Au-delà du casse-tête juridique des données personnelles, les enjeux éthiques du Big Data

Comment le cadre légal peut-il prévenir les abus et lutter contre l’utilisation dommageable des données personnelles sans paralyser la croissance de l’économie numérique ? A l’évidence, l’exercice est périlleux et demande une approche à la fois rigoureuse et flexible.

Le Big Data se caractérise par sa capacité à traiter à très grande vitesse des quantités considérables de données structurées et non structurées, issues de sources multiples et ce, de manière imperceptible pour l’individu. Les résultats et les conséquences s’en trouvent exacerbés. Méga-données, méga progrès mais aussi méga risques, le Big Data ouvre le champ des possibles.

Une étude de Stanford[1] nous a appris récemment que Facebook nous connaitrait mieux que notre meilleur ami ou que n’importe quel membre de notre famille.  Fascinant… ou inquiétant ? Pour A. Rouvroy, philosophe, nous faisons face à un court-circuitage des capacités d’entendement, de volonté et d’énonciation de la personne par l’informatique, à une hypertrophie de la sphère privée et à une raréfaction de la sphère publique c’est-à-dire des choses qui n’ont pas été pré-vues pour un individu. Bienvenue dans l’ère du Big Data, « The Black Box Society »[2]. 

Que nous le voulions ou non et plus vite qu’on ne l’imagine, le Big Data fera partie de notre quotidien. A l’ère du Big Data, plus que jamais et comme l’écrivit en son temps Antoine de Saint Exupery, il ne s’agit pas plus de  prévoir l’avenir, mais bien de le rendre possible.[3].

Derrière le mot « Big Data », la réalité recouvre une grande diversité de traitements de données mis en œuvre à l’aide de techniques d’apprentissage automatique, d’analyse prédictive ou préemptive, de fusion ou de fouille des données par exemple. Or ces techniques ont toutes pour objectif de donner du sens aux données.  Ces traitements portent sur des données brutes, des données de localisation, de navigation, des métadonnées, des informations issues des réseaux sociaux ou provenant de l’administration.

A partir de ce qui a été et de ce qui est, les algorithmes prédisent ce qui sera ou ce qui pourrait être, l’objectif ultime étant de faire en sorte que cela se produise. Comment le cadre légal peut-il prévenir les abus et lutter contre l’utilisation dommageable des données personnelles sans paralyser la croissance de l’économie numérique ?

Comment empêcher l’exploitation d’ « anomalies profitables » chez les individus sans freiner les progrès liés aux nouvelles technologies ? A l’évidence, l’exercice est périlleux et demande une approche à la fois rigoureuse et flexible.

En Europe, le régime juridique des traitements de données permettant d’identifier directement ou indirectement une personne est défini principalement par la directive 95/46/EC, transposée en droit français en 2004 dans la loi « informatique et libertés » du 6 janvier 1978.  Cette législation fait l’objet, au niveau de l’Union Européenne, d’un projet de réforme qui devrait aboutir prochainement à un règlement applicable uniformément au sein de l’Union. Le règlement sera applicable à tout professionnel fournissant des produits et des services aux citoyens de l’Union, y compris à titre gratuit, indépendamment de sa propre localisation. Il s’appliquera notamment aux activités consistant à suivre le comportement et les habitudes des personnes selon des méthodes de profilage, en vue de prendre des décisions à leur égard ou d’analyser et de prédire leurs préférences personnelles, leurs comportements et leurs attitudes. Pour cette raison, notre analyse tiendra compte non seulement du droit en vigueur, mais également du projet de règlement tel qu’il existe à ce jour ainsi que de la doctrine des autorités de régulation.

Tout projet de Big Data traitant d’informations concernant des personnes doit donc respecter les principes et les obligations de protection des données édictés par la loi et notamment le principe de « finalité spécifique ». Mais il est aussi indispensable d’analyser quels peuvent être les risques pour la vie privée, les droits et les libertés fondamentaux des personnes.

Aussi et au-delà de la seule démarche de conformité, le traitement de données personnelles dans le contexte du Big Data soulève deux problématiques :

Au sens de la loi de 1978 modifiée (articles 6 et 38), un nouveau traitement des données qui ne serait pas compatible avec la finalité initiale de la collecte  de ces données est  contraire à la loi. En revanche, un traitement ultérieur est autorisé et n’a pas besoin de nouvelle base légale au sens de l’article 7 de la loi tant que sa finalité n’est pas incompatible avec la ou les finalités initiales.

A titre d’exception à cette règle, les traitements des données à des fins statistiques, historiques ou de recherche ne sont pas incompatibles avec la ou les finalité(s) initiale(s). Cela peut concerner des traitements aussi variés que des outils d’analyse de sites internet ou des applications de Big Data utilisées à des fins de recherche[5].

Si la compatibilité ou l’incompatibilité du traitement ultérieur est évidente, il ne sera pas nécessaire, sauf exception,  de mener une analyse complémentaire. Dans le cas contraire, le G29[6] invite le responsable de traitement à faire un test de compatibilité[7].  

• Le test de compatibilité ne se réduit pas à une vérification mécanique.

Il repose sur une évaluation méthodique en plusieurs étapes et au cas par cas de divers critères. Il s’agit de :

Outre le contexte de la collecte, la sensibilité des données et les catégories de personnes concernées, le test doit prendre en compte les impacts positifs et négatifs du traitement ultérieur tels que le respect des droits et notamment du droit d’opposition des personnes, particulièrement en cas de profilage.

Il s’agit aussi d’analyser les mesures de sécurité en termes de disponibilité, d’intégrité, de confidentialité des données et de vérifier les mesures de sauvegarde des droits des personnes qui doivent empêcher que les données ne soient utilisées pour prendre des décisions ou des mesures préjudiciables vis-à-vis des personnes. Afin de déterminer les mesures qui doivent être prises, le G29 recommande de distinguer deux scénarios, selon que le traitement vise à déterminer des tendances et des corrélations au niveau des informations, ou qu’il vise à analyser ou prédire les préférences, les comportements ou les attitudes des individus pour prendre des décisions les concernant.

• Le nouveau règlement européen, sous l’influence du Conseil des Ministres pourrait ouvrir la boite de Pandore.

Il n’est en effet pas exclu que des traitements ultérieurs incompatibles avec la finalité initiale soient autorisés sur la base de l’intérêt légitime du responsable de traitement à condition qu’il soit prépondérant sur les intérêts et les droits et libertés fondamentaux des personnes[8]. Ainsi une personne déjà cliente pourrait selon le contexte voir les données la concernant faire l’objet d’un traitement de Big Data.

Si « rien n’est convenu tant que tout n’est pas convenu » selon la formule consacrée, il est acquis que les Etats membres pourront décider d’un cadre juridique national plus strict en imposant certaines mesures de sauvegarde et des règles plus sévères pour les traitements de données jugés sensibles particulièrement en matière d’emploi, de santé et de protection sociale.

A ce jour il n’existe pas d’obligation légale de mener une étude d’impact sur la protection des données et de la vie privée. En revanche cette obligation est prévue par l’article 33 du projet de règlement européen en cas de « risques spécifiques ».

• Des « risques spécifiques » aux « risques élevés » :

En l’état actuel du projet de règlement européen consolidé après les échanges entre la Commission et le Conseil, on se dirige semble-t-il vers une obligation de mener une étude d’impact  dans  l’hypothèse où le traitement sera susceptible de présenter des « risques élevés » pour les droits et les libertés des personnes, tels que la discrimination, l’usurpation d’identité ou la fraude, une perte financière, un dommage pour la réputation, une faille portant sur les pseudonymes, la violation de la confidentialité de données protégées par le secret professionnel ou tout autre inconvénient économique ou social.

Cela concerne en particulier, mais sans que cela soit exhaustif les traitements suivants :

- Le profilage des personnes via un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité[9] et sur la base duquel sont prises des mesures ayant des effets juridiques à son égard ou qui l’affectent de manière significative[10] ;- Les traitements à grande échelle de données sensibles,- Le contrôle d’espaces publics à large échelle à l’aide de systèmes optiques électroniques.
- Chaque autorité nationale de protection des données tiendra une liste des traitements devant faire l’objet d’une étude d’impacts.

• Quel doit être le contenu d’une étude d’impact ?

Une étude d’impact porte sur l’ensemble du cycle de vie des données, de leur collecte à leur destruction ou anonymisation.

Elle doit au minimum comprendre les éléments suivants :

- une description du traitement, y compris une cartographie des flux,
- une évaluation des risques[11] indiqués ci-dessus,
- une description des mesures envisagées pour traiter les risques et s’en prémunir (il pourra par exemple être fait état de mesures de « Privacy by Design »),
- une description des mesures de sécurité et des mécanismes mis en œuvre afin de protéger les données personnelles et de démontrer la conformité du traitement, tout en tenant compte des droits et des intérêts légitimes des personnes concernées.

L’étude doit en outre faire état de l’avis des personnes concernées ou de leurs représentants.

L’analyse des risques quant à elle va bien au-delà de la seule conformité à la loi de protection des données puisqu’il s’agit d’analyser les impacts éventuels sur la vie privée, les droits et les libertés fondamentaux des personnes.

Enfin, s’il résulte de l’étude que persistent des « risques élevés », le responsable de traitement devra obligatoirement et préalablement à la mise en œuvre du traitement consulter l’autorité de protection des données (la CNIL en France). Cette dernière pourra alors refuser la mise en œuvre d’un traitement illégal ou demander des mesures complémentaires si l’évaluation des risques est insuffisante.