Les enjeux Juridiques du Big Data

FOCUS. – Qu’est-ce que le Big Data (ou mégadonnées, selon la Commission générale de terminologie et de néologie, depuis le décret du 22 août 2014) ?

Ce sont des ensembles de données extrêmement volumineux que l’on va traiter et analyser. Mais ce n’est pas tout. Le Big Data désigne une démarche particulière, qui consiste à extraire l’information pertinente d’un ensemble de données. L’intérêt pratique des Big Data tient en effet à leurs nombreuses applications potentielles : analyse financière, connaissance client, identification de tendances à long terme, etc. C’est l’utilité sociale et économique des Big Data qui conduit à les utiliser. Et, cerise sur le gâteau, le Big Data aurait même des capacités prédictives. Par exemple, le Big Data peut contribuer à l’amélioration de la gestion des stocks ou des prévisions météo. Il peut permettre de prédire une épidémie de grippe ou de mieux vendre des produits ou services ou encore de faire de la publicité ciblée ou comportementale…

Mais 70 % des données du Big Data sont, paraît-il, des données produites par les personnes, consciemment ou inconsciemment. On peut donc parier qu’une part importante des Big Data est constituée par des données à caractère personnel, par interconnexion et recoupement.

Les données à caractère personnel inhérentes au Big Data constituent ainsi, d’un côté, un enjeu important de l’innovation entrepreneuriale et de l’autre, une source d’inquiétude et de défiance pour les internautes et consommateurs.

Textes applicables et risques juridiques

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – dite loi « Informatique et libertés » – encadre la collecte et l’utilisation des données à caractère personnel. Elle confère des droits aux personnes dont les données sont collectées et traitées et impose le respect de plusieurs obligations aux responsables du traitement de ces données.

De plus, une proposition de règlement européen du 25 janvier 2012 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adoptée en première lecture par le Parlement européen. Il devrait renforcer davantage la protection des personnes dont les données sont collectées, notamment par la création d’un « droit à l’oubli » numérique.

Dans l’attente de son entrée en vigueur, deux types de sanctions existent d’ores et déjà. Les sanctions prévues par le Code pénal, prononcées par un juge, vont jusqu’à 1,5 million d’euros d’amende pour l’entreprise responsable du traitement des données et cinq ans d’emprisonnement pour les personnes physiques.  Les sanctions pécuniaires, prononcées par l’autorité administrative indépendante en charge du contrôle du respect de la loi « Informatique et Libertés » – la Commission nationale de l’informatique et des libertés (CNIL) -, vont jusqu’à 150 000 € et le double en cas de récidive. La CNIL dispose du pouvoir de publier les sanctions qu’elle prononce, portant ainsi atteinte à l’image de l’organisme et à son e-reputation.

Enfin, la directive 2009/136/CE dite « Paquet Télécom », transposée par l’ordonnance du 24 août 2011 modifiant l’article 32 de la loi « Informatique et libertés » est venue encadrer l’utilisation de cookies (reconnaissance du principe de « l’opt-in »).

Bonnes pratiques

L’identification des contraintes juridiques permet de définir et d’explorer les champs du possible du Big Data. De plus, les acteurs du Big Data sont invités à s’orienter vers une collecte des données responsable, non seulement pour assurer une conformité maximale au dispositif prévue par les lois applicables et réduire ainsi les risques de sanctions, mais également pour gagner la confiance des internautes et des consommateurs.

Source : Merav Griguer, avocat associée cabinet Dunaud Clarenc Combles & Associés.

Pour en savoir plus :

• www.cnil.fr
• eur-lex.europa.eu
• ec.europa.eu
• www.entreprises.cci-paris-idf.fr
• www.cnnumerique.fr
• www.forum-avignon.org