Liens Rapides
Support technique

Toujours dans le but d’apporter des solutions efficaces et réactives à nos clients, nous nous donnons la possibilité de prendre la main directement sur leur poste, et ce quel qu’ils soient !

Consulter notre plaquette de présentation et nos conditions générales de vente Plaquette de présentation de VMR Global Solutions * Contacter nous pour toutes vos demandes de conception de PDF dynamique

Last @VMRGlobalSol Tweets
Inscription à la newsletter
VMR Global Solutions | Big Data et données personnelles : des précautions à prendre
2232
single,single-post,postid-2232,single-format-standard,ajax_fade,page_not_loaded,smooth_scroll,,wpb-js-composer js-comp-ver-3.7.4,vc_responsive

Big Data et données personnelles : des précautions à prendre

19:40 25 October in Informations
0 Comments

Si le Big data est source d’opportunités pour tous les secteurs économiques, il porte aussi un enjeu de protection des données personnelles, en particulier pour la banque, secteur pour lequel les relations clients s’inscrivent nécessairement dans la durée, et parce que, dans sa fonction de teneur de compte, elle “voit”, en plus, les habitudes de consommation de ses clients ; et ces données à caractère personnel intéressent des entreprises tierces de tous secteurs.

Data Matrix

Le thème de la protection des données personnelles n’est pas une nouveauté en France, où la loi Informatique et Libertés s’applique depuis 1978, encadrée par les règles de la directive européenne de 1995 (95/46/CE). Conçu avant l’essor d’Internet et des nouvelles problématiques liées à la commercialisation des données, ce cadre juridique est repensé dans le projet de règlement européen, qui pourrait entrer en vigueur en 2015. Cependant, le dispositif français actuellement en vigueur, mis en œuvre par la CNIL, est suffisamment précis et contraignant pour que les entreprises prennent sans attendre leurs précautions, au moment où elles lancent des études d’opportunité de projets Big Data.

Il faut tout d’abord bien apprécier la portée de la définition de « donnée à caractère personnel » dans la loi : il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » (art. 2). Ainsi que l’a démontré une étude, selon laquelle l’identité de 87% des Américains peut être reconstituée à partir de leur code postal, leur date de naissance et leur sexe, la combinaison de quelques caractéristiques peut faire d’elles des « données personnelles » même en l’absence d’un nom ou d’un identifiant personnel. Les données dont le caractère personnel est ainsi clairement établi doivent respecter trois grands principes : la finalité du traitement de données, le consentement de la personne et la limitation de durée. En disposant que « Les données sont collectées et traitées de manière loyale […] pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités », l’article 6 prohibe tout enregistrement conservatoire de données personnelles, en vue d’une utilisation ultérieure. Or l’esprit même du Big Data n’est pas très différent de celui du « datawarehouse », ou entrepôt de données, où la collecte et la centralisation de données peuvent être envisagées avant que les besoins en exploitation de ces données soient définis. Le Big Data cherche donc à tirer parti de données du seul fait de leur présence et de leur accessibilité, quelle qu’ait pu être leur finalité d’origine (pour peu qu’elle ait été définie). A défaut de pouvoir se contenter de données anonymisées, l’entreprise devra donc s’assurer auprès des personnes concernées de leur consentement pour les exploiter – le deuxième principe. L’article 7 dispose en effet qu’ « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée », qui peut le retirer à tout moment. Le consentement doit être « exprès » : la signature de conditions générales prévoyant le traitement de données personnelles n’emporte consentement que si la finalité précise de ce traitement y est mentionnée. C’est donc une contrainte forte et, alors que le règlement européen sur la protection des données personnelles est en cours d’élaboration, les professionnels font pression pour en réduire les conséquences opérationnelles, d’autant que le projet de règlement leur fait porter la charge de la preuve de ce consentement. En revanche, la règle sur la limitation de durée est moins un enjeu, parce que l’exploitabilité commerciale de données personnelles a de toute manière une durée limitée.

Face à ces contraintes, les entreprises doivent d’abord acquérir de nouveaux réflexes. La documentation des projets informatiques doit inclure un volet « données personnelles » et identifier les fichiers assujettis à la loi. Par prudence, la finalité d’un projet doit être définie de la manière la plus large possible. Un référentiel des projets Big Data doit permettre de rapprocher chaque opération d’exploitation de données personnelles de la finalité d’origine du projet concerné. Les identifiants et les attributs clients les plus sensibles pourraient être cryptés dans les bases de données. La pertinence du choix des données personnelles enregistrées doit être systématiquement questionnée ; par exemple, une campagne marketing a rarement besoin des dates de naissance : l’année de naissance peut suffire à déterminer si un client entre dans une tranche d’âge ciblée, tout en réduisant le risque de ré-identification. Ensuite, la règle sur la limitation de durée rend souhaitable la mise en œuvre d’un traitement de suppression automatique des données personnelles ayant atteint leur limite de durée de conservation. Les directions informatiques ont l’habitude de dimensionner la capacité de stockage des données en fonction des durées de conservation obligatoires de certaines données, notamment comptables, et de ne purger les données obsolètes de leurs bases de données que pour libérer de l’espace. Elles doivent dorénavant mettre en place des mécanismes de purge automatique des données personnelles ayant atteint leur durée maximale, et revisiter leur politique de conservation des données car, si les “copies techniques” sont exemptes d’obligations de déclaration, leur démultiplication et leur dispersion croissantes au sein de l’entreprise augmente le risque opérationnel, notamment de fuite. Rappelons à cet égard que les entreprises ont d’ores et déjà l’obligation de déclarer à la CNIL toute violation de données à caractère personnel. Les entreprises vont également être amenées à renforcer les garde-fous dans les contrats de prestations en mode Saas portant sur des données personnelles, au-delà des classiques engagements de conformité à la loi. Par exemple, elles pourraient exiger de leurs prestataires de leur mettre à disposition un moyen électronique de rectification ou suppression des données personnelles qui leur auraient été confiées. Autre exemple, pour éviter à un prestataire européen un éventuel conflit juridictionnel entre la protection européenne des données personnelles et les injonctions du gouvernement américain au titre du Patriot Act, des aménagements contractuels doivent être prévus en amont, notamment en cas de rachat du prestataire par une entreprise américaine. La plus grande difficulté opérationnelle pour les banques est d’assurer la traçabilité des données personnelles à travers tout le système d’information : inclure à l’espace client du site web des fonctionnalités de consultation des données personnelles est une chose, proposer une rectification ou une suppression de ces données à la main du client en est une autre, car ces données ont pu être propagées et recombinées avec d’autres informations dans de multiples bases de données…

Nous sommes au début de l’ère numérique règlementée, et avec elle, d’une vague de contentieux relatifs aux données personnelles. Une des principales caractéristiques du règlement en cours d’élaboration est d’alourdir le montant des sanctions que pourront prendre les autorités nationales comme la CNIL. Les banques devront ainsi s’habituer, après l’AMF et l’ACP, à un troisième “gendarme”, la CNIL, dotée de pouvoirs d’investigation et de sanction équivalents aux deux premières autorités. Une bonne raison pour anticiper.

A propos des auteurs

– Bruno MATHIS, Engagement manager chez STERWEN
– Alexandre LUC-WALTON, Avocat chez Tour Maubourg Avocats

Source : Toolinux

No Comments

Sorry, the comment form is closed at this time.