[Tribune] Quelle place pour le big data à l'ère du RGPD ?

Le Règlement général sur la protection des données (RGPD) sera d'application directe le 25 mai 2018 dans les 28 États de l'Union européenne. Cette nouvelle réglementation est à prendre en considération notamment dans le cadre de projet de type big data.

Big data vs vie privée: des traitements de données à risque

S'il n'y a pas de définition juridique de la notion de big data, comme l'expression l'indique, le big data se caractérise par la taille ou la volumétrie des informations, mais aussi par la vitesse de traitement, la variété des données traitées et la valeur qui en est inférée.

Le gigantesque volume de données numériques produites (Internet, réseaux sociaux, objets connectés...) combiné aux capacités sans cesse accrues de stockage et à des outils d'analyse en temps réel de plus en plus sophistiqués offre aujourd'hui des possibilités inégalées d'exploitation des informations, de segmentation et de profilage.

Les traitements de données en mode big data peuvent cependant être facteurs de risque au regard de la vie privée. Les données personnelles, en particulier lorsqu'elles sont agrégées, peuvent en effet révéler beaucoup sur une personne, ses habitudes, son profil et aboutir dans certains cas à une prise de décision automatique ou non.

En outre, s'appuyer sur des techniques de profilage peut perpétuer des stéréotypes existants et des ségrégations sociales.

L'encadrement juridique du big data

En l'absence de règlementation spécifique aux traitements big data, le législateur français a depuis longtemps adapté les règles juridiques existantes, afin d'encadrer la constitution de fichiers et limiter les risques d'atteintes aux libertés individuelles par crainte du phénomène Big Brother.

Tout comme la loi informatique et libertés, le RGPD impose au responsable de traitement de multiples obligations (sécurité et la confidentialité des données enregistrées, l'information des personnes concernées de leurs droits, collecte de manière loyale, licite et transparente avec des finalités déterminées, etc.). De même, la personne concernée dispose d'un droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant.

Ce qui est nouveau en revanche, c'est l'obligation d'information de la personne concernée qui pèse sur le responsable de traitement en cas de traitement visant à effectuer un profilage. En outre, le responsable de traitement devra expliquer la logique sous-jacente au profilage ou la décision automatique prise, ce qui peut constituer un challenge, tant les techniques utilisées peuvent se révéler complexes et difficiles à vulgariser.

>> Droit à l'oubli, portabilité... .

Droit à l'oubli, portabilité des informations: les nouveautés introduites par le RGPD

Autre nouveauté, le RGPD a consacré de nouveaux droits au profit de la personne concernée qui peuvent constituer des enjeux pour le responsable de traitement en cas de traitement de type big data, à savoir:

• la consécration au niveau européen du droit à l'oubli;
• l'introduction de la portabilité des informations.

En effet, lorsque le responsable du traitement a partagé les données d'une personne dans le cadre d'un traitement big data et si cette personne exerce son droit à l'oubli, le responsable de traitement doit prendre toutes les mesures raisonnables en vue d'informer les tiers qui traitent les données publiées sous sa responsabilité afin qu'ils procèdent à l'effacement de tous liens vers ces données et de toute copie ou reproduction de ces données.

Une liste précise des personnes avec qui les données sont partagées devra donc être tenue par le responsable de traitement.

Quant au droit à la portabilité des données, il implique pour le responsable du traitement de prévoir la possibilité de restituer l'ensemble des données à caractère personnel d'une personne concernée dans un format électronique structuré et couramment utilisé.

Big data, profilage, segmentation, scoring, prise automatique de décision sont certainement les enjeux de demain au regard de la collecte de données personnelles. Pour les mettre en oeuvre, il convient d'anticiper et de respecter les obligations nouvelles du RGPD de façon à traiter les volumes de données traitées en toute légalité.

L'auteur

Elise Dufour, Of Counsel Bignon Lebray

Spécialiste en droit des nouvelles technologies, Elise Dufour accompagne une clientèle française et internationale dans leurs projets numériques (droit de l'informatique, droit des données personnelles, droit du commerce électronique). Ses principaux domaines de compétences, tant en conseil qu'en contentieux, sont: le suivi des projets informatiques et accompagnement au déploiement de solutions de type Cloud Computing, la valorisation et la sécurisation des données collectées et accompagnement des clients dans leur projet informatique et libertés, la stratégie en transformation digitale, la politique e-marketing et la défense de l'actif immatériel d'une entreprise sur internet. Et plus généralement, l'accompagnement de tout projet e-commerce envisagé. Elise est Présidente de l'association Cyberlex et a été récemment désignée Experte Parl.fr par l'OMPI. Elle est par ailleurs certifiée Data Protection Officer. Forte de plus de 10 années d'expérience en droit du numérique, elle est très active et impliquée dans toutes les questions relatives aux nouvelles technologies.