L’utilisation raisonnée des données personnelles

Dossier : BIG DATAMagazine N°693 Mars 2014
Par Claire LEVALLOIS-BARTH

Les machines comme les indi­vi­dus pro­duisent en temps réel un volume crois­sant de don­nées variées, struc­tu­rées ou non. D’infinies pos­si­bi­li­tés de créa­tion d’applications et de richesse semblent s’offrir à nous, sachant qu’aujourd’hui le trai­te­ment des don­nées de masse joue un rôle majeur pour amé­lio­rer les offres de ser­vices, la sécu­ri­té des pro­duits, l’analyse des risques, ou pour pré­ve­nir les mala­dies, les fraudes ou la criminalité.

REPÈRES

La création et l’usage des données personnelles sont réglementés en France par la loi Informatique et Libertés de 1978 qui, dans sa version modifiée, transpose la directive européenne Protection des données personnelles de 1995.
Les données personnelles consistent en « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Cette définition, interprétée de façon large par la Commission nationale de l’informatique et des libertés (CNIL) et ses homologues européennes, couvre à la fois des informations directement nominatives (nom et prénom, adresse postale ou électronique) et des informations indirectement nominatives telles que le numéro de téléphone d’un individu.

Une société de surveillance et d’anticipation

Par­mi les don­nées trai­tées se trouvent des don­nées per­son­nelles, à savoir des don­nées qui concernent des per­sonnes phy­siques. Réa­li­sée à la fois par les entre­prises et les États, la cap­ture en masse de ce type de traces numé­riques concourt à la construc­tion d’une socié­té de la surveillance.

Les big data accroissent les possibilités de recoupement des données

En témoigne la récente contro­verse sur la trans­mis­sion de don­nées d’utilisateurs d’Internet par des mul­ti­na­tio­nales comme Google, Apple, Micro­soft ou Face­book aux ser­vices de ren­sei­gne­ments américains.

C’est éga­le­ment une socié­té de l’anticipation, voire de la pré­dic­tion, qui se dessine.

Une vigilance accrue

L’analyse du carac­tère « per­son­nel » d’une don­née doit prendre en compte tous les moyens per­met­tant d’identifier une per­sonne, y com­pris les moyens qui ne sont pas direc­te­ment acces­sibles à l’entreprise pro­cé­dant au trai­te­ment des don­nées de masse. La vigi­lance s’impose car big data et open data accroissent consi­dé­ra­ble­ment les pos­si­bi­li­tés de recou­pe­ment des don­nées et donc d’identification d’une personne.

Une fois repé­rées les don­nées per­son­nelles, leur trai­te­ment – leur col­lecte, uti­li­sa­tion, trans­mis­sion et inter­con­nexion – doit se confor­mer à l’ensemble des obli­ga­tions fixées par la loi Infor­ma­tique et Libertés.

L’opération peut se révé­ler com­plexe. Ce fai­sant, la loi Infor­ma­tique et Liber­tés contri­bue éga­le­ment à pro­té­ger la liber­té de dépla­ce­ment, la liber­té de pen­ser, le droit à la non-dis­cri­mi­na­tion, le droit au res­pect de la vie privée.

Finalité et droit à l’oubli

Les don­nées per­son­nelles doivent être col­lec­tées et trai­tées pour des « fina­li­tés » (c’est-à-dire des usages) « déter­mi­nées, expli­cites et légi­times » ; elles ne doivent pas être trai­tées ulté­rieu­re­ment de manière incom­pa­tible avec ces finalités.

Ce prin­cipe, qui irrigue tout le champ de la pro­tec­tion, est un préa­lable au prin­cipe de qua­li­té des données.

Une enseigne américaine s’est retrouvée au cœur d’un scandale, un père ayant découvert la grossesse de sa fille mineure parce qu’elle recevait des publicités de produits pour nourrisson ciblant les femmes qui attendent un enfant.

D’une part, seules les don­nées néces­saires et per­ti­nentes pour atteindre les fina­li­tés doivent être col­lec­tées. D’autre part, la durée de conser­va­tion des don­nées ne doit pas excé­der la durée néces­saire aux fina­li­tés pour les­quelles elles sont col­lec­tées. Pas­sé ce délai, les don­nées doivent être détruites. Appa­raît ain­si un droit à l’oubli.

Dans un monde de big data fon­dé sur une méthode induc­tive et non plus déduc­tive, un monde où l’analyste cherche à éta­blir des cor­ré­la­tions entre plu­sieurs infor­ma­tions sans hypo­thèses pré­dé­fi­nies, com­ment res­pec­ter ces obligations ?

Une solu­tion, qui est loin de répondre à l’ensemble des pro­blèmes posés, consiste à uti­li­ser la marge de manœuvre offerte par la loi Infor­ma­tique et Liber­tés, celle-ci pré­ci­sant qu’un trai­te­ment ulté­rieur de don­nées à des fins sta­tis­tiques ou à des fins de recherche scien­ti­fique ou his­to­rique est consi­dé­ré comme com­pa­tible avec les fina­li­tés ini­tiales de la col­lecte des données.

L’obligation d’information

L’obligation d’information implique, quant à elle, d’avertir la per­sonne de la col­lecte des don­nées per­son­nelles et de leur uti­li­sa­tion. Cette étape de trans­pa­rence est pri­mor­diale car elle condi­tionne l’exercice du droit d’accès aux don­nées per­son­nelles et du droit d’opposition.

Confidentialité et sécurité

La loi Informatique et Libertés fixe d’autres obligations telles que l’obligation de confidentialité et de sécurité des traitements de données personnelles.

En accor­dant à la per­sonne un cer­tain contrôle sur ses propres don­nées per­son­nelles et sur son image infor­ma­tion­nelle, elle consti­tue un élé­ment impor­tant de confiance.

Le droit d’information est allé­gé lorsque les don­nées col­lec­tées sont très vite ren­dues ano­nymes ou lorsque les don­nées ne sont pas recueillies direc­te­ment auprès de la per­sonne. Il est même exclu lorsque l’information de la per­sonne « se révèle impos­sible ou exige des efforts dis­pro­por­tion­nés par rap­port à l’intérêt de la démarche ».

La CNIL admet l’application de cette excep­tion tout en l’assortissant de garan­ties por­tant sur la déli­vrance d’une infor­ma­tion géné­rale, « sur un site Inter­net dédié par exemple ».

Une réflexion au cas par cas

La loi Infor­ma­tique et Liber­tés ain­si que la doc­trine de la CNIL four­nissent un cadre légal mais n’apportent pas une solu­tion « clé en main ».

Pour uti­li­ser les don­nées per­son­nelles de façon rai­son­née, une réflexion glo­bale au cas par cas se révèle néces­saire pour par­ve­nir à un « juste » équi­libre entre la pro­tec­tion du citoyen et l’intérêt légi­time pour­sui­vi par l’entreprise pro­cé­dant à l’analyse des big data.

Cette ana­lyse devra prendre en compte les para­mètres éthiques et socié­taux, notam­ment la façon dont les uti­li­sa­teurs per­çoivent la pro­tec­tion de leur vie pri­vée selon le contexte dans lequel s’opère l’utilisation des don­nées per­son­nelles : le trai­te­ment de don­nées médi­cales de masse sera per­çu dif­fé­rem­ment s’il a pour objec­tif de pré­ve­nir une épi­dé­mie ou d’afficher de la publi­ci­té en ligne pour des pro­duits coupe-faim.

Intégrer le plus en amont possible la dimension Vie privée et données personnelles

La capa­ci­té à inno­ver dans l’intérêt de l’ensemble des par­ties pre­nantes – entre­prise, citoyen, État, socié­té dans son ensemble – sup­pose alors d’intégrer le plus en amont pos­sible la dimen­sion « pro­tec­tion des don­nées per­son­nelles ». Il s’agit de mettre en place une démarche glo­bale de pri­va­cy by desi­gn impli­quant une per­sonne spé­cia­le­ment for­mée, par exemple un cor­res­pon­dant Infor­ma­tique et Liber­tés (CIL), et l’ensemble des opé­ra­tion­nels (ser­vice mar­ke­ting et juri­dique, direc­tion des sys­tèmes d’information, etc.).

Il peut éga­le­ment être per­ti­nent de consul­ter la CNIL. Cette démarche ne doit pas être consi­dé­rée comme une contrainte mais comme l’occasion d’instaurer un véri­table dia­logue. Cette évo­lu­tion vers moins de pro­cé­dure admi­nis­tra­tive au pro­fit d’une démarche d’accoun­ta­bi­li­ty (res­pon­sa­bi­li­té) est clai­re­ment per­cep­tible dans la pro­po­si­tion de règle­ment Pro­tec­tion des don­nées per­son­nelles de 2012.

Ce pro­ces­sus conti­nu per­met à l’entreprise de s’assurer qu’elle uti­lise à bon escient les don­nées per­son­nelles via des outils variés : adop­tion de règles internes, ana­lyses d’impact, for­ma­tion des per­son­nels, audits, etc.

Le recours à ces outils contri­bue alors à faire de la pro­tec­tion des don­nées per­son­nelles un label de qua­li­té dans le cadre d’un usage rai­son­né des don­nées contri­buant à la construc­tion d’un véri­table cli­mat de confiance.

Commentaire

Ajouter un commentaire

Tru Dô-Khac répondre
16 mars 2014 à 14 h 19 min

Le droit d’au­teurs, des don­nées personnelles

Bonjour,

Les don­nées per­son­nelles consistent en « toute infor­ma­tion rela­tive à une per­sonne phy­sique iden­ti­fiée ou qui peut être iden­ti­fiée, direc­te­ment ou indi­rec­te­ment, par réfé­rence à un numé­ro d’identification ou à un ou plu­sieurs élé­ments qui lui sont propres ».

Les textes por­teurs de droit d’au­teur sont donc des don­nées per­son­nelles. Dans une uti­li­sa­tion rai­son­née, mais aus­si éco­no­mi­que­ment et socia­le­ment res­pon­sable, on attend de la part des acteurs numé­riques tirant un pro­fit de l’ex­ploi­ta­tion de ces don­nées une « réci­pro­ci­té » vis à vis des por­teurs de droits.

Répondre