Big Data : les carences du Droit

Le droit français limite la possibilité d’exploiter et de conserver les big data à la seule utilisation déclarée au préalable, sans autre possibilité de conservation. Un projet de règlement européen, très attendu, devrait clarifier le droit applicable en la matière

La proposition de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est toujours à l’étude. À ce jour, la résolution législative du parlement européen du 12 mars 2014 est la dernière avancée en date. La prise en compte de ces données par le droit européen devient pourtant urgente.

En effet, les entreprises ont commencé la collecte et le traitement de ces données depuis au moins cinq ans. Même si des normes existent déjà en la matière, ce projet de règlement est le seul à prendre en compte les dernières évolutions technologiques.

Les données personnelles ou little data (données personnelles issues des réseaux sociaux, carte de fidélité, cookies…) forment une part importante des Big data, ces données massives, tellement volumineuses, qu’il est difficile de les traiter avec les outils classiques. Les Big data proviennent des little data* et des open datas** (les données librement utilisables mises en ligne par un particulier ou un État).

Ce que dit le droit

La loi du 6 janvier 1978 (art. 2 al. 2) relative à l’informatique, aux fichiers et aux libertés modifiées en 1991 et 2004 pour transposer la directive européenne 95/46 CE sur la protection des données personnelles, précise notamment que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (…) ».

En France, tout traitement de données personnelles doit avoir un objectif défini, précis, avant sa mise en œuvre, et être annoncé au préalable par le responsable de traitement auprès de la CNIL. Cet objectif doit être respecté pendant toute la durée du traitement. Si les données collectées sont exploitées à toute autre fin, le responsable du traitement encourt une sanction pénale pour détournement de finalité passible de 5 ans d’emprisonnement et de 300.000 € d’amende ( article 226-21 du Code pénal ).

Le cas particulier des Big data

La singularité des Big data est qu’elles sont enregistrées de manière automatique dans le but de permettre leur exploitation et leur analyse sans but prédéterminé et sans limites de temps. Leur apparition s’explique par le développement d’internet et par celui des capacités de stockage et de calcul qui permettent leur traitement à des coûts plus réduits. L’utilisation de ces Big data est variée et présente un potentiel jusque-là inégalé pour les entreprises.

Ainsi, l’analyse des mouvements de foule à l’aide des données des téléphones portables a facilité la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010. Le discours du président Obama, lors de la campagne de 2012, a été modifié en fonction du réseau social Twitter.

Les magasins américains Target ont été capables d’identifier les femmes qui attendaient un enfant en analysant les données provenant des cartes de fidélité (selon certains produits qu’elles achetaient à l’instar des crèmes sans parfum par exemple). Ils ont ainsi pu identifier les femmes enceintes et leur proposer des produits adaptés***.

Google a également un projet de suivi de la grippe et de la dengue par l’étude de ces mots-clés à l’aune du nombre de personnes atteintes. Les États ont désormais des possibilités d’étude et de surveillance sans commune mesure, les entreprises ont également un levier extraordinaire pour analyser le comportement de leurs clients et ainsi améliorer leur business model.

Face à cette collecte globale, la loi du 6 janvier 1978 assure le respect des intérêts de la personne. Cela vaut également lorsque les personnes publient volontairement des informations les concernant sur les réseaux sociaux.

La CNIL a en effet jugé que des informations rendues publiques par les intéressés puis re-privatisées en fermant des profils ne sont plus librement disponibles pour des tiers qui les utiliseraient dans le cadre d’une activité commerciale. La compilation de données en soi n’est pas illicite, mais les personnes concernées sont en droit d’en exiger la suppression (article 38 de la loi de 1978).

Le hiatus vient du fait qu’en droit français les données personnelles ( little data) ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation des données pour une utilisation ultérieure éventuelle et dans un but non encore déterminé.

Sans pour autant fantasmer sur les opportunités ou les effets pervers du Big data, il convient de s’assurer de l’impossibilité de la re-transformation des Big data en little data. Les récents scandales PRISM et MUSCULAR, révélés par Thomas Drake et Edward Snowden, en témoignent. Il y va de la confiance des consommateurs dans l’économie numérique et de la sauvegarde de nos démocraties des États. Le projet de règlement européen attendu sur le sujet devrait clarifier le droit applicable en la matière, car les risques de dérives comme de bénéfices sont réels.

Isabelle Beyneix / Enseignant-chercheur en droit à Novancia Business School Paris

Publicités