open data et protection des données personnelles : que prévoit le droit ?

Lorsqu’on parle des big data, on assiste à deux réactions contradictoires : les uns s'émerveillent face aux innovations qui en émergent, les autres s’inquiètent des dérives liées à l’usage des données personnelles. Comment les cadres juridiques français et européens répondent à ces nouveaux usages ?

L’utilisation des big data a évolué de la pratique du « simple » data mining à l’application de modèles statistiques permettant de compléter des lots de données incomplets et d’établir des prédictions. Tous les domaines de la vie quotidienne et économique y sont potentiellement éligibles à partir du moment où des données sont produites, collectées et mises à disposition sous des conditions spécifiques.

Un changement de paradigme discriminant ?

Dans le domaine des big data, les méthodes de modélisation prédictive permettent des avancées phénoménales dans la création de services mais posent également des questions en termes d’éthique. En effet, d’une part la finalité de l’usage des données n’est plus conçue a priori mais possiblement générée par le traitement des données lui-même. D’autre part, les prédictions portent à considérer les individus non plus sur la base de leurs comportements passés mais sur la probabilité de leurs actions futures. Dès lors, des enjeux de discrimination et d’égalité d’accès aux services se dessinent.

Or, les lois européennes et françaises traitant du sujet (Directive 95/46/CE et la loi Informatique et libertés) ont été rédigées avant ce changement de paradigme et tenaient compte d’une finalité de traitements prédéfinies, ainsi qu’une collecte limitée aux données qui doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Des garde fous légaux ont-ils été créés depuis pour garantir une utilisation raisonnée des big data ?

L’Union européenne s’est penchée sur cette question en 2015 : le Contrôleur européen de la protection des données a posé quatre principes de protection des données personnelles. Toute utilisation de données doit :
– garantir la prise en compte de la vie privée au sein du mode de fonctionnement des systèmes d’information. C’est ce qu’on appelle le « privacy by design » ;
– garantir la transparence du traitement des données ;
– permettre aux personnes physiques d’assurer le contrôle de leurs données par leur portabilité et le droit à l’effacement ;
– respecter le principe d’« accountability » par la documentation, l’évaluation et l’analyse d’impact de l’utilisation des données.
L’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a formulé des recommandations allant dans le même sens dans son rapport de 2015.

Zoom sur… les données personnelles

Les données personnelles permettent d’identifier de façon directe ou indirecte une personne physique. Elles sont protégées par la loi Informatique et Libertés (catégorie « données à caractère personnel »). On peut citer en exemple les noms, adresses, géolocalisation.

Plus d'articles