

Sur le fond, il n’est pas douteux qu’une réglementation européenne, non exempte de complexité, fera naître d’importants écarts dans sa mise en oeuvre au sein du tissu économique français.

Nombreux sont les acteurs économiques à estimer que le risque d’un contrôle de la CNIL et, a fortiori, de condamnations pénales (en théorie pourtant supérieures à celles applicables à un vol) est faible et, donc, à limiter l’investissement que constitue une mise en conformité à la loi.

Mais, en matière d’informatique et de libertés, il est d’autres institutions que la CNIL et les juridictions pénales pour prononcer des condamnations.

Ainsi, notamment, la vente d’un fichier clients, non déclaré, a été jugée comme ayant un objet illicite et, partant, nulle(18).

La conséquence de cette décision est très importante : tout fichier, toute base de données dont tous les éléments légalement requis pour sa licéité ne peuvent être justifiés, sera considéré comme étant un objet illicite, comme « n'étant pas dans le commerce ». Tout contrat ou accord quelconque l’ayant pour objet sera nul, ce qui exposera notamment le cédant à restituer le prix perçu.

Ainsi, les parties à tout contrat ou accord quelconque de cession ou d’accès à des fichiers et bases de données auront tout intérêt, au-delà des clauses de garantie habituelles, à vérifier in concreto l’origine licite des données. Par-delà les obligations administratives et pénales, c’est l’équilibre économique d’une relation, d’une acquisition, d’une entreprise qui pourrait s’effondrer.

C’est sans doute d’abord ce type de sanction par le marché qui est de nature à véritablement inciter ses acteurs à :

  • Identifier les traitements de données à caractère personnel qu’ils mettent en oeuvre ainsi que les flux de données au sein de leurs services et des entités juridiques de leur Groupe, y compris hors de l’UE, dans le contexte de systèmes d’information parfois totalement ouverts et parfois totalement hétérogènes du fait d’un historique d’acquisitions successives,
  • Sensibiliser les personnes en charge de ces questions aux « réflexes » fondamentaux, alors que la plupart des personnes ignorent qu’elles sont soumises à une réglementation très précise qui va jusqu’à définir ce qu’est une « données à caractère personnel », pour qu’à l’avenir les « bonnes questions » soient posées et traitées,
  • Régulariser les traitements mis en oeuvre au regard des éventuelles formalités préalables à accomplir et de l’information à fournir aux personnes concernées, étant précisé que celle-ci peut se traduire par la conclusion de contrats dont la véritable nature désormais est d’être des « contrats de fourniture de données à caractère personnel »,
  • Définir, mettre en oeuvre et auditer des procédures de création de traitements et de suppression de données à caractère personnel une fois leur durée de conservation atteinte,
  • Assurer, tant techniquement que juridiquement, que la sécurité des données est prise en charge conformément au droit en vigueur,
  • Revoir et renégocier des contrats conclus avec des tiers, responsables de traitements ou sous-traitants, fournisseurs ou partenaires,
  • Revoir des documents internes connexes du type « Charte informatique » ou « Charte éthique »,
  • Etc.

Quelles solutions adopter en pratique ?

Sans prétendre passer en revue de manière exhaustive les solutions actuellement discutées, de part et d’autre de l’Atlantique, tant sur le plan technologique que sur le plan juridique, on peut retenir les pistes de réflexion suivantes.

Les rapports présentés au Président Obama font remonter les principes américains en matière de « privacy » à la fin du 19e siècle(19) et exposent que c’est dès 1973 qu’ont été édictés les « Fair Information Practice Principles (FIPPs) ». Ces principes, objet du Privacy Act de 1974, reconnaissent aux individus le droits de savoir quelles données sont collectées et utilisées les concernant, de s’opposer à certains usages, de corriger des informations erronées et imposent au responsable de traitement d’assurer que les données sont fiables et conservées de manière sécurisée. Toutefois, il est noté que les FIPPs n’ont été mis en oeuvre au sein du droit américain que de manière diffuse dans diverses réglementations spécifiques (par exemple, en matière de crédit, de santé, de consommation, de mineurs) et la question posée par les rapporteurs est celle de l’adéquation des FIPPs aux technologies du Big Data.

Parmi les principales idées des rapporteurs figurent, sans doute, celles :

  • De permettre à chaque personne de contrôler ses données à caractère personnel. Dès lors, les rapporteurs mettent en avant la réglementation en matière de crédit ainsi que l’initiative de l’industrie de la publicité en ligne qui, à titre de transparence, ont permis la création d’un portail web, ouvert à l’ensemble des acteurs économiques et des consommateurs. Ce portail liste les entreprises concernées, décrit leur gestion des données, fournit des méthodes pour un meilleur contrôle de leurs données par les consommateurs et permet de réaliser certains « opt-out ».
  • De « tagger » les données collectées avec l’identité du responsable, la finalité poursuivie, les utilisations prévues et de tracer les personnes y ayant accès ou, encore, de prévoir des alertes générées automatiquement en cas d’usage non conforme. Les rapporteurs y voient même ici un apport des technologies Big Data à l’amélioration des droits des personnes.
  • De définir, par secteur d’activité (marketing, médecine, etc.), des types de données (d’usage libre, à n’utiliser qu’avec le consentement préalable de la personne ou à ne jamais collecter).
  • De ne pas faire reposer sur l’information et le consentement des personnes l’ensemble de la construction juridique au motif, tout à fait concret, que nul ne lit, ni ne comprend en quelques secondes d’attention la portée de mentions contractuelles qui relèvent d’un contrat d’adhésion. Et, donc, de favoriser des « privacy protection profiles » qui pourraient être négociés par des intermédiaires tels que des associations de consommateurs.

Sur ce dernier point, il est à relever que des réflexions sont en cours relatives à la création de systèmes permettant aux consommateurs de valoriser leurs données en vue de futurs échanges commerciaux. Une telle approche serait d’ailleurs certainement le meilleur moyen pour que les personnes se réapproprient leurs données.

En revanche, les rapporteurs émettent un sérieux doute sur la capacité d’anonymiser des données dans un contexte de méga-données, sans être en capacité de les « dés-anonymiser ». Il est à relever que le simple fait de détenir l’année de naissance, la profession et la ville de résidence d’une personne ou même le fait d’avoir noté 6 films sur Netflix(20) permet de (ré)identifier une personne dans une très grande proportion de cas. Le sujet véritable de l’anonymisation semble bien, en réalité, résider dans la création de méga-données, parfaitement anonymes mais définissant des profils qui, confrontés aux données d’une personne, impliqueraient pour celle-ci des conséquences en termes de droits, de services proposés et de prix notamment.

D’autres solutions peuvent être envisagées comme le contrôle des métadonnées des bases constituant des méga-données. Dans un article « Saving Big Data from itself »(21), A. Penland propose que la collecte et l’utilisation des données soient contrôlées, par une organisation distincte, au moyen des métadonnées afférentes à la base de données.

Conclusions

Les bénéfices attendus des technologies « méga-données » sont considérables, tant pour les particuliers, que les entreprises et les gouvernements. Aux plans européen et américain, des réglementations sont en cours de préparation ou espérées. Ces réglementations poseront des entraves à une totale liberté d’exploitation des données à caractère personnel. Seules les entreprises qui auront anticipé leurs objectifs, dès la phase de conception de leurs traitements, pourront véritablement valoriser leurs traitements, c’est-à-dire sans crainte de sanctions administratives et/ou judiciaires, ni de contestations de leur public qui ruineraient leur image de marque.

(1) Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données, transposée en droit français par la loi n°98-536 du 1er juillet 1998.
(2) Big Data, a revolution that will transform how we live, work, and think, Viktor Mayer-Schönberger and Kenneth Cukier, Houghton Mifflin Harcourt Publishing Company, 2013.
(3) Montesquieu, De l'esprit des lois, Livre XI chapitre IV.
(4) Titre du chapitre 2 de la loi de 1978.
(5) Art. 6 1°) de la loi de 1978.
(6) Article 29 Data Protection Working Party ; « Opinion 8/2014 on the Recent Developments on the Internet of Things » ; 4.3 Principles relating to data quality.
(7) Art. 6 2°) de la loi de 1978.
(8) Art. 6 5°) de la loi de 1978.
(9) Art. 226-18, 226-21 et 226-20 du Code pénal.
(10) Conformément à l’art. 32-I de la loi de 1978.
(11) Art. 32-III de la loi de 1978.
(12) Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) - http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//FR.
(13) Amendement 99, Proposition de règlement, Article 5 c).
(14) Art. 6 3°) de la loi de 1978.
(15) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(16) BIG DATA : SEIZING OPPORTUNITIES, PRESERVING VALUES – Executive Office of the President – May 2014 ; BIG DATA AND PRIVACY : A TECHNOLOGICAL PERSPECTIVE – Executive Office of the President – President’s Council of Advisors on Science and Technology – May 2014.
(17) « While this precise profiling of consumer attributes yields benefits, it also represents a powerful capacity on the part of the private sector to collect information and use that information to algorithmically profile an individual, possibly without the individual’s knowledge or consent. This application of big data technology, if used improperly, irresponsibly, or nefariously, could have significant ramifications for targeted individuals (BIG DATA : SEIZING OPPORTUNITIES, PRESERVING VALUES, p. 45).
(18) Cass. Com., 25/06/2013, X c/ société Bout-Chard, http://www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000027632440
(19) « The first portable cameras helped catalyze Samuel Warren and Louis Brandeis’s seminal 1890 article The right to Privacy, in which the note that "recent inventions and business methods call attention to the next step which must be taken for the protection of the person, and for securing to the individual… the right ‘to be let alone’… numerous mechanical devices threaten to make good the prediction that ‘what is whispered in the closet shall be proclaimed from the house-top". » (Samuel Warren and Louis Brandeis, « The Right to Privacy », 4 Harvard Law Review 193, 195 (1890).
(20) Big Data, a revolution that will transform how we live, work, and think, Viktor Mayer-Schönberger and Kenneth Cukier, Houghton Mifflin Harcourt Publishing Company, 2013.
(21) Scientific American, August 2014, p. 55.

Maître Frédéric Guénin, est avocat au sein du département Propriété intellectuelle & Technologies de l’information du Cabinet Hoche Société d’avocats.

Article publié pour la première fois dans la Lettre d'information IP/IT du Cabinet Hoche Société d'Avocats - novembre 2014

Nos partenaires sur la toile
Conditions générales d'utilisation
Site créé par Frédéric Guénin.
Mentions légales
Nous cont@cter