Notes
-
[1]
Les auteurs remercient Alain Rallet pour les échanges constants tout au long de la rédaction de cet article qui ont contribué à en améliorer la version finale.
1Cloud computing, big data : une révolution est en marche ! (Mayer-Schönberger et Cukier, 2014) [1] Notre société serait entrée dans une nouvelle phase d’industrialisation comparable à celle qui a suivi la fourniture d’électricité par les centrales et les data seraient l’uranium de cette nouvelle ère économique. Les enjeux sont colossaux et les perspectives de croissance phénoménales si l’on en croit les chiffres annoncés par la Commission européenne. Le développement de ces nouveaux services permettrait de consacrer un grand marché du numérique grâce aux gains de productivité possibles pour les acteurs privés et publics. Le cloud computing, cette technologie renvoyant « au stockage, au traitement et à l’utilisation de données contenues dans des ordinateurs distants et auxquelles on accède par internet » (Communication de la Commission européenne, Exploiter le potentiel de l’informatique en nuage en Europe, 2012) permet en effet aux entreprises d’accroître considérablement leur capacité de stockage d’informations et de données ; l’externalisation de ces services leur assurerait une plus grande élasticité grâce à un système de paiement à la demande garantissant une meilleure adéquation de l’usage de leur outil informatique avec leur modèle d’affaires, sans compter la perspective de développement de nouveaux services et de conquête de nouveaux marchés (Sauvé, 2014). Quant aux big data – ou mégadonnées ou encore données massives –, ces « données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés » (Vocabulaire de l’informatique, 2014), elles offrent des perspectives encore plus prometteuses : la fusion des données et leur analyse prédictive – analyse des sentiments, segmentation et géolocalisation des besoins, connaissance affinée des comportements, voire des attentes de l’utilisateur – laissent augurer un nombre considérable d’applications allant du marketing intelligent à la gestion des villes intelligentes, si l’on songe à la gestion de l’énergie, du trafic, voire de la sécurité et de la santé publique (The White House, 2014).
2Pour autant, ces nouveaux services comportent des risques majeurs en termes d’atteintes aux données personnelles de leurs utilisateurs, comme l’ont montré certains scandales récents (affaire PRISM, affaire iCloud) ou comme l’imaginent certaines fictions dénonçant les craintes d’une justice prédictive (Minority report), voire d’une définition algorithmique de la personne (Bienvenue à Gattaca). La question des données personnelles semble ici centrale, même si l’on ne doit pas pour autant oublier que toutes les données mobilisées par ces nouveaux usages ne sont pas à caractère personnel : l’enjeu est, et demeure, ici majeur. L’heure est donc venue de penser les solutions garantissant le développement de pratiques « dataresponsables » qui permettraient de tirer profit en toute sécurité des opportunités sans précédent qu’offrent ces services innovants, de rechercher un équilibre entre la promotion de l’innovation et le respect de la privacy (Marino, 2013).
3Afin d’assurer un encadrement effectif de ces nouvelles pratiques, il est apparu nécessaire de repenser la législation applicable à la protection des données personnelles qui est rapidement apparue en inadéquation avec les caractéristiques des services de cloud computing et de big data. Deux caractéristiques de la législation spéciale paraissent tout particulièrement poser difficulté. Tout d’abord l’appréhension statique qui est réalisée de la situation, puisque les textes appréhendent la donnée dès sa collecte ; on rappellera que la loi « informatique et liberté » avait été élaborée en 1978 en réaction à l’annonce de la création d’un fichier public, et donc de la crainte quant aux pouvoirs de l’autorité publique découlant d’une collecte de données relatives aux individus. Or on constate que ces nouveaux usages sont marqués par une exploitation dynamique, cinétique, de la donnée (Forest, 2014). L’approche est évolutive et privilégie les usages secondaires de la donnée, en totale inadéquation avec l’appréhension figée consacrée par le droit positif. C’est ensuite le caractère territorial des règles qui suscite des interrogations quant à l’adéquation à ces nouveaux usages ; il est en effet nécessaire de déterminer la loi applicable et la juridiction compétente en cas de litige. Cela impose alors de recourir à des critères ratione loci, fondés sur la géographie physique, qui s’avèrent difficiles à penser lorsque la pratique appréhendée a un caractère fortement ubiquitaire. Dans ce contexte, la difficulté tient au niveau de protection garanti et à la détermination de l’autorité de régulation compétente. Cette incertitude expose également à d’importants risques de concurrence réglementaire et de forum shopping (Falque-Pierrotin, 2014). En témoigne tout particulièrement la discussion relative à la compétence de l’autorité de régulation suscitée à l’occasion des négociations relatives au projet de règlement européen sur l’échange et la protection des données personnelles dans l’Union – faut-il instituer un guichet unique et, dans l’affirmative, quelle autorité désigner ? Toutes ces questions ne sont pas encore tranchées, alors que nombreux sont ceux qui plaident en faveur de l’adoption du texte en 2015. Aussi, le caractère dynamique et ubiquitaire de ces nouveaux usages, autrement dit la disjonction temporelle et spatiale qui est de leur essence, impose-t-il de s’interroger sur la nécessité de repenser la législation encadrant actuellement l’exploitation des données à caractère personnel, afin de mieux appréhender la valeur d’usage de la donnée qui en résulte.
4Au-delà de cette première difficulté relative au contenu de la norme, une seconde apparaît lorsqu’il s’agit d’encadrer ces usages, qui porte cette fois sur son mode de fabrication : la protection légale existante – fruit d’une approche classique de la norme juridique favorable au recours à la réglementation – ne paraît pas à elle seule suffisante pour garantir le respect du droit de l’utilisateur à la protection de ses données personnelles, alors que ces services reposent justement sur l’exploitation de ces données. La difficulté est réelle, dans la mesure où ces pratiques font appel à une pluralité d’acteurs – dont les situations géographiques et la position sur le marché sont extrêmement fluctuantes – et visent des services marqués par un cycle court d’innovation. Pour autant, la promotion d’une éthique des données est devenue aujourd’hui indispensable afin de pérenniser ces nouveaux usages, alors que l’attention est désormais portée sur la confiance de l’utilisateur et sur la loyauté des opérateurs et ce, tout particulièrement lorsque l’on aborde la question de l’exploitation des données personnelles, comme en atteste notamment la récente déclaration politique des autorités de régulation européennes réunies dans le groupe dit « de l’article 29 » (Déclaration G 29, 2014). Afin de parvenir à un tel objectif tout en tenant compte des spécificités des pratiques, c’est la conception même de la fabrication de la norme qui suppose d’être repensée : il apparaît nécessaire de mobiliser différents modes de régulation et d’associer réglementation, co-régulation et autorégulation. Et c’est bien en ce sens qu’œuvrent désormais les autorités de régulation, telles que la CNIL en France ou la Commission européenne, encouragées par un certain nombre d’opérateurs du secteur (Falque-Pierrotin, Griguer et Mossé, 2014).
5Le défi est immense : seule une bonne compréhension de la protection des données personnelles des utilisateurs par ces nouveaux services de cloud computing et de big data permettra d’assurer la confiance et de garantir la pérennité des usages. Cette compréhension efficace implique non seulement de repenser la législation, mais aussi de diversifier les modes de régulation.
Repenser la législation
6Les nouvelles techniques poussent parfois la législation dans ses retranchements, mettant alors en exergue son incapacité à appréhender de manière satisfaisante la situation nouvelle.
7Notamment, l’essor du numérique permet en quelque sorte de « mettre en données » le monde (Conseil d’État, 2014), parfois sans même qu’on s’en rende compte, souvent qu’on y participe, dans un mouvement d’exposition volontaire de soi de plus en plus marqué. Le phénomène a multiplié le stock de données, au point que l’on parle de big data, phénomène que le droit des données personnelles peine à embrasser, compte tenu de son approche pour l’heure statique de la donnée. En outre, la capacité de traitement de ces masses de données est augmentée par leur mise en réseau et, en particulier par la possibilité de décentralisation dans le cloud à l’ubiquité duquel la loi doit désormais s’adapter.
Réfléchir le droit à l’aune du dynamisme du big data
8La définition et les enjeux du big data sont facilement résumés grâce à formule des « 5 V » : volume, variété, vélocité, véracité, valeur.
9Le premier V renvoie à un volume important de données auquel on associe la variété puisque le big data permet l’appréhension de données hétérogènes, dans des formats variés, qu’elles soient structurées ou non structurées. À cela s’ajoute un facteur de vélocité du traitement, la vitesse de traitement des données pouvant aller jusqu’au temps réel, ce qui permet de capturer une masse de données mouvante et de les corréler de façon dynamique. Le quatrième V de véracité souligne le manque de fiabilité des données, exploitées, qui peut remettre en cause le résultat mis en exergue. Enfin, les big data permettent de générer une valeur nouvelle des données, dans la mesure où elles transforment la donnée en information. Ce dernier point est fondamental dès lors que ce process se définit non pas tant par le volume de données traitées que par la nouvelle façon de les appréhender. Les big data permettent ainsi de développer une utilisation secondaire des données et de nouveaux instruments de compréhension, souvent même prédictifs. Ce trait explique que l’on ait pu le comparer à l’invention du microscope en ce qu’il renouvelle notre vision de l’information.
10La législation actuelle (directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), comme prospective (proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, COM(2012) 11 final), soumet la qualité des données à un certain nombre de principes : un traitement loyal et licite, un principe de finalité, un principe de proportionnalité, de pertinence et d’exactitude, une durée n’excédant pas le temps nécessaire à la réalisation des finalités. Or le principe de finalité revêt une importance fondamentale (avis G29, 2013), dans la mesure où il conditionne l’application des autres critères. Il impose que les données soient collectées pour des finalités déterminées, explicites et légitimes. À ce titre, l’utilisation d’une finalité vague ou trop générale (amélioration des usages à des fins de marketing, de sécurité informatique, etc.) ne répond pas à l’obligation.
11La difficulté, s’agissant des big data, tient au fait que ses caractères inhérents semblent difficiles à concilier avec les exigences légales. Cette inadéquation se révèle avec force dès lors qu’on tente une caractérisation fonctionnelle des big data, lesquelles constituent, d’une part, une technique de concentration dynamique et, d’autre part, une technique de recyclage de l’information.
12Le big data s’identifie d’abord à une technique de concentration dynamique. Si les données numériques sont par essence reproductibles, disponibles partout et tout le temps, presque fuyantes, le phénomène big data a accentué encore ces traits. L’intérêt n’est d’ailleurs plus réellement la donnée, prise en tant qu’unité, multiple et isolée, mais la concentration, la masse de données, mises en réseau, appréhendées de manière unitaire et non granulaire.
13En outre, le big data est un procédé dynamique, alimenté en flux continu, ce qui rend le traitement envisagé en mouvement, toujours changeant. L’analyse n’est plus tant qualitative que quantitative. Or la législation tant positive que prospective semble pensée pour un traitement « figé » des données, alors que l’objet même du traitement en matière de big data est par nature évolutif.
14Cette évolutivité empêche une prévisibilité du traitement big data et donc une détermination de sa finalité dès la collecte. Comment anticiper une finalité pour un traitement par définition toujours en mouvement, toujours changeant, et en réalité fondé sur la masse ? La collecte devient automatique, déliée du traitement, lequel est encore inconnu. Dans ce cadre, les big data imposent de réfléchir non plus au stade de la divulgation des données, mais à celui de leur exploitation. En effet, il repose sur une utilisation secondaire des données : les données sont exploitées à d’autres fins que celles pour lesquelles elles ont été produites. La valeur des big data repose justement sur ces utilisations secondaires, sur la multitude d’exploitations possibles de cet uranium de l’économie numérique, sur le réemploi potentiel des données à l’avenir à des fins que l’on a pu ne pas envisager lors de leur collecte (Mayer-Schönberger et Cukier, 2014). Aussi, en pratique, la définition préalable des finalités spécifiques telle qu’exigée par la législation est la plupart du temps impossible au moment où les données sont recueillies. Le critère légal semble bien impraticable s’agissant des big data.
15Ensuite, les big data sont une technique de recyclage de l’information. La difficulté à mettre en œuvre le principe de finalité est encore plus prégnante si l’on considère que la soumission au droit des données personnelles est souvent, dans l’échelle du temps, postérieure au recueil des données. En effet, ce n’est parfois que le recoupement réalisé grâce au traitement secondaire de données brutes, « neutres », qui pourra les transformer en données personnelles. Cette corrélation des données n’est pas sans conséquences. Mais comment respecter le principe de finalités alors même que c’est bien le traitement, par la multiplication des opérations de recoupement, parfois même échelonnées dans le temps, qui aura permis l’émergence de données personnelles ?
16En outre, le big data impose un véritable changement de paradigme : l’idée est en effet de faire parler des données ; on parle d’exploration de données, de forage de données, de data mining. Or la législation européenne appréhende la collecte, le transfert, la modification…, mais pas la signification nouvelle des données grâce à leur agrégation. Ici, ce qui importe, c’est la transformation de la donnée par recoupements (Mayer-Schönberger et Cukier, 2014). Certes, la définition donnée du traitement de données personnelles à l’article 4 (3) de la proposition de règlement évoque le rapprochement et l’interconnexion de données. Mais les conséquences d’une telle opération à grande échelle sont ignorées par la réglementation (excepté la disposition relative au profilage spécifiquement, art. 20 de la proposition de règlement).
17Ce recyclage de la donnée pose encore problème quant à la durée de conservation, car la finalité du traitement est liée à cette durée. Or les big data, parce qu’ils sont fondés sur la masse, impliquent par nature un maintien des données dans le système d’information et ce, au-delà de la durée initialement prévue. La durée initiale ne sera en fait plus pertinente.
18En définitive, la problématique juridique majeure posée par les big data tient au fait que les données collectées vont être traitées pour des finalités qui n’auront pas été – pas pu être – déterminées au moment de la collecte.
19Le rapport du Conseil d’État de 2014, Le numérique et les droits fondamentaux, semblent trouver une solution à cette incapacité « congénitale » à respecter le texte dans la liberté de réutilisation statistique des données personnelles, quelle que soit la finalité initiale du traitement. En effet, la loi n’interdit pas, par principe, les traitements ultérieurs, mais elle impose une compatibilité avec les finalités premières. Or un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible. La Haute Autorité recommande alors de maintenir la règle (qui se retrouve dans la proposition de règlement à l’article 83), en prévoyant pour seule condition que cette réutilisation soit entourée de garanties quant à l’anonymat.
20C’est sans doute l’une des voies à explorer pour la prise en compte efficace du big data, mais elle sera compliquée à mettre en œuvre. Surtout lorsque la donnée ne devient une donnée personnelle qu’à l’issue du traitement…
21Il en ressort que la réglementation actuelle saisit difficilement la pratique du big data. Et aucune solution ne paraît pouvoir être apportée a priori, car l’extrême diversité des pratiques big data incite à procéder en la matière à un examen pragmatique de l’usage en cause. Dans ce cadre, l’étude, menée au cas par cas, doit conduire à se demander tout d’abord si la pratique big data considérée est effectivement un traitement de données personnelles. Il s’agit ici de vérifier que la donnée traitée initialement relève bien de cette catégorie ou que le résultat du big data a pour objet ou pour effet de conduire à identifier la personne. La pratique tomberait alors dans le champ d’application de la réglementation et ce, même a posteriori, c’est-à-dire même dans l’hypothèse où le traitement initial ne porte pas sur des données personnelles, ce qui impose de mener une analyse diachronique du traitement (Latreille et Zolynski, 2014). Si cette qualification est retenue, une seconde question devra alors porter sur la licéité d’un tel traitement. Or la réponse à pareille interrogation demeure encore incertaine, puisque la législation actuelle apparaît, comme on l’a vu, inadaptée en la matière. En l’état actuel de la réflexion, plusieurs postures peuvent être adoptées : on pourrait considérer que tout devient donnée personnelle, compte-tenu de la possibilité d’identification a posteriori résultant des big data ; on pourrait au rebours avancer que le principe d’innovation impose d’écarter une telle qualification toutes les fois que l’exploitation des données en résultant ne serait pas risquée pour l’utilisateur. La réponse n’est pas d’évidence et elle dépend beaucoup des intérêts qu’on souhaite privilégier. Mais le débat doit très certainement être tranché, alors que la proposition de règlement en cours de discussion ne semble pas prendre parti. Une solution consisterait certainement à distinguer selon la nature des données appréhendées par le traitement des big data pour prendre en compte leur caractère plus ou moins sensible et plus ou moins identifiant pour l’utilisateur et ce, afin d’appliquer avec plus ou moins de rigueur un principe de « finalité compatible avec le traitement initial » (Bensamoun et Zolynski, 2013) qui devrait donc demeurer une notion à géométrie variable. Un test d’évaluation de la compatibilité de l’usage pourrait consister en l’examen d’un faisceau d’indices tels que la proximité de la finalité initiale avec la finalité envisagée, le contexte de la collecte, la nature de la donnée et les conséquences de son traitement pour l’individu, ou encore les garanties mises en œuvre par l’opérateur comme l’anonymisation ou la pseudonymisation (avis du G29, 2013).
22En définitive, il apparaît que le caractère dynamique des big data rend toute définition trop figée inadéquate. Pour autant, une approche générale et très souple pourrait quant à elle être source d’une importante insécurité pour les opérateurs économiques, qui par ailleurs doivent réaliser de lourds investissements pour bénéficier des potentialités qu’offrent les big data. Par conséquent, la réglementation ne saurait suffire à encadrer de tels usages et elle doit être complétée par d’autres modes de régulation plus adaptés à la flexibilité de la pratique et aux cycles courts d’innovation qui la caractérisent. L’affirmation est d’autant plus pertinente lorsqu’il s’agit d’appréhender l’utilisation d’un autre usage de la donnée, parfois complémentaire, résultant des services de cloud computing.
Adapter la loi à la diversité et à l’ubiquité du cloud computing
23Le cloud computing met également la législation à rude épreuve sur plusieurs points. La technique permet en effet une « mise en réseau généralisée » (Conseil d’État, 2014), à tel point que la propriété et l’utilisation des moyens informatiques peuvent être dissociées. Elle repose sur une mutualisation des ressources informatiques, lesquelles peuvent être mobilisées et configurées à la demande.
24Encore faut-il savoir de quoi l’on parle, car en matière d’informatique en nuage, les modèles sont divers (v. Livre Blanc Syntec Numérique, Cloud computing, nouveaux modèles) : cloud privé, public, hybride, cloud payant, gratuit. Sans compter que les services peuvent être très différents : espace de stockage externalisé, mise à disposition de logiciels, de plates-formes de développement…
25Cette diversité des pratiques se répercute sur le rôle des acteurs. En effet, les nouveaux modèles tendent à brouiller les frontières, en particulier quant à la qualité de responsable de traitement et à celle de sous-traitant (Albrieux, 2014). Le prestataire de cloud peut-il être considéré comme un responsable (conjoint) de traitement ? La question n’est pas que théorique : elle conditionne des obligations légales et un régime de responsabilité précis. Le projet de règlement propose une telle qualification, mais sous réserve d’un accord répartissant les obligations respectives des responsables (article 24), afin de renforcer les obligations du prestataire en matière de protection des données personnelles. Or la pratique contractuelle montre que la qualification est complexe et bien souvent sujette à débat, notamment compte tenu du niveau, plus ou moins élevé, d’intervention de l’opérateur de cloud dans le contrôle des données de son client (Albrieux, Bensamoun, Perray, 2014).
26Par ailleurs, le cloud pose également la question de la localisation des données. En effet, les données mises dans le nuage traversent souvent de nombreuses frontières et deviennent difficilement localisables, y compris parfois aussi pour le prestataire de cloud, lorsqu’il a lui-même recours à la sous-traitance. L’usage de tels services peut incontestablement entraîner une perte de contrôle du client sur ses données, s’il est mal informé. Il n’existe pourtant, en l’état du droit applicable, aucune obligation d’information quant à la localisation des données.
27D’ailleurs, les données circulent souvent dans plusieurs pays, par des transferts successifs d’un data center à un autre, sans que le client puisse nécessairement en connaître le parcours. En outre, le lieu d’hébergement du cloud est généralement multiple, et réparti sur plusieurs data centers, en France et/ou à l’étranger, les contenus étant scindés et répliqués. Dans le cas du cloud public, le client ne connaît donc pas avec précision le ou les lieux d’hébergement de ses données. Ces caractéristiques, gages de disponibilité du cloud, soulèvent la question du droit applicable aux données personnelles (sur les transferts de données, voir Albrieux, Bensamoun et Perray 2014) et ce, d’autant plus que l’affaire PRISM a renouvelé la réflexion sur les législations spéciales de lutte contre le terrorisme (qui font exception aux libertés publiques), comme le PATRIOT Act aux États-Unis (Delmas-Linel, 2014) et celle sur la création d’un cloud souverain européen.
28Enfin, le cloud pose la question de la libre disposition des données mises dans le nuage. Le client doit en effet pouvoir conserver la maîtrise des données stockées. Il doit également pouvoir les récupérer sans contrainte, y compris s’il change d’opérateur. Or il apparaît que le droit à la portabilité de l’article 18 de la proposition de règlement ne saisit pas tous les enjeux de la question. La disposition « confère à la personne concernée un nouveau droit, le droit à la portabilité des données, c’est-à-dire celui de transmettre des données d’un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle. À titre de condition préalable et pour améliorer l’accès des personnes physiques aux données à caractère personnel les concernant, il prévoit le droit d’obtenir ces données du responsable du traitement dans un format électronique structuré et couramment utilisé. » Non seulement il conviendrait d’imposer la restitution des données en l’état, mais aussi l’interopérabilité entre les services, sur le modèle de la propriété intellectuelle, pour éviter tout risque de dépendance technologique à l’égard de son prestataire et, partant, de perte de contrôle sur ses données. Pour autant, il n’est pas certain que la loi soit le vecteur idoine pour livrer de telles précisions, compte tenu de l’hétérogénéité des pratiques de cloud computing.
29La législation peine, on le constate, à appréhender ces nouveaux usages qui mettent à l’épreuve ses principes fondamentaux tant pour ce qui concerne les fondements de la législation protectrice des données personnelles que pour les techniques de légistique, c’est-à-dire l’art de fabriquer la loi. La diversité et la profusion des pratiques et des opérateurs, le caractère techniquement évolutif et transnational de ces services imposent de mobiliser d’autres instruments, de diversifier les modes de régulation.
Diversifier les modes de régulation
30Il est désormais recommandé de développer des modèles de comportement respectueux de la protection des données à caractère personnel en encourageant le recours à la norme technique, ainsi que la diffusion de bonnes pratiques, qui vont dans le sens d’une responsabilisation des différents opérateurs. tout en respectant les cycles courts d’innovation qui caractérisent ces nouveaux services.
Développer le recours à la norme technique
31Les risques générés par les traitements massifs de data, ainsi que par la perte de contrôle des données en cas d’externalisation des services impliquent de réfléchir à des moyens techniques visant à responsabiliser les opérateurs et à asseoir la confiance des utilisateurs dans ces nouveaux services. Le recours à la norme technique est une des voies permettant d’assurer la promotion de cette autorégulation. Pour ce faire, la norme technique peut intervenir à différents niveaux.
32Le premier axe consiste à inciter l’opérateur à agir ex ante, en encourageant le recours au principe du Privacy by Design (PbD). Ce principe promeut le respect de la vie privée dès la conception et tout au long du cycle de vie des logiciels et des services (Loiseau, 2012), en intégrant la norme juridique dans la norme technique. Cette solution est particulièrement encouragée par les autorités de régulation (Falque-Pierrotin, Griguer et Mossé, 2014), à l’image des autorités européennes qui font du privacy by design un « principe fondamental de la protection des données » qu’elles consacrent dans leur projet de réforme du droit européen relatif à l’échange et à la protection des données à caractère personnel. Ainsi, l’article 23 de la proposition de règlement dispose que « 1. Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des risques représentés par le traitement des données, le responsable du traitement et le sous-traitant éventuel appliquent, tant lors de la définition des objectifs et des moyens de traitement que lors du traitement proprement dit, des mesures et procédures techniques et organisationnelles appropriées et proportionnées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, notamment en ce qui concerne les principes établis à l’article 5. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu’à la suppression en passant par le traitement. Elle est systématiquement axée sur l’existence de garanties procédurales globales en ce qui concerne l’exactitude, la confidentialité, l’intégrité, la sécurité physique et la suppression des données à caractère personnel. Une fois que le responsable du traitement a procédé à une analyse d’impact relative à la protection des données, conformément à l’article 33, les résultats sont pris en compte lors de l’élaboration desdites mesures et procédures. »
33Ce principe est particulièrement encouragé dans le cadre des traitements big data, comme en atteste la déclaration de la 36e conférence internationale des délégués à la protection des données personnelles de juillet 2014, laquelle prévoit que les entreprises s’engagent à développer et à utiliser les technologies big data conformément aux principes du PbD. Il s’agirait ainsi d’offrir un avantage concurrentiel aux entreprises ayant recours au big data en établissant par là même une relation de confiance avec les utilisateurs de leurs services. Les critiques sont toutefois nombreuses concernant ce procédé. On s’interroge notamment sur les critères à retenir pour définir la protection des données : comment définir la privacy ? Quelle serait l’autorité compétente en la matière ? Ou encore à propos de la force normative de ce principe : quelle garantie ? Quelle sanction ? Sans évoquer les doutes qui existent quant à l’effectivité d’un tel instrument – que l’on peut qualifier pour l’heure de « marketing » – concernant la protection réelle des usagers (sur la promotion d’un Privacy by Using, voir Rallet, Rochelandet et Zolynski, 2015).
34Face au risque important de ré-identification possible grâce aux techniques de big data, une seconde voie technique consisterait à promouvoir une solution ex post grâce à une anonymisation des données garantie par l’intervention d’un tiers certificateur. Dans la mesure où les procédures d’anonymisation ne sont pas infaillibles, ce tiers de confiance serait alors chargé de vérifier qu’aucun traitement n’est contraire aux obligations légales. Tel est également le sens de certaines propositions formulées pour encourager la mise en place de réseaux de contrôle quant à la garantie de protection des données personnelles dans le cadre du développement de ces nouveaux services (CNNum, rapport sur la neutralité des plates-formes, 2014).
35Plus généralement, certains envisagent d’imposer la réalisation d’une « étude d’impact de vie privée » lors de la mise en place de ces différents services (Alix, 2014), étude dont on pourrait demander la diffusion à l’image des obligations existant en matière de responsabilité sociale et environnementale à la charge de certaines sociétés. Il s’agirait de promouvoir un principe de transparence et de fiabilité que nombreux appellent désormais de leurs vœux. La diffusion d’une telle information permettrait de comparer les différents services quant à leur impact en termes de protection des données personnelles et, ainsi, de faire jouer la concurrence entre eux à partir de cet input, ce qu’encouragent les autorités de régulation des données personnelles européennes comme la CNIL française ou le groupe de l’article 29 au niveau européen. Cela rejoint une deuxième démarche recherchant également à responsabiliser les opérateurs et à assurer la confiance des utilisateurs de leurs services qui consiste, plus globalement, à encourager la diffusion de bonnes pratiques.
Promouvoir la diffusion de bonnes pratiques
36La diversité des pratiques et l’évolutivité des services et des modèles d’affaires, le caractère ubiquitaire des données échangées et les interrogations sur la loi applicable que suscite la localisation des données, les doutes quant au statut de la donnée et à son contrôle que ces nouveaux usages soulèvent conduisent à encourager le recours à la co-régulation. On assiste désormais à la promotion de bonnes pratiques pensées par les acteurs du secteur en association avec les autorités de régulation, afin d’assurer un encadrement idoine des services concernant leur impact sur la protection des données à caractère personnel.
37On pourrait a priori penser que le contrat, grâce à sa souplesse et à son adaptabilité aux besoins de la pratique, serait un instrument adapté pour définir ces règles du jeu entre opérateurs et utilisateurs. Il s’agirait ainsi de prévoir les conditions spécifiques relatives au traitement des données lors de la formation de l’accord et celles encadrant la restitution des données à la fin de la relation contractuelle. Si tel peut être le cas pour les offres de cloud négociées entre deux parties en situation d’égalité (Seligmann, 2013) – ce qui semble être en pratique très peu fréquent pour l’heure, compte tenu de la domination de certains acteurs sur le marché –, la difficulté se pose en revanche pour les offres de cloud standardisées ainsi que pour les traitements big data.
38S’agissant des offres de cloud standardisées en effet, les contrats sont bien souvent en réalité imposés à l’utilisateur par l’opérateur en position de domination économique et technologique (Dubois et Hellendorff, 2013). Les autorités de régulation ont rapidement stigmatisé le risque suscité par ces contrats qualifiés alors de contrats d’adhésion, tant en ce qui concerne l’utilisateur, petite ou moyenne entreprise (contrat B to B), que pour l’utilisateur consommateur (B to C). Afin de résoudre cette asymétrie préjudiciable à l’utilisateur, la CNIL et la Commission européenne ont encouragé la rédaction de modèles de contrat-type, élaborés en collaboration avec les parties prenantes, afin de garantir l’adoption de solutions contractuelles sûres et équitables pour l’utilisateur, notamment en ce qui concerne l’encadrement du traitement des données personnelles. La politique de la CNIL française va clairement dans ce sens, comme en atteste sa recommandation pour les entreprises ayant recours à ces services (CNIL, 2012). Quant à la Commission européenne, qui cherche à exploiter « le potentiel de l’informatique en nuage » dans le cadre de son agenda numérique pour l’Europe, elle entend désormais assurer la confiance de ces utilisateurs dans les services de cloud computing. Elle part du constat selon lequel le questionnement relatif à la protection de leurs données est souvent le principal frein à l’utilisation de ces services (ce qui justifie pour partie le projet de réforme actuel ?). Elle considère en outre qu’une standardisation des clauses des contrats de service de cloud computing faciliterait dans le même temps les échanges au sein de l’Union européenne en permettant à un prestataire d’utiliser les mêmes clauses dans les différents États membres. La Commission entend donc promouvoir des mécanismes de certification, l’élaboration d’un code de conduite et l’élaboration d’un référentiel pour les SLA, à l’image des lignes directrices sur les accords de niveau de service dans les contrats d’informatique en nuage publiés en juillet 2014 (Cloud Service Level Agreement standardisation guidelines) qui permettent d’appréhender le niveau de service concernant la gestion des données, notamment personnelles (Fauvarque-Cosson, 2014). Les autorités de régulation cherchent ainsi à promouvoir une nouvelle approche régulatoire en associant la concertation et les outils de mise en conformité (Falque-Pierrotin, 2014).
39Les mêmes difficultés se posent également s’agissant de l’encadrement contractuel des services big data qui présente les mêmes risques d’asymétrie entre le responsable du projet big data et les organismes de collecte et de traitement des données (Alix, 2014). Dès lors, le recours aux bonnes pratiques devrait être ici encore encouragé. Compte tenu des risques accrus suscités par ces traitements massifs quant à la protection des données personnelles, divers principes devraient être consacrés pour garantir la loyauté des pratiques dans le respect des droits des divers acteurs, tout en assurant l’adéquation de ce type de norme avec la forte évolutivité des outils proposés. Tel est le sens des recommandations émises par le Conseil National du numérique dans son rapport sur la neutralité des plates-formes (CNNum, 2014). La promotion de ces bonnes pratiques permettrait d’imposer l’adoption de standards minimums d’information relatifs aux pratiques des opérateurs et au fonctionnement de leurs services (notamment concernant leur algorithme prédictif), ainsi que pour ce qui relève des garanties offertes à l’usager concernant la maîtrise de ses données (information sur les usages secondaires de données, recours aux Dashboard, existence d’un droit de contrôle de l’usager, transparence accrue des marchés d’échanges d’information). De surcroît, il serait souhaitable de promouvoir une obligation de loyauté des opérateurs ayant recours au traitement big data, tel que le préconise le rapport du Conseil d’État (Conseil d’État, 2014, proposition n° 3) ; la violation de cette obligation, du fait d’un comportement contraire à la diligence du professionnel du secteur et visant à vicier le comportement de l’utilisateur, conduirait à la sanction de l’opérateur. La transparence et la loyauté des pratiques seraient garanties par le recours à la réglementation précisée par la soft law, permettant ainsi son adaptabilité à la diversité et à l’évolutivité des usages en la matière.
40Le constat est désormais unanime : il est indispensable de promouvoir une éthique des données, en associant principes d’innovation et de précaution (Fauvarque-Cosson, 2014), afin de garantir la pérennité de ces nouveaux usages et marchés qui reposent sur la confiance des utilisateurs (Alix, 2014 ; Mayer-Schönberger et Cukier, 2014). Même si les différents modes de régulation peuvent présenter des limites importantes en termes d’efficacité (Rochelandet, 2010), il faut désormais promouvoir un maillage de plusieurs instruments pour associer, conjointement et non de façon alternative, autorégulation, corégulation et réglementation conformément aux préceptes de la « Smart regulation » promue depuis quelques années par les autorités européennes (Commission européenne, 2010). L’encadrement de l’exploitation des données dans le cadre de pratiques big data et de cloud computing pourra ainsi se bâtir sous une forme réflexive. Ce droit agile devrait permettre de garantir la confiance des utilisateurs et la loyauté des opérateurs, propres à stimuler la saine concurrence entre les différentes formes de services, sources d’innovation.
Bibliographie
Références
- ALBRIEUX S., BENSAMOUN A., PERRAY R. (2014), « Cloud computing et données personnelles », in N. MARTIAL-BRAZ (dir.), La proposition de règlement européen relatif aux données à caractère personnel : propositions du réseau Trans Europe Experts, Paris, Société de Législation Comparée-Trans Europe Experts, p. 237.
- ALBRIEUX S. (2014), « Réflexions autour de la réversibilité et de la qualification du prestataire de cloud », in B. FAUVARQUE-COSSON, C. ZOLYNSKI (dir.), Le cloud computing, l’informatique en nuage, Paris, Société de Législation Comparée, vol. 22, p. 117.
- ALIX P. (2015), « Le big data à l’épreuve du droit », in Livre collectif pour les 10 ans de l’Association française des correspondants à la protection des données personnelle, AFCDP, forthcoming 2015.
- BENSAMOUN A., ZOLYNSKI C. (2014), « Big data et privacy : comment concilier nouveaux modèles d’affaires et droits des utilisateurs », Les Petites Affiches, n° 162-164, p. 8.
- CNIL (2012), Recommandation pour les entreprises qui envisagent de recourir à des services de Cloud computing, en ligne : http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf.
- Commission européenne (2010), Une réglementation intelligente au sein de l’Union européenne, COM(2010) 543 final.
- Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions (2012), Exploiter le potentiel de l’informatique en nuage en Europe, COM(2012) 529 final.
- Conseil d’État (2014), Numérique et droits fondamentaux, Paris, La Documentation française.
- Conseil national du numérique (2014), Avis sur la neutralité des plates-formes, réunir les conditions d’un environnement numérique ouvert et soutenable, en ligne : http://www.cnnumerique.fr/wp-content/uploads/2014/06/CNNum_Rapport_Neutralite_des_plateformes.pdf.
- DELMAS-LINEL B. (2014), « Enjeux sociétaux : cloud computing, nouveau prisme des libertés publiques et des souverainetés nationales ? », in Le cloud computing, l’informatique en nuage, Paris, Société de Législation Comparée, vol. 22, p. 97.
- DUBOIS N., HELLENDORFF C. (2013), « La protection des données et le cloud computing », Revue Lamy Droit de l’Immatériel, n° 98, p. 12.
- FALQUE-PIERROTIN I. (2014), « Introduction », in Le cloud computing, l’informatique en nuage, op. cit., Paris, Société de Législation Comparée, vol. 22, p. 25.
- FALQUE-PIERROTIN I., GRIGUER M. et MOSSÉ M. (2014), « Comment gagner la confiance des individus à l’ère du Big data ? », Cahiers de droit de l’entreprise, n° 6, novembre, entretien n° 6.
- FAUVARQUE-COSSON B. (2014), « Cloud computing, protection des données personnelles et nouvelles pratiques contractuelles », Les Petites Affiches, n° 162-164, p. 41.
- FOREST D. (2014), « Le Big data, 3 questions », Semaine juridique éd. Entreprises, 138.
- Groupe de l’article 29 (2013), « Opinion 03/2013 on purpose limitation », 00569/13/EN.
- Groupe de l’article 29, « Déclaration commune des autorités européennes de protection des données réunies au sein du groupe de l’article 29 », 16 décembre 2014, en ligne : http://europeandatagovernance-forum.com/pro/fiche/quest.jsp;jsessionid=OBsdNUoy0HFjFiN5UFR6txKQ.gl1.
- KROES N. (2013), « Big data for Europe », Speech/13/893, en ligne : http://europa.eu/rapid/press-release_SPEECH-13-893_en.htm.
- MARINO L. (2013), « Le big data bouscule le droit », Revue Lamy Droit de l’Immatériel, n° 99, p. 13.
- LATREILLE A., ZOLYNSKI C., « Big data et protection des données à caractère personnel », in La proposition de règlement européen relatif aux données à caractère personnel, Paris, Société de Législation Comparée-Trans Europe Experts, p. 262.
- LOISEAU G. (2012), « De la protection intégrée de la vie privée (Privacy by design) à l’intégration d’une culture de vie privée », Légipresse, p. 712.
- MAYER-SCHÖNBERGER V., CUKIER K. (2014), Big data. La révolution des données est en marche !, Paris, Robert Laffont.
- RALLET A., ROCHELANDET F., ZOLYNSKI C. (2015), « De la Privacy by Design à la Privacy by Using : regards croisés droit/économie », ce numéro.
- ROCHELANDET F. (2010), Économie des données personnelles et de la vie privée, Paris, La Découverte, coll. « Repères ».
- SAUVÉ J.-M. (2014), « Ouverture », in Le cloud computing, l’informatique en nuage, Paris, Société de Législation Comparée, vol. 22, p. 9.
- SELIGMANN G. (2013), « Cloud computing, big data : nouveaux risques, nouvelles réponses », Expertises, p. 329.
- Vocabulaire de l’informatique (2014), avis, JORF 22 août 2014, p. 13972.
- THE WHITE HOUSE (2014), « Big data: seizing opportunities, preserving value », Washington, en ligne : whitehouse.gov/sites/default/files/docs/big_data_privacy_report_may_1_2014.pdf.
Notes
-
[1]
Les auteurs remercient Alain Rallet pour les échanges constants tout au long de la rédaction de cet article qui ont contribué à en améliorer la version finale.