1. Accueil
  2. Actualités
  3. Application du RGPD à l’analyse Big data

Application du RGPD à l’analyse Big data

Transactions bancaires, historiques d’achats en lignes, publications sur les réseaux sociaux ; tous ces domaines ont un point commun : ils se prêtent à l’analyse Big data.

Si ce terme semble être dans la bouche de toute entreprise à la pointe de l’innovation, il n’implique pas que des avantages.

Arrêtons-nous un instant sur la pratique que recouvre le Big data, ainsi que sur les précautions à  mettre en œuvre par les entreprises qui y recourent.

gdpr-dataportabiliteit

La pratique du Big data

Généralement, le Big data est expliqué via la référence aux trois V, c’est-à-dire à trois termes débutant par un V, qui renvoient à ses caractéristiques principales : le volume, la variété et la vitesse.

En d’autres termes, cette pratique renvoie à l’analyse, au moyen d’algorithmes, de grandes quantités de données (Volume), de formats et sources différentes (Variétés) à une vitesse rendue possible grâce à la digitalisation (Vitesse).

À cette fin, des données souvent inexploitées sont traitées en masse. Prenons notamment l’exemple des données de localisation, qui permettent de faire des offres en temps réels, celui des données de consommation, par lesquelles il est possible d’identifier les périodes d’affluences ou encore celui des données récoltées sur internet, qui permettent l’offre de produits ciblés.

À la lecture de ces exemples, il est manifeste que le Big data offre de nombreux avantages à l’entreprise : l’offre de produits personnalisés, le déploiement d’une meilleure image de marque, le développement de nouvelles opportunités commerciales ou encore, l’amélioration du processus de distribution.

Cependant, il y a le revers de la médaille : les entreprises qui recourent au Big Data doivent se conformer à toute une série de contraintes légales, dont notamment celles imposées par les dispositions du Règlement Général des Données à caractère personnel.

Application du RGPD en cas d’analyse de données à caractère personnel

En effet, tant les données qui aliment ce processus que celles qui en ressortent peuvent être des données à caractère personnel.

À cet égard, il est important de préciser que l’analyse Big data peut avoir pour effet d’octroyer, à une information, la qualité de donnée à caractère personnel. Prenons l’exemple d’une donnée anonymisée, c’est-à-dire une donnée sur base de laquelle l’identification de la personne concernée a été rendue impossible. Si dans le cadre de l’analyse Big data, cette donnée est assemblée avec d’autres et que cela permet une identification de la personne concernée, on ne parlera plus de données anonymes. Par conséquent, les exigences du RGPD devront être respectées. La vigilance est donc de mise.

Par ailleurs, une analyse Big data peut être accompagnée d’une activité de profilage. Tel sera le cas lorsque la collecte des données a lieu pour établir des profils, en créer ou appliquer ces profils à d’autres individus. Si le profilage n’est pas interdit, il implique des garanties supplémentaires, et à plus forte raison encore lorsqu’il se fonde sur des données particulières (infra), ou s’il s’accompagne d’une prise de décision totalement automatisée.

Il est primordial de prendre la mesure des obligations imposées au responsable de traitement puisque le principe d’accountability requiert de celui-ci qu’il soit apte à démontrer le respect de ces dernières.

Le respect du RGPD

Le processus Big data devra se conformer à l’ensemble des principes du RGPD. Nous en avons identifié deux, afin d’illustrer les questions qui se posent en pratique.

  1. Le principe de finalité
    Tout d’abord, le principe de finalité impose au responsable de traitement d’annoncer les finalités pour lesquelles les données sont collectées.  Or, dans le cadre d’un projet Big data,  on collecte généralement les données avant de déterminer l’usage qui va en être fait.

    Cette pratique est hautement problématique dans la mesure où chaque traitement effectué par le responsable de traitement qui se révèle incompatible avec les finalités préalablement annoncées n’est pas légal.

    Il appartient donc à ce dernier de définir les domaines de recherche et finalités possibles de manière préalable. Cet exercice, certes lourd et complexe, est le seul de nature à légaliser la pratique de collecte « à toutes fins ».

  2. Le principe de légalité
    Ensuite, le responsable de traitement doit baser son traitement sur un des six fondements juridiques admis par le RGPD, en vertu du principe de légalité. Étant donné le volume de données traitées, il est évident que certaines données pourraient être utilisées sur base de fondements juridiques différents.

    Notons d’emblée que les hypothèses de légitimation du traitement seront restreintes lorsque l’analyse Big data implique un profilage au moyen de données particulières, c’est-à-dire de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques ou l'appartenance syndicale, des données médicales, etc. En effet, dans ce cas de figure, le responsable de traitement pourra uniquement fonder son traitement sur des motifs d’intérêt public ou sur le consentement explicite de la personne concernée (infra).

    Quant à l’hypothèse de profilage au moyen de données « simples », le fondement de l’intérêt légitime est celui qui semble le plus adapté au processus Big Data, bien qu’il présente également des fragilités.

    Dans cette hypothèse, il appartient au responsable de traitement de démontrer que le traitement opéré est nécessaire pour rencontrer son intérêt légitime. À ce titre, pourraient être avancés la prévention de la fraude, le maintien de la sécurité physique et informatique ou encore la nécessité de la recherche, y compris à des fins de commerciales. Pour ce faire, le responsable de traitement devra documenter la mise en balance qu’il a opérée, entre d’une part ses propres intérêts et d’autre part, les droits fondamentaux des personnes concernées.

    En ce qui concerne le fondement du consentement de la personne concernée, l’ensemble des exigences qui y sont assorties rend minimes les hypothèses dans lesquelles il légitimera le traitement opéré. En effet, rappelons que le RGPD a renforcé les conditions à respecter pour obtenir un consentement valable et que celui-ci pourrait être retiré à tout moment par la personne qui l’a donné.

    Par ailleurs, ces exigences seront encore plus fortes lorsque l’analyse de Big data implique un profilage. Dans cette hypothèse, le consentement recueilli devra être explicite, ce qui nécessite d’obtenir de la personne concernée sa signature ou une confirmation via un lien par exemple.

Le Big data et le RGPD : pas inconciliables, mais attention !

Vous l’aurez compris, malgré les nombreux avantages proposés par le Big data, s’engager dans ce type de processus nécessite une véritable réflexion au regard du RGPD.

Celle-ci devra tout d’abord  intervenir en amont, c’est-à-dire au moment de la collecte des données, étant donné que c’est à ce stade que les finalités de traitement devront être annoncées.

Ensuite, la réflexion se pratiquera tout au long du processus de Big data puisque d’une part, des données non protégées peuvent le devenir en cours de traitement et que d’autre part, il appartiendra au responsable de traitement d’être en mesure de démontrer qu’il respecte effectivement le RGPD à chaque étape.

 

 

Pauline LIMBREE

pauline-limbree

Pauline LIMBREE est avocate au sein du cabinet d’avocat LEXING et du barreau de Liège. Elle a suivi le master complémentaire en Droit des Technologies de l’Information et de la Communication de l’Unamur.  À cette occasion, elle a écrit en mémoire traitant de la protection des données à caractère personnel dans le cadre du hacking, travail pour lequel elle a reçu le deuxième prix de l’Internet Student Paper Award, décerné par l’ISPA.

 

 

  113