Big Data et profilage : entre innovation et dictature des données
Publié le 10/12/2015 par Thierry Léonard, didier chaumont
À la veille de modifications essentielles de la réglementation relative à la protection des données à caractère personnel, bon nombre d’entreprises sont sur le point de prendre des décisions stratégiques quant à la mise en ouvre de solutions et outils issus du Big Data. Ces décisions ne sont pas faciles. C’est que le cadre juridique applicable à ce qui apparaît bien comme une des évolutions les plus significatives dans le traitement des données personnel reste pour le moins flou et incertain. Raison pour laquelle un point s’impose sur les règles à venir issues du règlement ainsi que sur l’interprétation donnée aux principes applicables au Big Data par le Contrôleur européen de la protection des données dans un tout récent avis du 19 novembre 2015.
Big Data : what’s that ?
Comme le relève l’autorité de contrôle européenne, le commun dénominateur des diverses définitions du Big Data vise une pratique consistant à collecter d’énormes volumes de données issues de sources diverses et à les analyser par méthodes statistiques. Le but est généralement de créer des outils d’aide à la décision.
L’analyse des données à grande échelle, générés par des personnes dans leurs relations sociales (notamment sur les réseaux sociaux) ou de leurs interactions aux objets (par exemple des données de localisation induites de l’utilisation d’un téléphone portable) par des logiciels de calcul et de corrélations statistiques permet de dégager des profils qui seront ensuite appliqués à d’autres personnes physiques en vue d’évaluer certains de leurs aspects personnels. L’émergence des objets « intelligents » reliés en réseaux ou à l’Internet participe au même phénomène s’il permet de produire de l’information sur ses utilisateurs. On peut alors prédire, par exemple, leurs déplacements, leur consommation d’énergie, leur état de santé, leur capacité de remboursement, leur rendement au travail ou leurs préférences personnelles d’achats. La plus-value de la pratique des Big data est donc principalement son incomparable potentiel prédictif des comportements futurs.
Quels sont les risques du Big Data pour les libertés individuelles ?
Comme l’a détaillé l’étude précitée du Contrôleur européen, les nouvelles pratiques induites par le Big data génèrent de sérieux risques pour les libertés individuelles.
D’abord, le phénomène du Big data, en ce qu’il implique une collecte massive de données pour une finalité parfois indéterminée, se concilie difficilement avec les principes fondamentaux du droit de la protection des données personnelles, tels que le principe d’adéquation des données ou de proportionnalité. Par ailleurs, les applications Big data tendent à compiler le plus possible de données provenant de sources diverses, sans vérification approfondie de la pertinence et de l’exactitude des données.
Du point de vue des individus, le principal risque du Big data procède de son opacité. On constate souvent un défaut de transparence pour les personnes concernées accru par la complexité croissante des traitements en cause, fondés sur divers algorithmes indéchiffrables pour ceux qui en font l’objet. Quand les acteurs privés n’opposent pas le secret d’affaires pour refuser de dévoiler des informations sur la manière dont s’opèrent lesdits traitements. Dans la réalité, les personnes concernées sont alors confrontées à des décisions automatisées qu’ils ne comprennent pas, et sur lesquelles ils n’ont aucun contrôle, voire dont ils ignorent tout simplement l’existence. Les responsables risquent également d’être dans l’impossibilité d’obtenir le consentement des personnes concernées au traitement, étant eux-mêmes dans l’ignorance d’une pratique Big data au moment où les données ont été collectées.
Le Big data tend à exploiter le potentiel prédictif à partir du traitement statistique des données générées par l’observation des comportements humains, ce qui risque de conduire à ce que certains appellent « la Dictature des données ». En effet, le recours croissant aux outils fondés sur le Big data a pour conséquence que nous ne sommes plus jugés sur nos actes, mais sur la base de ce que les données enseignent quant à la probabilité de nos actions futures.
Une autre dérive potentielle du Big data procède de sa capacité d’établir des corrélations statistiques erronées qui aboutissent à des conclusions injustes et discriminatoires pour les personnes concernées. La généralisation du recours aux outils prédictifs risque donc d’engendrer de nouveaux phénomènes d’exclusion et de ségrégation des individus dans notre société.
Les différents travaux sur le Big data ont également mis en lumière un danger pour l’innovation et la créativité, en ce qu’il induit une tendance à privilégier la norme statistique et les comportements conformistes. Dans la mesure où chacun sait que son comportement est constamment observé selon ses usages des réseaux sociaux et de son activité en ligne, les personnes peuvent être enclines à adopter des comportements conformes à la norme et ainsi freiner leur spontanéité et leur créativité ce qui aura un impact négatif sur l’innovation.
La nouvelle ligne de défense européenne
Pour atténuer ces risques, le Contrôleur européen plaide pour l’adoption de quatre catégories de mesures afin de garantir un développement du Big data respectueux des droits et des libertés des individus : garantir une plus grande transparence quant à ces nouveaux traitements de données ; fournir de nouveaux outils aux personnes pour contrôler plus efficacement leurs données ; intégrer la problématique de la vie privée dès la conception des systèmes d’information et de communication ; responsabiliser les sociétés en les obligeant à s’assurer régulièrement de la conformité des traitements opérés.
Hasard de l’agenda ou proximité des sources, ces mesures se retrouvent largement dans le dernier projet de Règlement européen sur la protection des données, dont l’adoption est prévue d’ici la fin de l’année. Il est donc intéressant d’examiner les mesures proposées par le futur Règlement européen à la lumière des recommandations du Contrôleur européen. Morceaux choisis.
Précisons d’emblée que le profilage – défini comme toute forme de traitement visant à « évaluer certains aspects personnels liés à une personne physique, notamment par l’analyse et la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements » – n’est pas interdit en soi, mais balisé par certaines mesures protectrices.
La première mesure vise à compenser le manque de transparence et l’asymétrie informationnelle entre le responsable du traitement et les personnes concernées, en renforçant l’obligation d’information, en cas de recours au profilage. À cet égard, le Contrôleur préconise que les responsables révèlent aux personnes concernées la logique sous-jacente aux outils prédictifs afin de permettre aux personnes concernées de contrôler efficacement les activités de traitement, et éventuellement, de rectifier les facteurs et les critères qui influencent les décisions automatisées.
Sur ce point, le futur Règlement européen rencontre ses souhaits : il met en place un devoir d’information accru à charge du responsable quant à l’existence d’un profilage et à ses conséquences, afin d’éviter que les personnes concernées soient soumises à des décisions qu’ils ne comprennent pas et sur lesquelles ils n’ont pas de contrôle. En outre, le droit d’accès, tel que prévu par le futur texte européen, permet à la personne concernée d’exiger du responsable des explications quant à la logique sous-tendue par le profilage.
Ensuite, le Contrôleur estime que le droit de ne pas être soumis à un traitement constitue un outil puissant pour les personnes concernées, pour autant que ce droit puisse être exercé de manière inconditionnelle. À ce niveau, ni le projet de règlement, ni le contrôleur européen ne tranchent la question de savoir si le consentement des personnes est requis pour des traitements de type Big Data. La nécessité d’un tel consentement continuera donc à relever de l’application des règles générales de licéité du traitement, ce qui en pratique impose un choix délicat pour le responsable du traitement.
Non sans une certaine finesse, le Contrôleur européen milite d’ailleurs pour l’intégration de système d’opt-out inconditionnel en matière de Big Data afin de rétablir l’équilibre entre le droit des personnes de contrôle sur leurs données et les impératifs de développements commerciaux et d’innovations des responsables. On peut y voir une application du droit d’opposition prévu systématiquement par le projet de Règlement en cas de légitimation du traitement par une pondération d’intérêts.
Le futur Règlement tient aussi compte des recommandations du Contrôleur européen dès lors qu’il investit toute personne du droit de ne pas être soumise à des mesures de profilage produisant des effets juridiques la concernant ou l’affectant de manière sensible, telles que par exemple le rejet automatisé d’une demande de crédit. Même si des exceptions au principe existent, la personne concernée disposera toujours du droit d’obtenir une intervention humaine a posteriori, d’exprimer son point de vue et de contester la décision prise sur base des mesures de profilage.
Selon le Contrôleur européen, le renforcement du contrôle sur leurs données par les individus implique, en sus d’un droit d’accès étendu aux personnes (cfr supra), un droit à la portabilité des données : la personne doit avoir le droit de récupérer l’intégralité de ces données dans un format structuré, couramment utilisé. L’objectif étant de renforcer les capacités de contrôle des individus sur leurs données, de leur permettre d’utiliser leurs données pour leurs propres objectifs ou même d’en tirer directement profit en les monnayant.
Le Contrôleur parle décidément en écho du futur Règlement puisque ce dernier consacre un droit à la portabilité des données permettant aux individus de récupérer l’intégralité de leurs données sous une forme uniformisée et praticable et de les transmettre, le cas échéant, à un autre responsable. Ce droit est une des grandes nouveautés du futur règlement et, de manière générale, exprime sans doute une évolution très importante dans la reprise du contrôle des données par la personne elle-même. Reste à savoir comment il sera mis en œuvre en pratique.
Le contrôleur insiste enfin sur le rôle clé joué par l’intégration de la problématique de la vie privée dès la conception des systèmes d’information et de communication (privacy by design), en mettant en place de nouvelles manières d’informer les personnes et de nouveaux outils de contrôle pour les personnes concernées. Dans le cadre du futur Règlement, on retrouve l’expression du principe de privacy by design au niveau du droit d’accès, du droit d’opposition au traitement, des mécanismes d’opt-out, ou encore au niveau du droit à la portabilité des données.
Enfin, le Contrôleur milite pour la mise en place de mesures et de mécanismes de contrôle afin de garantir la conformité des traitements et leur évaluation régulière, afin de démontrer aux tiers, dont notamment les autorités de contrôle, que le cadre légal est respecté.
A cet égard, le futur Règlement traduit en de nombreuses dispositions ces impératifs de responsabilisation et de de contrôle à charge des responsables. On songe notamment aux pouvoirs de sanctions effectifs conférés aux autorités de contrôle ou encore à l’obligation de réaliser des études d’impact préalables lorsque le traitement est « à risque » pour les droits et les libertés des personnes concernées.
Conclusion
Le Big Data est en marche. Il ne s’arrêtera pas. Pour un mieux espéré lorsque les données sont au service de l’innovation, en tentant d’éviter le pire et la « dictature des données » que la technique induit si l’on n’y prend garde… Dans un monde hyperconnecté, la collecte et le traitement des multiples informations que nous générons seuls et dans nos interactions avec autrui ou les choses vont nécessairement s’intensifier. Mais l’innovation ne peut être permise que si elle intègre en elle-même la protection des libertés individuelles. Le projet de Règlement tout comme l’avis récent du Contrôleur européen sur la protection des données sont là pour nous le rappeler : des limites existent. À ne pas dépasser.
Plus d’infos ?
En lisant l’avis du contrôleur européen, en annexe.
En assistant à la conférence organisée par le cabinet Ulys.