En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site de réservation pour une entreprise dans le tourisme
    < 2 500 €
    > En savoir plus
  • Création d'un site vitrine pour une association
    < 1 000 €
    > En savoir plus
  • Audit réseau et sécurité pour un fabricant de matériel électronique
    A déterminer €
    > En savoir plus
BlueMind_Nouvelle version_leaderboard animée

Le « Big Data » : quelles précautions juridiques prendre en matière de protection des données personnelles ?

elo_processus pointe_pave

Le point avec Muriel Assuline, avocat associé cabinet Assuline & Partners (http://www.avocat-paris-assuline.com/).

 

Le « Big data » se définit comme un ensemble de données extrêmement volumineux que l’on va traiter et analyser à des fins prédictives. Mais pas seulement.

Le « Big data » est avant tout une démarche particulière : elle va consister à extraire l’information pertinente d’un ensemble de données. Cet ensemble se caractérise par le volume, la variété, la valeur et la vélocité. C’est la fameuse règle des 4 V. Volume : grande masse de données qui ne cesse de croître. Variété : données diverses provenant de sources tout aussi diverses, non structurées. Valeur : données importantes pour la science, l´environnement, la santé, etc. (24, 6 milliards $ CA mondial prévu en 2016). Vélocité : les données sont traitées rapidement, voire en temps réel idéalement.

L’intérêt pratique du « Big data » tient en effet à leurs nombreuses applications potentielles : analyse financière, connaissance du client, identification de tendances à long terme, etc. C’est l’utilité sociale et économique du « Big data » qui conduit à les utiliser. Et en outre, le « Big data » a des capacités prédictives. Le « Big data » est utilisé par les grandes entreprises dans une pure logique économique : soit pour identifier, étudier les tendances générales d’un marché déterminé et ajuster l´offre à la demande, soit pour prédire le comportement des clients et leur fournir une publicité ciblée.[1] En outre, le « Big data » permet aux entreprises d´apprendre en permanence et de s´adapter rapidement aux situations.

Le « Big data » s´est développé grâce à la multiplication de ses sources. La diversité des terminaux (PC, mobiles, tablettes, objets connectés..), des usages de l´Internet (e-commerce, réseaux sociaux, géolocalisation..), l´ouverture par les gouvernements des bases de données publiques (open data : statistiques, métro trafic..) ainsi que la démocratisation de plateformes à travers le cloud computing, qui permet la gestion des gros volumes de données, ont déterminé l´accumulation des masses gigantesques des données, d´où le développement des outils de traitement des données à grande échelle.

Données privées et données publiques

Les données collectées et traités par le « Big data » peuvent être classifiées en deux catégories : des données privées (données à caractère personnel récoltées ou non en ligne ; données relevant du patrimoine informationnel de l´entreprise) et des données publiques (Open data).

Lorsque les usages du « Big data » visent les personnes en tant que telles, la pleine application des principes fondamentaux de la protection des données est requise. Le responsable du traitement, lorsqu’il collecte et traite des données à caractère personnel, devra notamment respecter la loi n°78-17 du 6 janvier 1978, dite Loi « Informatique et Libertés », ainsi que le futur Règlement européen, en cours d’adoption définitive, sur la protection des données, dans la collecte et le traitement des données à caractère personnel.

En effet, contrairement aux États-Unis où les données personnelles sont considérées comme des biens marchands pour lesquels le consentement du citoyen est donné à priori, en France, la loi « Informatique et Libertés » vise à garantir au citoyen qu´en cas de collecte de données à caractère personnel, celui-ci est consentant, qu´il connait la personne collectant ces données, ainsi que les finalités de cette collecte. Aujourd´hui, on observe une montée en puissance de ce principe, car des pratiques comme le marketing électronique, la géolocalisation ou les cookies nécessitent à priori le consentement de l´individu. En ce sens, une étude menée par la CNIL et dix-neuf de ses homologues à travers le monde en 2013 a montré que l’information donnée aux internautes est insuffisante : 20 % des sites mondiaux les plus importants, et 50 % des applications de téléphones mobiles n’apportent aucune information sur les traitements effectués, privant ainsi les utilisateurs de la possibilité de donner leur consentement libre et éclairé à l’utilisation de leurs données. [2] D´ailleurs, autant le projet de règlement européen du 25 janvier 2012 portant sur la protection des données personnelles que le projet de loi pour une République numérique présenté par Emmanuel MACRON et Axelle LEMAIRE, adopté en première lecture à l’Assemblée Nationale le 26 janvier 2016, et qui sera examiné par le Sénat au printemps, renforce les obligations du responsable du traitement en la matière, puisque c´est à ce dernier qu´il incombe de placer la personne concernée en situation de comprendre en toute transparence les principaux éléments du traitement : nature des données collectées, finalités du traitement, destinataires des données, durée de conservation des catégories de données traitées, droits de la personne concernée (droit d’accès, de rectification et d’opposition au traitement), informations relatives aux éventuels transferts de données vers des pays extérieurs à l’Union européenne.

L’afflux de données disponibles sur Internet, dans un environnement où elles semblent être à la disposition de tous, n’exonère pas le responsable du traitement de données personnelles de les collecter de façon loyale et licite (article 6 de la loi « Informatique et Libertés »). En outre, le projet de règlement européen du 25 janvier 2012 sur la protection des données, exige que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. En ce sens, le Groupe de travail européen, encore dénommé le « G29 », précise que l’utilisation d’une finalité vague ou générale, telle que « l’amélioration des usages [ou] à des fins de marketing [ou] à des fins de sécurité informatique [ou] de recherche future (…) sans plus de détail ne répond pas habituellement aux critères de l’exigence spécifique ». [3]

La loi « Informatique et Libertés  »

Dès lors que la notion de « Big data » appelle à des techniques d’analyse très sophistiquées, souvent, les données collectées initialement sont traitées plus tard pour des finalités ultérieures. Cette nouvelle opération doit être en parfaite harmonie avec le principe de compatibilité. A ce titre, la loi « Informatique et Libertés », ainsi que la directive européenne 95/46/CE du 24 octobre 1995, exigent que les données à caractère personnel collectées pour une ou plusieurs finalités « ne soient pas traitées ultérieurement de manière incompatible avec ces finalités ».

Quant au traitement et à la conservation des données à caractère personnel, la loi « Informatique et Libertés » prévoit l´obligation de mettre en œuvre un traitement de données de manière loyale et licite. Le responsable du traitement ne pourra conserver les données personnelles que pour la durée nécessaire aux finalités du traitement. Pendant cette période l´obligation de prendre toutes les précautions nécessaires pour assurer la sécurité des données personnelles traitées s´impose au responsable du traitement. Le projet de règlement européen du 25 janvier 2012 sur la protection de données ajoute aux obligations traditionnelles imposées par la loi « Informatique et Libertés » à la charge du responsable du traitement, l´obligation de mener une étude d´impact sur la protection des données et la vie privée en cas de risques spécifiques pour les droits et les libertés des personnes (e.g. la fraude, l´usurpation d´identité, la discrimination, des atteintes portées à la réputation, etc).

Conservation et transfert

Enfin, les avancées de la technologie sont telles aujourd’hui que les questions concernant le « Big Data » ne portent pas seulement sur la nature des données collectées, mais aussi le lieu où elles sont conservées et notamment le niveau de protection de ces données à l´étranger. En effet, le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles, constaté par la Commission européenne. La question s´est posée notamment à propos de la décision « Safe Harbor » constatant un niveau de protection adéquat des données personnelles transférées vers les États-Unis.

Or, dans une affaire récente, la Cour de justice de l´Union européenne a invalidé ce mécanisme en considérant que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner). Les entreprises qui transfèrent des données à caractère personnel vers les États-Unis devront se conformer à cette décision. Affaire à suivre, puisque la Commission européenne a annoncé le 2 février 2016 la conclusion d´un nouvel accord « EU-US Privacy Shield » avec les Etats-Unis, qui devra être analysé par le « G29 » afin d´en connaître précisément le contenu et la pertinence des nouvelles garanties. [4]

 

[1] Groupe de travail de l’article 29, Avis sur les réseaux sociaux en ligne, 12 juin 2014, voir <www.cnpd.public.lu/fr/publications/groupe-art29/wp163_fr.pdf>.

 

[2] V. http://www.cnil.fr/linstitution/actualite/article/article/operation-internet-sweep-day-une-premiere-mondiale-visant-a-apprecier-le-niveau-dinformat/

[3] Groupe de travail de l’article 29, Avis sur les réseaux sociaux en ligne, 12 juin 2014, voir www.cnpd.public.lu/fr/publications/groupe-art29/wp163_fr.pdf.

[4] Commission européenne, « La Commission européenne et les États-Unis s’accordent sur un nouveau cadre pour les transferts transatlantiques de données, le «bouclier vie privée UE-Etats-Unis », Communiqué de presse du 2 février 2016

Le « Big Data » : quelles précautions juridiques prendre en matière de protection des données personnelles ?
5 (100%) 1 vote

Laisser un commentaire

Signature électronique: webinaire 30 novembre

Au travers d’un parcours utilisateurs simple, la solution de signature électronique Universign est ergonomique et apporte les meilleures garanties légales.

Info er inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Faille WAP2 : Krack ou l'hypocrisie mondiale des maîtres du monde

    Pour Frans Imbert-Vier, PDG d'UBCOM (société spécialisée sur le digital et la cybersécurité), si la…

    > En savoir plus...
Etudes/Enquêtes
  • Pays connectés : la France en 15e position dans le monde, c'est mieux qu'en 2016

    La France au 15e rang mondial des pays connectés aux technologies de l'information et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Universign_maitrisez risques signature elec_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
GlobalK_Azure _Skycraper