Les entreprises comprennent les opportunités offertes par le big data, mais pas toujours les dangers, notamment juridiques qui leurs sont associés.
C’est le message proposé par le rapport « Le Big Data face au défi de la confiance », réalisé conjointement par le Boston Consulting Group et le cabinet d’avocats DLA Piper à la veille de l’adoption d’une législation sur la protection des données et à partir d’une enquête auprès de plus de 10 000 consommateurs. Pour accéder au rapport du BCG, cliquer ici.
Le big data est en mesure de constituer pour les entreprises un vaste champ de développement et de création de valeur. Mais le big data traite une matière sensible : les données personnelles. La protection de ces données est assurée par un cadre juridique étoffé, complexe, en évolution constante et présentant des différences notables, notamment entre les États-Unis où l’approche réglementaire est sectorielle, et la France et l’Union européenne qui ont imposé leur propre cadre réglementaire. Exploiter ces données peut donc exposer l’entreprise à des risques, souvent sous-estimés ou méconnus.
Les premiers sont d’ordre juridique, liés à la non-observation des règles en vigueur. Les autres risques concernent la réputation de l’entreprise auprès de ses clients si ces derniers ne sont pas convaincus qu’ils gardent un contrôle sur leurs données personnelles et que l’entreprise les utilise de façon loyale. Or, la confiance est la clé de la relation entre une entreprise et son client. Il est donc nécessaire de percevoir avec clarté les enjeux juridiques du big data afin que ce lien de confiance ne soit pas menacé.
Certains usages big data exposent les entreprises à des contraintes juridiques méconnues ou sous-estimées. Ainsi, les détenteurs de données sont aussi responsables de leur sécurité, et certains secteurs sont même soumis à des contraintes renforcées (banques, télécoms). Par exemple, les entreprises doivent pouvoir s’assurer que le profilage de leurs consommateurs ne provoque pas de discriminations.
De leur côté, les utilisateurs consommateurs sont prudents lorsqu’il s’agit de partager des informations personnelles en ligne mais une prudence qui dépend assez largement du type de données. D’une manière générale, 75 % des personnes interrogées estiment que le caractère privé des données personnelles est un sujet de première importance.
Une utilisation raisonnée des données personnelles
Le Big Data est au point de rencontre de trois volontés contradictoires :
– celles des entreprises d’avoir accès au maximum de données personnelles de leurs clients afin d’améliorer leurs offres de produits et services et leurs résultats économiques ;
– celle de certains États et des instances de régulation qui entendent encadrer le plus étroitement possible l’accès à ces données et leur utilisation ;
– celle des consommateurs qui souhaitent bénéficier d’un service individualisé et pertinent, tout en gardant le contrôle sur l’utilisation de leurs données.
Seules les entreprises qui sauront établir un lien de confiance avec leurs clients et le régulateur, par une utilisation raisonnée des données personnelles, seront en mesure de réconcilier ces trois volontés contradictoires.
Quelques règles d’or pour gérer les risques d’un projet Big Data
1. Privilégier les données anonymes lorsque cela est possible
2. Obtenir le consentement éclairé du consommateur lors de la collecte des données
3. S’assurer que le profilage des consommateurs ne crée pas de discrimination
4. Déclarer des finalités de traitement ni trop précises ni trop vagues
5. S’assurer que les données sont exactes et sécurisées
6. Donner aux utilisateurs le contrôle sur l’utilisation de leurs données
7. Mettre en évidence un échange de valeur attractif
8. Ne pas procéder à l’extraction de bases de données tiers sans leur autorisation
* *
*
La France à l’avant-garde de la protection des données personnellesContrairement aux États-Unis où les règles diffèrent selon les États, où il n’existe aucune autorité dédiée à la protection des données personnelles, ni obligation de déclarer les traitements de données, la France s’est dotée d’un ensemble réglementaire et législatif relativement contraignant, notamment au titre de la loi Informatique et Libertés, qui transpose en droit français la directive 95/46/CE. Elle constitue le texte de référence en matière de protection des données à caractère personnel dans les pays de l’Union européenne. Un nouveau règlement européen est en cours d’élaboration, plus contraignant pour les acteurs du Big Data).
La loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 6 août 2004 transposant la directive de 1995, définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce le droit des personnes sur leurs données et précise les pouvoirs de contrôle et de sanction de la Commission nationale de l’informatique et des libertés (CNIL). |