Les lois encadrant les big data : une nécessité ?
Comme dans tous les domaines, l’avènement de nouvelles technologies, de nouveaux outils soulève la question de nouvelles lois destinées à encadrer l’utilisation, la commercialisation ainsi que la production des données. En effet, il est indispensable qu’une loi puisse définir de manière précise les droits et les responsabilités des utilisateurs, des entreprises qui plus est lorsque des données personnelles sont en jeu. Depuis peu, les usagers ont été sensibilisés concernant l’utilisation de leurs données personnelles et font beaucoup plus attention aux informations qu’ils peuvent divulguer à leur insu. Beaucoup sont désormais conscients que lorsqu’ils utilisent des services “gratuits”, ils cèdent en échange des informations personnelles.
En effet, comment peut-on caractériser juridiquement une donnée? Il ne s’agit pas de quelque chose que l’on possède par exemple une propriété immobilière ou même foncière. On ne peut être propriétaire de nos données personnelles. Ainsi, on rentre donc dans le domaine de la propriété intellectuelle, régie par des brevets, des copyrights, etc… Il est difficile de voir dans un premier temps comment les lois actuelles sur la propriété intellectuelles peuvent s’appliquer aux big data.
La peur des big data
Récemment, les populations ont pris conscience des risques qui peuvent être liés à l’utilisation de nos données personnelles. Le réseau social Facebook a plusieurs fois fait parler de lui concernant ses closes d’utilisations des données personnelles. Plus d’un milliard de personnes sont donc concernées dans le monde. Par conséquent, des plaintes ont été déposées contre les géants d’internet qui jusqu’à présent n’avaient pas été inquiétés. Il leur est notamment reprocher d’utiliser illégalement les données personnelles.1 Une affaire avait fait grand bruit en 2010 en Allemagne. L’élu vert Malte Spitz a obtenu de son opérateur de téléphonie mobile l’intégralité des données stockées sur six mois de sa vie privée, incluant messages, achats et déplacements. Néanmoins, ce fut un « bras de fer judiciaire »2, comme l’article l’indique. On voit donc ici la difficulté des particuliers afin de savoir quels data ont réellement été recueillies par les entreprises. Ce « secret » autour des big data nous invite à nous pencher sur la façon dont elles sont régulées juridiquement.
Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
A ce jour, les big data sont régis par une loi datant du 6 janvier 19783. A première vue, cela peut sembler contradictoire dans le sens où l’internet s’est vraiment démocratisé dans les années 2000, l’internet étant le support même des big data. Néanmoins, il ne faut pas oublier que cette loi a été maintes fois modifiée, et que les grands principes juridiques sont constamment adaptés aux nouvelles technologies. Cette loi a notamment été modifiée en août 2004. En ce qui concerne la protection des données, l’article 74 est au centre du sujet :
“Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° Le respect d’une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.”
Comme nous pouvons le constater, les données à caractère personnelles ne peuvent être utilisées par les entreprises que si la personne concernée est en accord avec l’entreprise. On pourrait donc penser que toute personne souhaitant protéger ses données a tous les moyens à disposition afin de le faire. Néanmoins, avec le développement d’un grand nombre de services “gratuits” qui deviennent indispensables (Facebook, Gmail, Twitter, Linkedin), les utilisateurs ne sont pas réellement conscients des engagements qu’ils prennent. En soit, le problème n’est pas le cadre juridique qui est bien présent en ce qui concerne la collecte des données (d’après Emeline Bissoni), mais il réside dans la nature même des big data et de l’usage qu’il en est fait. En effet, comme nous l’avons défini en introduction, les big data correspondent à un recoupement d’un grand nombre de données pour obtenir de nouvelles données issues de différents moyens de collectes. Ce recoupement, effectué par des algorithmes obscurs est encore très difficile à contrôler.
Il existe aussi des lois cherchant à encadrer la collecte des données : de nombreuses lois permettent aux individus de protéger leurs vies privées en imposant aux sites internet d’informer les utilisateurs de la collecte de données. En outre, la plupart des lois exigent non seulement le consentement, mais plutôt un
consentement éclairé, ce qui signifie que l’individu doit être en mesure de comprendre quels traitements sont effectués sur les données et quelles peuvent être leurs conséquences. Etant donné que le traitement des big data est effectué par des algorithmes d’exploration des données très complexes, il est difficile pour l’utilisateur de comprendre la façon dont ses données vont être traitées. Face à cette opacité des algorithmes, beaucoup d’utilisateurs acceptent le traitement de leurs données en acceptant tout simplement les conditions générales d’utilisation.11
Le travail de la CNIL
La CNIL (Commission Nationale de l’Informatique et des Libertés) a pour but de “Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles”5. Les principales missions de l’organisme sont les suivantes :
– Informer
– Protéger
– Conseiller et réglementer
– Accompagner la conformité
– Contrôler
– Sanctionner
– Anticiper
La CNIL a aussi un rôle de sensibilisation. Il y a encore quelques années, le public n’avait pas conscience du grand nombre de données qu’il divulguait à son insu. L’organisme lance notamment des campagnes de sensibilisation auprès des adolescents :
Figure 7 – Campagne de sensibilisation de la CNIL auprès des adolescents, crédits CNIL
Il est important de rappeler qu’il s’agit d’une institution totalement indépendante même si le budget de la CNIL relève du budget de l’Etat français. Ainsi les décisions prises par la commission ne peuvent être influencées.
Il semblerait que cet organe soit à même d’instaurer une protection des données à caractère personnel. Néanmoins, les moyens de collectes de données se développent à des vitesses considérables, et il est parfois difficile pour cet organe de suivre les avancées technologiques des entreprises. Prenons pour exemple le scandale de la collecte des réseaux WiFi par les “Google Cars” chargées de la prise de clichés pour le site internet Google Street View. Les véhicules ont recueilli des données sur les réseaux WiFi en France et à l’étranger, dans l’optique d’améliorer le système de géolocalisation des smartphones. Cette action n’a jamais été dévoilée au grand jour par Google et a été justement découverte par la CNIL, comme nous l’a expliqué Franck Baudot au cours de notre entretien. On voit donc qu’il y a un décalage technologique entre les entreprises exploitant les données et les organismes de régulation6.
De plus, il y a un sérieux manque de moyens : il y a environ 200 personnes qui travaillent à plein temps pour cet organisme et ils doivent traiter un nombre considérable de dossiers : Près de 90000 traitements ont été déclarés, et plus de 6000 plaintes ont été déposées. De plus, en 1978, la loi a été rédigée alors que l’informatique était réservée aux gros organismes administratifs. De nos jours, l’informatique est omniprésente et il est donc devenu difficile de réguler les dérives avec une entité aussi petite que la CNIL selon Franck Baudot, membre du pôle technologique de la CNIL et expert sur les questions de big data.
Autre exemple montrant le « retard » des régulateurs vis-à-vis des big data : Aux Etats-Unis, les sociétés chargées d’établir des profils de consommateurs (à partir des achats effectués que ce soit en magasin ou sur internet, des cookies laissés sur différents sites marchands) ont longtemps recueilli des données, souvent clandestinement et en violation de la législation même dans des pays avec de fortes lois de protection comme en Europe.10La Federal Trade Commission (FTC) américaine a annoncé à la fin de 2012 qu’elle allait enquêter sur les activités des «courtiers de données » telles que Intelius ou encore Acxiom.
L’uniformisation au niveau européen et mondial
Contrairement à d’autres sujets de controverses qui peuvent être résolus au niveau national, celui des big data ne peut être résolu qu’à l’échelle mondiale. En effet, les données circulent quasi librement dans le monde entier, car les flux de données sont impossibles à contrôler. Pour plus d’efficacité, il est donc question de la création de lois à l’échelle mondiale. Néanmoins, le rapport des populations au problème de la protection des données personnelles varie selon les pays. Par exemple, aux Etats-Unis, les lois sont beaucoup plus laxistes qu’en France. Pour une cinquantaine de dollars, n’importe qui peut obtenir à partir d’un simple site internet un grand nombre d’informations sur un individu (adresse, mariage, orientation sexuelle), chose inimaginable en France. Afin d’uniformiser la législation, les états européens se sont unis afin de créer en 1995 le groupe « G29″. Il s’agit d’un groupe qui réunit l’ensemble des « CNIL » européennes et qui a pour but d’harmoniser les réglementations liées au traitement des données au sein de l’Union européenne.
La cybercriminalité au-devant de la scène9
La cybercriminalité englobe les infractions pénales commises dans le monde du numérique par le biais de réseaux informatiques. Ces infractions peuvent aller du téléchargement illégal de musique au pillage de données sensibles et personnelles. Il faut noter qu’il est beaucoup plus difficile de retrouver le coupable dans le cas d’un délit cybercriminel. Les auteurs se cachent souvent sous des fausses adresses IP (numéro d’identification attribué à tout appareil connecté à Internet) , des proxys ou des VPN (Virtual Private Network), empêchant ainsi les autorités de retrouver leurs traces. La cybercriminalité explose et même les Etats sont au centre de la controverse : le scandale de la NSA a permis de montrer que même les Etats ne sont pas bien protégés. Les individus ont l’impression que tous leurs mouvements, achats peuvent être retrouvés et mis en place publique. L’augmentation du nombre de données recueillies soulève le problème de la protection des données. Récemment, Sony a avoué en 2011 que des milliers d’utilisateurs du service Sony Online Entertainment se sont fait voler leurs coordonnées bancaires. Plus de 24 millions de comptes ont été piratés et les hackeurs ont pu avoir accès notamment aux mots de passe des internautes. Beaucoup de délits ne sont pas avoués, car il s’agirait d’un « aveu de faiblesse » de l’entreprise vis-à-vis d’un petit groupe d’individu quand bien même la loi les oblige à le faire. A partir de cet exemple, nous pouvons voir que même les plus grandes multinationales peuvent être inquiétées. Non seulement les internautes apprennent que leurs données personnelles sont aux mains de hackeurs la plupart du temps mal intentionnés, mais ils perdent alors toute confiance dans les institutions qui recueillent les données. C’est pourquoi les « big data » ont une très mauvaise image auprès de l’opinion publique car souvent reliées à des scandales dans la presse. Les populations ne se rendent pas compte des possibilités offertes par les big data mais retiennent que le côté néfaste du phénomène. Lutter contre la cybercriminalité devient alors un enjeu économique majeur pour les entreprises, à l’heure où les infrastructures sont de plus en plus vulnérables face aux nouveaux types de menaces.
Notes:
1. Données personnelles : un recours collectif déposé contre Facebook, L’Expansion (L’Express), publié le 09/04/2015, http://lexpansion.lexpress.fr/high-tech/donnees-personnelles-un-recours-collectif-depose-contre-facebook_1669557.html, consulté le 17/04/2015.
2. Mounier Frédéric, Quelle vie privée ?, La Croix, publié le 20/01/2014 http://www.la-croix.com/Ethique/Sciences-Ethique/Sciences/Quelle-vie-privee-2014-01-20-1093735, consulté le 12/04/2015.
3. Source : Entretien Emeline Bissoni, 26/01//2015. Voir http://www.controverses-minesparistech-2.fr/~groupe7/?page_id=243
4. Loi n°78-17 du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés
5. Site internet de la Commission nationale de l’informatique et des libertés : www.cnil.fr.
6. Source : Entretien Franck Baudot, 24/03/2015. Voir http://www.controverses-minesparistech-2.fr/~groupe7/?page_id=237
7. Site internet de la société Intelius : www.intelius.com.
8. Burks Stephen, Cowgill Bo, Hoffman Mitchell, Housman Michael, The Value of Hiring through referalls, publié le 26/04/2013 econgrads.berkeley.edu/hoffman/, consulté le 23/04/2015.
9. Vrangos Théodore-Michel, La protection des données est un défi économique, La Tribune, publié le 12/05/2014, www.latribune.fr/opinions/tribunes/20140512trib000829403/la-protection-des-donnees-est-un-defi-economique.html, consulté le 23/04/2015. Théodore-Michel Vrangos est le cofondateur et président de la société I-Tracing.
10. Wigan Marcus R., Clarke Roger, Big Data’s Big Unintended Consequences, Computer, 46 (6), 2013, p. 46-53, http://dx.doi.org/10.1109/MC.2013.195, consulté le 17/05/2015.
11. Jensen Meiko, Challenges of Privacy Protection in Big Data Analytics, IEEE International Congress on Big Data 2013, Santa Clara, 27/06/2013-02/07/2013, p. 235-238, http://dx.doi.org/10.1109/BigData.Congress.2013.39, consulté le 17/05/2015.