Le Big Data fait l’objet de plus en plus de discussions depuis quelques années. Ce terme, englobant la récupération et l’utilisation des données numériques par des personnes privées mais aussi publiques, est source de tous les fantasmes, et à juste titre : Jamais telle quantité de données n’avait été récupérable, et surtout exploitable. Mais s’il est possible de se réjouir des perspectives apportées par la technique, il faut également se demander quels enjeux pèsent dans la balance. Parmi ceux-ci, nous nous attacherons ici aux potentielles atteintes à la vie privée, notamment dans le cas du traitement de données personnelles. Car si les données amassées sont souvent pratiques, adaptant notre environnement numérique en fonction de notre historique, grâce aux cookies par exemple, leur utilisation par les entreprises privées comme Facebook ou Google est parfois bien obscure.
Les grandes entreprises du net reçoivent en permanence un flot continu d’informations personnelles de la part de leurs usagers. Facebook saura ainsi grâce à vos likes quels sont vos musiciens préférés et dans quels kebab vous avez vos habitudes, vous proposant éventuellement de liker d’autres musiciens similaires, ou de tenter le mexicain du coin. Google percevra vos recherches, les adaptant selon votre profil, et GMaps pourra permettre de trouver votre position et vous emmener à destination (donc éventuellement au mexicain).
N’est visible pour l’instant que l’avantage du public. Mais bien entendu l’utilisation de ces données ne se limite pas à adapter au mieux l’expérience numérique des utilisateurs : Les données personnelles sont une mine d’or que les géants du net exploitent avec plaisir. En 2012 156 milliards de dollars auraient été tirés de l’exploitation des données personnelles d’après l’institut américain Data Driven Marketing, chiffre qui pourrait être quadruplé si les entreprises utilisaient toutes les données à leurs dispositions. Facebook à lui seul a terminé l’année 2015 avec un chiffre d’affaire de plus de 17 milliards de dollars(1).
Comment transformer la donnée en monnaie ? La réponse passe le plus souvent par la publicité : Le profilage de catégories de personnes et de leurs centres d’intérêt permet de prédire des tendances futures : Quelle marque de vêtement la ménagère de moins de 50 ans préfère-t-elle ? Où les Dupont veulent-ils aller faire du ski ? Les étudiants en droit préfèrent-ils les codes civils Dalloz ou LexisNexis ?!! (Tendance à hauts enjeux. Ou pas.)
Si la volonté est là, les moyens semblent encore manquer : Les algorithmes nécessaires à l’exploitation des masses gigantesques de données concernées ne sont pas toujours opérationnels, et parfois les entreprises elles-mêmes sont incapables de profiter des données disponibles(2). Toujours est-il que le potentiel de ces données est présent. De sorte que les Etats aussi s‘y sont mis, dont bien entendu la France.
Et face à cet engouement effréné se pose bien sur la question de la protection du droit au respect de la vie privée. Les médias rappellent régulièrement les risques relatifs au Big Data, souvent rapproché du Big Brother d’Orwell(3). Quelles garanties législatives sont alors offertes ?
Les fondements législatifs et conventionnels sont assez nombreux : L’article 9 du code civil et l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme protègent la vie privée de façon générale, mais des textes plus spécifiques existent, tels que des directives européennes sur le traitement des données à caractère personnel, qui outre la protection des utilisateurs de services privés, prévoit aussi la protection de ces données au sein des institutions de l’UE. La protection des données à caractère personnel est d’ailleurs protégée à l’article 8 de la charte des droits fondamentaux de l’UE, juste après le droit au respect de la vie privée qui figure à l’article 7.
Nous avons donc en apparence de nombreux principes. Mais si les principes font joli sur le papier, qu’en est-il des faits?
Comme le rappelle Christophe Maubernard(4), les textes européens se sont souvent montrés insuffisants, comme l’a montré la Cour de Justice des Communautés Européennes dans un arrêt Digital Rights Ireland Ltd (5) où elle constate « que [la directive 2006/24] ne prévoit pas de règles claires et précises régissant la portée de l’ingérence dans les droits fondamentaux« . En effet, cette directive ne garantit pas que les données soient conservées sur le sol européen, empêchant une protection efficace.
Dans cette lignée, la cour de justice a par la suite(6) invalidé l’accord international « Safe Harbor » qui assurait la protection des données personnelles transférées de l’UE vers les Etats-Unis. Si cet accord a trouvé un successeur avec le Privacy Shield de Juillet dernier, ce dernier fait l’objet de nombreuses critiques remettant en cause son efficacité(7). Celles-ci considèrent que malgré l’accord, les Etats-Unis ne proposent toujours pas une protection suffisante, se permettant une surveillance des données européennes dès lors qu’entre en jeu la « sécurité nationale » et « l’intérêt public », notions assez floues. Il faut donc se questionner sur l’avenir du Privacy Shield.
De même, le texte européen autorisant les Etats à conserver des données biométriques (RCE n° 2252/2004), cet acte n’oblige pas un État membre à garantir, dans sa législation, que les données biométriques ne seront ni utilisées ni conservées par cet État à des fins autres que la délivrance de passeports et cartes d’identité, comme l’a rappelé le juge européen dans un arrêt W. P. Willems (8).
Les textes français conditionnent l’exploitation des données personnelles de façon assez floue : Une des 7 conditions alternatives d’exploitation est « l’intérêt légitime » de l’entreprise(9). Mais le terme n’est pas défini. Ce flou pourrait dès lors permettre une exploitation sans consentement de l’internaute, dès lors qu’il y a un profit potentiel pour l’entreprise.
Si les textes de protection sont imparfaits, y-a-t-il pour autant de réels risques d’atteintes ? Spoilers : Oui. De la conservation illégitime de données relatives à l’identification des élèves scolarisés par le ministère de l’éducation nationale(10) à la tentative de Ricard de maitriser l’envoi de messages par Facebook grâce à une application(11) en passant par Twitter refusant de se plier à la législation française au motif que son service est presté de Californie(12), les atteintes possibles sont nombreuses. Ces atteintes ne sont d’ailleurs pas nécessairement le fait de personnes morales privées ou publiques : elles peuvent provenir d’autres internautes qui pourraient avoir accès à vos données au travers de moteurs de recherche comme Google, Yahoo ou DuckDuckGo (13).
Mais l’UE est consciente de ces failles et tente de les combler.
Un nouveau règlement européen sur la protection des données du 4 mai 2016 va s’appliquer à partir de 2018 (14). Il permettra notamment de mieux connaître l’usage des données par les professionnels. Pour ce faire, le texte pose une obligation du professionnel d’informer l’internaute de l’usage qu’il fera de ses données, et d’obtenir son consentement pour cet usage.
Le texte crée également un droit à la portabilité des données : il pourra récupérer ses données auprès d’un professionnel pour ensuite les transférer à un autre (tant que l’utilisation de ce droit ne sera pas excessive ou infondée). La mesure vise ainsi à donner aux internautes la maîtrise de leurs données. Reste à savoir comment ?
Le texte va de plus conditionner le transfert de données hors union européenne. Ce transfert sera ainsi possible à la condition que les responsables assurent aux données une protection équivalente à la protection européenne. Nous retrouvons donc la condition de protection équivalente portée par la jurisprudence de la cour de justice.
La volonté du législateur européen de combler les failles du système est sensible . Mais face à un objet aussi versatile que la donnée, la seule initiative européenne pourrait bien être insuffisante.
THOMÉ Pierre-Yves
1ère année Master IP/IT
Sources :
2 : http://lemonde.fr/pixels/article/2015/10/29/big-data-la-nouvelle- frontiere_4799387_4408996.html
4 : « La protection des données à caractère personnel en droit européen » – Christophe Maubernard – Rev. UE 2016. 406
5 : Digital Rights Ireland Ltd (C-293/12) c/ Minister for Communications, Marine and Natural Resources et autres et Kärntner Landesregierung (C-594/12) et autres.
6 : C-362/14 Maximillian Schrems / Data Protection Commissioner
8 : CJUE ch. 4e 16 avril 2015, aff. C-446/12 W. P. Willems c/ Burgemeester van Nuth
9 : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article6
10 : Conseil d’Etat – 19 juillet 2010 – n° 334014
11 : CA Paris – 23 mai 2012 – n° 11/15591
12 : Tribunal de grande instance de Paris – 24 janvier 2013 – n° 13/50262
13 : CJUE, gr. ch., 13 mai 2014, aff. C-131/12, Google Spain c/ Agencia Española de Protección de Datos