Par Guillaume Seligmann, avocat associé. CVML
Big Data : les enjeux juridiques d’une (r)évolution technologique
La masse de données que nous produisons et échangeons chaque jour est en passe de devenir, avec le traitement à l’échelle industrielle qu’est le « Big Data », un des combustibles de l’économie du XXIe siècle. Si l’on perçoit sans peine l’importance de ces nouveaux moyens de traitement de l’information pour définir des stratégies pertinentes, quels en sont les enjeux sur le plan juridique ?
L’aventure du Big Data trouve sa source dans quatre grandes évolutions technologiques relativement récentes : le développement de la diversité des terminaux (PC, mobile, tablettes, Machine-to-Machine) et des usages (e-commerce, réseaux sociaux, géolocalisation), l’ouverture par les gouvernements des bases de données publiques, et enfin la démocratisation de plateformes technologiques de grande puissance (cloud computing) permettant le stockage, l’agrégation et le traitement de données massives, souvent en temps réel. Saisissant les opportunités offertes par cette conjonction d’évolutions, les acteurs du Big Data ont développé des outils de traitement de données à grande échelle permettant d’identifier, au sein de cette masse de données, celles qui sont pertinentes pour lire une réalité et sous-tendre une stratégie (commerciale, publicitaire, industrielle, etc.).
Volume, Variété, Vélocité, Valeur : quatre défis
Le terme de «?Big Data?» a ainsi émergé pour désigner cette forme nouvelle d’analyse en temps réel de données massives, caractérisée par quatre V : Volume, Variété, Vélocité, et Valeur. Cela pourrait être considéré comme un débat d’experts pour informaticiens si les enjeux du Big Data n’intéressaient pas également le juriste : au-delà de la seule protection des données personnelles, qui, pour essentielle qu’elle soit, ne représente en réalité qu’une partie des questions posées par cette nouvelle pratique, l’avènement du Big Data exige que l’on analyse également les questions de sécurité, de contrôle, et de protection des données et des processus de traitement, mais aussi de responsabilité des acteurs.
Données personnelles : la partie émergée de l’iceberg
Le traitement de données à caractère personnel est régi en France par les dispositions de la loi «?Informatique et libertés?» du 6?janvier 1978, et les règles issues de la Directive européenne 95/46/CE. Parmi les principes édictés par cette législation, ce sont certainement ceux relatifs au contrôle de la finalité et à l’exigence de proportionnalité et de pertinence des traitements (entendue restrictivement) qui poseront le plus de problèmes aux opérateurs de Big Data. Du fait des rapprochements, croisements et analyses de données issues de sources diverses et de la dispersion des moyens de traitement (dans le cas du recours au cloud computing), les responsables de traitement devront veiller à encadrer sur le plan juridique la mise en œuvre des traitements de données personnelles, y compris en cas de sous-traitance. À cet égard, la nécessité de déclaration (voire d’autorisation) en amont, l’interprétation restrictive du consentement des intéressés au traitement de données personnelles (le futur règlement européen prévoyant le renforcement de la protection de leurs droits), et les contraintes relatives aux finalités de traitement des données collectées constituent autant de défis du point de vue de la conformité réglementaire des opérations de Big Data.
Exigences de sécurité et de contrôle des traitements
Corollaire de la valeur attachée aux données (personnelles ou non) et de l’avantage concurrentiel issu d’une analyse efficace du patrimoine informationnel de l’entreprise, la sécurité des données et des traitements est capitale pour tous les opérateurs de la chaîne du Big Data. Cela implique non seulement la mise en œuvre de mesures de protection contre les attaques extérieures, la cyber-fraude et les atteintes à la sécurité des données et des moyens de traitement, mais aussi - plus paradoxalement – la mise en place, au sein de l’entreprise, de mesures de contrôle de la conformité des traitements. Dès lors, le recours au Big Data requiert que les opérateurs qui fondent leurs processus de décision sur les analyses et données qui en sont issues possèdent une maîtrise a priori (dans la conception du traitement des données) et un contrôle a posteriori (capacité à auditer et vérifier l’intégrité des processus) des conditions de traitement de l’information. Cette double exigence de sécurité et de contrôle s’impose tout d’abord sur le plan économique, puisqu’elle est la condition de la confiance des opérateurs dans les outils de définition de leur stratégie fondés sur l’analyse des données. Elle s’impose ensuite sur le plan opérationnel, car les marges d’erreur, le pourcentage de données incertaines ou «?polluées?» sont en corrélation directe avec l’augmentation du volume de données traité. Enfin, elle s’impose sur le plan juridique, car elle constitue la condition de licéité du recours à ces outils : les contraintes, contractuelles et réglementaires, régissant les domaines d’application du Big Data requièrent en effet la sécurisation et l’auditabilité (contrôle de la conformité, de l’intégrité et de la qualité) des traitements.
Protéger la valeur et gérer le risque par le contrat
Le patrimoine informationnel et le savoir-faire analytique développés dans le cadre du Big Data constituent des actifs qu’il importe de protéger. À défaut de texte spécifique, la protection des moyens de traitement repose sur un ensemble de règles protégeant le logiciel, la base de données, le savoir-faire et le secret des affaires. La protection des bases de données découle la loi du 1er?juillet 1998, qui offre au producteur une protection contre une extraction ou une réutilisation d’une «?partie substantielle?» de celle-ci. Quant aux données elles-mêmes, leur régime de protection varie selon qu’il s’agit de données privées (produites par une entreprise ou relevant de la sphère privée), insusceptibles d’appropriation par un tiers et protégées par les dispositifs légaux sanctionnant la contrefaçon, la concurrence déloyale, le parasitisme ou la violation du secret de fabrication - ou au contraire de données publiques relevant de l’open data, et dont l’exploitation est en principe libre, sous réserve des conditions propres à ce régime. Enfin, une chaîne n’étant jamais plus solide que son maillon le plus faible, les acteurs du Big Data, fournisseurs de données, opérateurs de traitement, ou clients utilisateurs, doivent veiller à maîtriser par le contrat les risques inhérents au recours à ces moyens d’analyse.
En conclusion, et comme souvent dans le cas de ruptures technologiques, l’absence de cadre légal spécifique laisse un large champ à la loi du contrat pour protéger la valeur et gérer les risques liés au Big Data. Au vu de l’importance des enjeux du Big Data, l’intégration de la variable juridique est donc un impératif !
L’aventure du Big Data trouve sa source dans quatre grandes évolutions technologiques relativement récentes : le développement de la diversité des terminaux (PC, mobile, tablettes, Machine-to-Machine) et des usages (e-commerce, réseaux sociaux, géolocalisation), l’ouverture par les gouvernements des bases de données publiques, et enfin la démocratisation de plateformes technologiques de grande puissance (cloud computing) permettant le stockage, l’agrégation et le traitement de données massives, souvent en temps réel. Saisissant les opportunités offertes par cette conjonction d’évolutions, les acteurs du Big Data ont développé des outils de traitement de données à grande échelle permettant d’identifier, au sein de cette masse de données, celles qui sont pertinentes pour lire une réalité et sous-tendre une stratégie (commerciale, publicitaire, industrielle, etc.).
Volume, Variété, Vélocité, Valeur : quatre défis
Le terme de «?Big Data?» a ainsi émergé pour désigner cette forme nouvelle d’analyse en temps réel de données massives, caractérisée par quatre V : Volume, Variété, Vélocité, et Valeur. Cela pourrait être considéré comme un débat d’experts pour informaticiens si les enjeux du Big Data n’intéressaient pas également le juriste : au-delà de la seule protection des données personnelles, qui, pour essentielle qu’elle soit, ne représente en réalité qu’une partie des questions posées par cette nouvelle pratique, l’avènement du Big Data exige que l’on analyse également les questions de sécurité, de contrôle, et de protection des données et des processus de traitement, mais aussi de responsabilité des acteurs.
Données personnelles : la partie émergée de l’iceberg
Le traitement de données à caractère personnel est régi en France par les dispositions de la loi «?Informatique et libertés?» du 6?janvier 1978, et les règles issues de la Directive européenne 95/46/CE. Parmi les principes édictés par cette législation, ce sont certainement ceux relatifs au contrôle de la finalité et à l’exigence de proportionnalité et de pertinence des traitements (entendue restrictivement) qui poseront le plus de problèmes aux opérateurs de Big Data. Du fait des rapprochements, croisements et analyses de données issues de sources diverses et de la dispersion des moyens de traitement (dans le cas du recours au cloud computing), les responsables de traitement devront veiller à encadrer sur le plan juridique la mise en œuvre des traitements de données personnelles, y compris en cas de sous-traitance. À cet égard, la nécessité de déclaration (voire d’autorisation) en amont, l’interprétation restrictive du consentement des intéressés au traitement de données personnelles (le futur règlement européen prévoyant le renforcement de la protection de leurs droits), et les contraintes relatives aux finalités de traitement des données collectées constituent autant de défis du point de vue de la conformité réglementaire des opérations de Big Data.
Exigences de sécurité et de contrôle des traitements
Corollaire de la valeur attachée aux données (personnelles ou non) et de l’avantage concurrentiel issu d’une analyse efficace du patrimoine informationnel de l’entreprise, la sécurité des données et des traitements est capitale pour tous les opérateurs de la chaîne du Big Data. Cela implique non seulement la mise en œuvre de mesures de protection contre les attaques extérieures, la cyber-fraude et les atteintes à la sécurité des données et des moyens de traitement, mais aussi - plus paradoxalement – la mise en place, au sein de l’entreprise, de mesures de contrôle de la conformité des traitements. Dès lors, le recours au Big Data requiert que les opérateurs qui fondent leurs processus de décision sur les analyses et données qui en sont issues possèdent une maîtrise a priori (dans la conception du traitement des données) et un contrôle a posteriori (capacité à auditer et vérifier l’intégrité des processus) des conditions de traitement de l’information. Cette double exigence de sécurité et de contrôle s’impose tout d’abord sur le plan économique, puisqu’elle est la condition de la confiance des opérateurs dans les outils de définition de leur stratégie fondés sur l’analyse des données. Elle s’impose ensuite sur le plan opérationnel, car les marges d’erreur, le pourcentage de données incertaines ou «?polluées?» sont en corrélation directe avec l’augmentation du volume de données traité. Enfin, elle s’impose sur le plan juridique, car elle constitue la condition de licéité du recours à ces outils : les contraintes, contractuelles et réglementaires, régissant les domaines d’application du Big Data requièrent en effet la sécurisation et l’auditabilité (contrôle de la conformité, de l’intégrité et de la qualité) des traitements.
Protéger la valeur et gérer le risque par le contrat
Le patrimoine informationnel et le savoir-faire analytique développés dans le cadre du Big Data constituent des actifs qu’il importe de protéger. À défaut de texte spécifique, la protection des moyens de traitement repose sur un ensemble de règles protégeant le logiciel, la base de données, le savoir-faire et le secret des affaires. La protection des bases de données découle la loi du 1er?juillet 1998, qui offre au producteur une protection contre une extraction ou une réutilisation d’une «?partie substantielle?» de celle-ci. Quant aux données elles-mêmes, leur régime de protection varie selon qu’il s’agit de données privées (produites par une entreprise ou relevant de la sphère privée), insusceptibles d’appropriation par un tiers et protégées par les dispositifs légaux sanctionnant la contrefaçon, la concurrence déloyale, le parasitisme ou la violation du secret de fabrication - ou au contraire de données publiques relevant de l’open data, et dont l’exploitation est en principe libre, sous réserve des conditions propres à ce régime. Enfin, une chaîne n’étant jamais plus solide que son maillon le plus faible, les acteurs du Big Data, fournisseurs de données, opérateurs de traitement, ou clients utilisateurs, doivent veiller à maîtriser par le contrat les risques inhérents au recours à ces moyens d’analyse.
En conclusion, et comme souvent dans le cas de ruptures technologiques, l’absence de cadre légal spécifique laisse un large champ à la loi du contrat pour protéger la valeur et gérer les risques liés au Big Data. Au vu de l’importance des enjeux du Big Data, l’intégration de la variable juridique est donc un impératif !
