[Tribune] Quelle place pour le big data à l'ère du RGPD ?
Le Règlement général sur la protection des données (RGPD) sera d'application directe le 25 mai 2018 dans les 28 États de l'Union européenne. Cette nouvelle réglementation est à prendre en considération notamment dans le cadre de projet de type big data.
Big data vs vie privée: des traitements de données à risque
S'il n'y a pas de définition juridique de la notion de big data, comme l'expression l'indique, le big data se caractérise par la taille ou la volumétrie des informations, mais aussi par la vitesse de traitement, la variété des données traitées et la valeur qui en est inférée.
Le gigantesque volume de données numériques produites (Internet, réseaux sociaux, objets connectés...) combiné aux capacités sans cesse accrues de stockage et à des outils d'analyse en temps réel de plus en plus sophistiqués offre aujourd'hui des possibilités inégalées d'exploitation des informations, de segmentation et de profilage.
Les traitements de données en mode big data peuvent cependant être facteurs de risque au regard de la vie privée. Les données personnelles, en particulier lorsqu'elles sont agrégées, peuvent en effet révéler beaucoup sur une personne, ses habitudes, son profil et aboutir dans certains cas à une prise de décision automatique ou non.
En outre, s'appuyer sur des techniques de profilage peut perpétuer des stéréotypes existants et des ségrégations sociales.
L'encadrement juridique du big data
En l'absence de règlementation spécifique aux traitements big data, le législateur français a depuis longtemps adapté les règles juridiques existantes, afin d'encadrer la constitution de fichiers et limiter les risques d'atteintes aux libertés individuelles par crainte du phénomène Big Brother.
Tout comme la loi informatique et libertés, le RGPD impose au responsable de traitement de multiples obligations (sécurité et la confidentialité des données enregistrées, l'information des personnes concernées de leurs droits, collecte de manière loyale, licite et transparente avec des finalités déterminées, etc.). De même, la personne concernée dispose d'un droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant.
Ce qui est nouveau en revanche, c'est l'obligation d'information de la personne concernée qui pèse sur le responsable de traitement en cas de traitement visant à effectuer un profilage. En outre, le responsable de traitement devra expliquer la logique sous-jacente au profilage ou la décision automatique prise, ce qui peut constituer un challenge, tant les techniques utilisées peuvent se révéler complexes et difficiles à vulgariser.
Lire aussi : [Tribune] Diagnostic du cycle order-to-cash : quels enseignements en tirent les entreprises ?
>> Droit à l'oubli, portabilité... .
Sur le même thème
Voir tous les articles Réglementation