Longtemps annoncé comme étant le « pétrole du XXIème siècle », le Big Data (mégadonnées en bon français) est sur toutes les lèvres et fait la une des journaux.
Il n’existe pas de définition officielle, et encore moins juridique, du Big Data.
Pour tenter de faire simple, il s’agit de la collecte massive, et en temps réel, de données provenant de sources différenciées, et de leur analyse par des algorithmes dans le but d’en tirer des informations utiles et économiquement exploitables.
Ces données peuvent être structurées ou non structurées : lieux fréquentés, sites visités, messages postés sur des réseaux sociaux, transactions en ligne, données générées par des objets connectés, etc.
Pour les acteurs du monde financier, la bataille du Big Data est lancée.
D’un côté, les banques sont assises sur un véritable trésor de guerre, que, par tradition et contraintes réglementaires, elles osent à peine exploiter. En effet, les banques savent tout de leurs clients et de leurs habitudes de consommation : retraits en distributeurs, achats par carte bancaire, transactions sur Internet, consultations de compte en ligne, ces opérations retracent les allées et venues de tout un chacun.
D’un autre côté, les nouveaux entrants font de l’usage du Big Data une arme de destruction massive, à commencer par les géants américains de l’internet, les fameux GAFA , capables de désintermédier le secteur bancaire grâce à une meilleure connaissance client.
Demain, Google pourrait proposer un crédit auto adapté au profil d’un internaute ayant effectué une recherche concernant l’achat d’un véhicule.
Déjà, Amazon commence à expérimenter le prêt aux PME, en tirant parti de sa base de données clients pour déterminer les entreprises éligibles.
Si le Big Data est vital dans notre économie numérique, il pose des problèmes juridiques fondamentaux qui pourraient en limiter significativement l’usage.
La notion de données personnelles
De nombreuses données agrégées dans le cadre du Big Data sont des données personnelles au sens du règlement général sur la protection des données du 27 avril 2016 (« RGPD », en vigueur à compter du 25 mai 2018).
Les données seront qualifiables de personnelles, et donc sujettes à protection, dès lors que les personnes physiques concernées seront « identifiables ».
Les algorithmes utilisés dans le cadre du Big Data sont de plus en plus puissants et permettent souvent de déduire d’une masse de données anonymes l’identité de personnes.
Le principe de finalité
La première difficulté liée au Big Data réside dans le respect du principe de finalité. : un traitement ultérieur de données personnelles incompatible avec la finalité initiale de la collecte est illégal.
A titre d’exception à cette règle, les traitements des données à des fins statistiques, historiques ou de recherche ne sont pas incompatibles avec la ou les finalité(s) initiale(s).
En général, la collecte et le stockage de données dans le Big Data ne répond à l’origine à aucune finalité particulière : c’est le croisement et l’analyse a posteriori des données qui leur donnent du « sens » et donc de la valeur.
En pratique, les autorités de contrôle seront surtout attentives à la prévisibilité de la collecte : le traitement ultérieur dans le cadre du Big Data sera d’autant plus « compatible » avec la finalité initiale qu’il sera « prévisible » lors de la collecte initiale.
Toutefois, le RGPD semble autoriser les traitements ultérieurs incompatibles avec la finalité initiale dans l’hypothèse où l’intérêt légitime du responsable de traitement serait prépondérant sur les intérêts et les droits et libertés fondamentaux des personnes concernées.
Cet arbitrage devra être motivé dans une étude d’impact, que le RGPD rend obligatoire dans le cas de traitements « à risques » (notamment traitement de données « à grande échelle »).
Le RGPD impose, dans tous les cas, que les données soient collectées et traitées de manière loyale et licite.
Licéité de la collecte
La collecte de données doit naturellement être conforme à la législation et à la réglementation applicable, et ne pas être contraire à l’ordre public.
Or, dans le cadre d’un projet Big Data la vérification de la légalité de la collecte est une entreprise délicate, compte tenu de la multiplicité des sources des données et, par conséquent, des textes applicables, qui relèvent de régimes juridiques différents (surtout dans le domaine bancaire où les contraintes légales sont légions).
La licéité de la collecte suppose également le respect des contrats, des conditions générales et des droits de propriété intellectuelle attachés aux bases de données.
Proportionnalité
Les données ne peuvent être excessives au regard des finalités pour lesquelles elles sont collectées et traitées. Or, c’est précisément l’objet du Big Data que de collecter un maximum de données, qui pourraient souvent être qualifiées d’excessives.
Propriété des données
A qui appartiennent les données ?
La question est fondamentale, à l’heure où la « data » est valorisée à l’actif des bilans de nombreuses sociétés.
Selon le Conseil d’Etat, « en l’état du droit, il n’existe pas de droit de propriété de l’individu sur ses données personnelles » . A fortiori en est-il ainsi des sociétés sur les données de tierces personnes physiques.
Dans le chef des responsables de traitement( banques, entreprises Fintech etc), tout au plus peut-on reconnaître le droit du producteur sur sa base de données (articles L. 342-1 et suivants du Code de propriété intellectuelle), ainsi qu’un droit précaire d’utilisation des données individuelles.
Ce droit sera limité par les prérogatives que le RGPD confère aux personnes concernées : droit de s’opposer (sans motif) à l’utilisation de leurs données à des fins commerciales, droit à l’oubli, droit à la portabilité etc.
Profilage
Qui dit Big Data dit généralement profilage.
Le RGPD (article 21) fixe des limites au profilage, une technique utilisée pour analyser ou prédire les performances d’une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.
Conformément au règlement, le profilage est uniquement autorisé si la personne concernée donne son consentement, si la loi le permet ou s’il est nécessaire à la conclusion d’un contrat.
De plus, le profilage ne devrait pas se baser uniquement sur le traitement automatique des données. Le règlement consacre le droit du sujet à ce que tout processus décisionnel le concernant ne soit pas uniquement automatisé, y compris en cas de profilage, lorsque ce processus a des effets juridiques, ou des effets similaires qui l’affectent significativement.
Le profilage doit donc comprendre une évaluation menée par l’homme, incluant une explication de la décision conclue après un tel examen (sur la manière dont la solvabilité d’un individu est évaluée par exemple).
