L’utilisation raisonnée des données personnelles

Dossier : BIG DATAMagazine N°693 Mars 2014
Par Claire LEVALLOIS-BARTH

Les machines comme les indi­vidus pro­duisent en temps réel un vol­ume crois­sant de don­nées var­iées, struc­turées ou non. D’infinies pos­si­bil­ités de créa­tion d’applications et de richesse sem­blent s’offrir à nous, sachant qu’aujourd’hui le traite­ment des don­nées de masse joue un rôle majeur pour amélior­er les offres de ser­vices, la sécu­rité des pro­duits, l’analyse des risques, ou pour prévenir les mal­adies, les fraudes ou la criminalité.

REPÈRES

La création et l’usage des données personnelles sont réglementés en France par la loi Informatique et Libertés de 1978 qui, dans sa version modifiée, transpose la directive européenne Protection des données personnelles de 1995.
Les données personnelles consistent en « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Cette définition, interprétée de façon large par la Commission nationale de l’informatique et des libertés (CNIL) et ses homologues européennes, couvre à la fois des informations directement nominatives (nom et prénom, adresse postale ou électronique) et des informations indirectement nominatives telles que le numéro de téléphone d’un individu.

Une société de surveillance et d’anticipation

Par­mi les don­nées traitées se trou­vent des don­nées per­son­nelles, à savoir des don­nées qui con­cer­nent des per­son­nes physiques. Réal­isée à la fois par les entre­pris­es et les États, la cap­ture en masse de ce type de traces numériques con­court à la con­struc­tion d’une société de la surveillance.

Les big data accroissent les possibilités de recoupement des données

En témoigne la récente con­tro­verse sur la trans­mis­sion de don­nées d’utilisateurs d’Internet par des multi­na­tionales comme Google, Apple, Microsoft ou Face­book aux ser­vices de ren­seigne­ments américains.

C’est égale­ment une société de l’anticipation, voire de la pré­dic­tion, qui se dessine.

Une vigilance accrue

L’analyse du car­ac­tère « per­son­nel » d’une don­née doit pren­dre en compte tous les moyens per­me­t­tant d’identifier une per­son­ne, y com­pris les moyens qui ne sont pas directe­ment acces­si­bles à l’entreprise procé­dant au traite­ment des don­nées de masse. La vig­i­lance s’impose car big data et open data accrois­sent con­sid­érable­ment les pos­si­bil­ités de recoupe­ment des don­nées et donc d’identification d’une personne.

Une fois repérées les don­nées per­son­nelles, leur traite­ment – leur col­lecte, util­i­sa­tion, trans­mis­sion et inter­con­nex­ion – doit se con­former à l’ensemble des oblig­a­tions fixées par la loi Infor­ma­tique et Libertés.

L’opération peut se révéler com­plexe. Ce faisant, la loi Infor­ma­tique et Lib­ertés con­tribue égale­ment à pro­téger la liber­té de déplace­ment, la liber­té de penser, le droit à la non-dis­crim­i­na­tion, le droit au respect de la vie privée.

Finalité et droit à l’oubli

Les don­nées per­son­nelles doivent être col­lec­tées et traitées pour des « final­ités » (c’est-à-dire des usages) « déter­minées, explicites et légitimes » ; elles ne doivent pas être traitées ultérieure­ment de manière incom­pat­i­ble avec ces finalités.

Ce principe, qui irrigue tout le champ de la pro­tec­tion, est un préal­able au principe de qual­ité des données.

Une enseigne américaine s’est retrouvée au cœur d’un scandale, un père ayant découvert la grossesse de sa fille mineure parce qu’elle recevait des publicités de produits pour nourrisson ciblant les femmes qui attendent un enfant.

D’une part, seules les don­nées néces­saires et per­ti­nentes pour attein­dre les final­ités doivent être col­lec­tées. D’autre part, la durée de con­ser­va­tion des don­nées ne doit pas excéder la durée néces­saire aux final­ités pour lesquelles elles sont col­lec­tées. Passé ce délai, les don­nées doivent être détru­ites. Appa­raît ain­si un droit à l’oubli.

Dans un monde de big data fondé sur une méthode induc­tive et non plus déduc­tive, un monde où l’analyste cherche à établir des cor­réla­tions entre plusieurs infor­ma­tions sans hypothès­es prédéfinies, com­ment respecter ces obligations ?

Une solu­tion, qui est loin de répon­dre à l’ensemble des prob­lèmes posés, con­siste à utilis­er la marge de manœu­vre offerte par la loi Infor­ma­tique et Lib­ertés, celle-ci pré­cisant qu’un traite­ment ultérieur de don­nées à des fins sta­tis­tiques ou à des fins de recherche sci­en­tifique ou his­torique est con­sid­éré comme com­pat­i­ble avec les final­ités ini­tiales de la col­lecte des données.

L’obligation d’information

L’obligation d’information implique, quant à elle, d’avertir la per­son­ne de la col­lecte des don­nées per­son­nelles et de leur util­i­sa­tion. Cette étape de trans­parence est pri­mor­diale car elle con­di­tionne l’exercice du droit d’accès aux don­nées per­son­nelles et du droit d’opposition.

Confidentialité et sécurité

La loi Informatique et Libertés fixe d’autres obligations telles que l’obligation de confidentialité et de sécurité des traitements de données personnelles.

En accor­dant à la per­son­ne un cer­tain con­trôle sur ses pro­pres don­nées per­son­nelles et sur son image infor­ma­tion­nelle, elle con­stitue un élé­ment impor­tant de confiance.

Le droit d’information est allégé lorsque les don­nées col­lec­tées sont très vite ren­dues anonymes ou lorsque les don­nées ne sont pas recueil­lies directe­ment auprès de la per­son­ne. Il est même exclu lorsque l’information de la per­son­ne « se révèle impos­si­ble ou exige des efforts dis­pro­por­tion­nés par rap­port à l’intérêt de la démarche ».

La CNIL admet l’application de cette excep­tion tout en l’assortissant de garanties por­tant sur la délivrance d’une infor­ma­tion générale, « sur un site Inter­net dédié par exemple ».

Une réflexion au cas par cas

La loi Infor­ma­tique et Lib­ertés ain­si que la doc­trine de la CNIL four­nissent un cadre légal mais n’apportent pas une solu­tion « clé en main ».

Pour utilis­er les don­nées per­son­nelles de façon raison­née, une réflex­ion glob­ale au cas par cas se révèle néces­saire pour par­venir à un « juste » équili­bre entre la pro­tec­tion du citoyen et l’intérêt légitime pour­suivi par l’entreprise procé­dant à l’analyse des big data.

Cette analyse devra pren­dre en compte les paramètres éthiques et socié­taux, notam­ment la façon dont les util­isa­teurs perçoivent la pro­tec­tion de leur vie privée selon le con­texte dans lequel s’opère l’utilisation des don­nées per­son­nelles : le traite­ment de don­nées médi­cales de masse sera perçu dif­férem­ment s’il a pour objec­tif de prévenir une épidémie ou d’afficher de la pub­lic­ité en ligne pour des pro­duits coupe-faim.

Intégrer le plus en amont possible la dimension Vie privée et données personnelles

La capac­ité à innover dans l’intérêt de l’ensemble des par­ties prenantes – entre­prise, citoyen, État, société dans son ensem­ble – sup­pose alors d’intégrer le plus en amont pos­si­ble la dimen­sion « pro­tec­tion des don­nées per­son­nelles ». Il s’agit de met­tre en place une démarche glob­ale de pri­va­cy by design impli­quant une per­son­ne spé­ciale­ment for­mée, par exem­ple un cor­re­spon­dant Infor­ma­tique et Lib­ertés (CIL), et l’ensemble des opéra­tionnels (ser­vice mar­ket­ing et juridique, direc­tion des sys­tèmes d’information, etc.).

Il peut égale­ment être per­ti­nent de con­sul­ter la CNIL. Cette démarche ne doit pas être con­sid­érée comme une con­trainte mais comme l’occasion d’instaurer un véri­ta­ble dia­logue. Cette évo­lu­tion vers moins de procé­dure admin­is­tra­tive au prof­it d’une démarche d’account­abil­i­ty (respon­s­abil­ité) est claire­ment per­cep­ti­ble dans la propo­si­tion de règle­ment Pro­tec­tion des don­nées per­son­nelles de 2012.

Ce proces­sus con­tinu per­met à l’entreprise de s’assurer qu’elle utilise à bon escient les don­nées per­son­nelles via des out­ils var­iés : adop­tion de règles internes, analy­ses d’impact, for­ma­tion des per­son­nels, audits, etc.

Le recours à ces out­ils con­tribue alors à faire de la pro­tec­tion des don­nées per­son­nelles un label de qual­ité dans le cadre d’un usage raison­né des don­nées con­tribuant à la con­struc­tion d’un véri­ta­ble cli­mat de confiance.

Commentaire

Ajouter un commentaire

Tru Dô-Khac répondre
16 mars 2014 à 14 h 19 min

Le droit d’au­teurs, des don­nées personnelles

Bonjour,

Les don­nées per­son­nelles con­sis­tent en « toute infor­ma­tion rel­a­tive à une per­son­ne physique iden­ti­fiée ou qui peut être iden­ti­fiée, directe­ment ou indi­recte­ment, par référence à un numéro d’identification ou à un ou plusieurs élé­ments qui lui sont propres ».

Les textes por­teurs de droit d’au­teur sont donc des don­nées per­son­nelles. Dans une util­i­sa­tion raison­née, mais aus­si économique­ment et sociale­ment respon­s­able, on attend de la part des acteurs numériques tirant un prof­it de l’ex­ploita­tion de ces don­nées une “réciproc­ité” vis à vis des por­teurs de droits.

Répondre