Le récent engouement des médias pour la Big Data ne doit pas faire perdre de vue qu’à la source de ce concept se trouvent des données personnelles dont les traitements sont encadrés par la loi. En outre, la valorisation de ces données au travers de nouveraux outils constitue un actif immatériel qu’il convient de protéger.
« Big Data » : Depuis près d’un an, les spécialistes du marketing et de la relation client raffolent de cette nouvelle expression. Si ce néologisme tend à effrayer le public par sa proximité phonétique et philosophique avec son grand frère orwellien (sa définition usuelle désignant « des ensembles de données qui deviennent tellement volumineux qu’ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données ou de gestion de l’information »), il ne fait que poursuivre les développements initiés dans les années 90 à travers le « data mining ». Déjà, à l’époque, des groupes de données apparemment sans rapport de causalité ou de corrélation étaient soumis à des analyses mathématiques dans l’espoir de découvrir les relations entre des comportements individuels agrégés.
Ces avancées consuméristes étaient cependant limitées par la technologie sous-jacente : la puissance de calcul des ordinateurs de l’époque, l’introduction des données dans le système et le temps de traitements rendaient l’analyse pertinente dans une stratégie de fond et l’émergence de certaines typologies statistiques de comportement, mais ne permettaient ni une granularité analytique, ni une vision en temps réel. En outre, les coûts associés aux ressources matérielles et humaines de ces analyses empêchaient l’accès à ces ressources minières au plus grand nombre.
1. Côté entreprise – la protection des matières premières numériques
Les ensembles de données ont ainsi atteint des tailles extravagantes et la complexité des modèles a permis l’émergence de prestataires, qui vantent leur capacité d’assistance à la navigation dans ces océans de bits. Si leur expertise est nécessaire pour créer de la valeur dans ces puits vertigineux, il ne faut pourtant pas oublier que leur pertinence provient de modèles mathématiques et algorithmiques, eux-mêmes gloutons de données.
Dès lors, la tentation peut être forte pour ces prestataires de nourrir ces modèles avec les données amassées auprès de leurs clients, aux fins de perfectionner les modèles mathématique.
En conséquence, avant d’externaliser les processus Big Data, l’entreprise devra sécuriser les conditions de mise à disposition des données, restreindre les conditions de leur utilisation et surtout, prévoir leur devenir en fin de contrat.
Cette sécurisation aura non seulement pour finalité de protéger ce patrimoine dématérialisé de l’entreprise, mais également, d’assurer une conformité règlementaire vis-à-vis des données de ses clients.
2. Côté consommateur – la protection des données personnelles à l’épreuve des grands ensembles
La matière première de la Big Data réside dans l’individu. Or cet individu a non seulement déplacé ses habitudes vers un monde numérique, facilitant la captation des données, mais a également pris l’habitude du partage de ses données dans cet univers dématérialisé.
Il semblerait donc qu’il existe aujourd’hui un paradoxe de la donnée : les individus n’ont jamais autant publicisé leur vie intime et les données qui leur sont propres alors même que le projet de révision du cadre règlementaire européen du traitement des données personnelles a fait l’objet d’une campagne de lobbying rarement rencontrée.
Pour l’heure, les obligations légales et règlementaires qui s’imposent en France depuis 35 ans restent applicables à la Big Data.
Dans un premier temps, il s’agit de règles de bonne conduite et de transparence tant avec les individus qu’avec le régulateur. Il s’agit notamment d’obligations d’information des individus et de déclaration à un registre publiquement accessible auprès de ce régulateur, la Commission National de l’Informatique et des Libertés.
Ensuite, les individus dont les données sont traitées disposent également de droits qu’ils peuvent exercer auprès de l’entreprise gérant ces données. Il s’agit notamment des droits d’accéder à ces données, de les modifier, voire même de s’opposer à leur traitement.
La nature des informations devant être transmises à « « toute personne physique justifiant de son identité » peut sembler difficile à appréhender au regard de la complexité croissante des systèmes de Big Data. En effet, comment communiquer ces données « sous une forme accessible » des historiques pluriannuels et des listings complets de logs ? Comment permettre à ces personnes de « connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques » à son égard, comme par exemple modifier un prix en vue de produire une vente ?
Sans remettre en cause les avantages certains de la Big Data pour tous les acteurs de la chaine de la relation client, jusqu’au client lui-même qui se réjouira de bénéficier d’offre réellement pertinente pour ses intérêts personnels, il faut prendre garde à ne pas briser la chaine de confiance à l’origine de cet écosystème tant en amont avec les individus dont les données sont traitées qu’en aval avec les prestataires charger d’optimiser ces traitements. La meilleure politique doit résider dans une approche raisonnée et concertée des acteurs classiques d’une problématique nouvelle, et s’assurer que l’apparition de « Chief Data Officers » au sein des multiples acteurs ne se fasse pas au détriment de « Chief Privacy Officers », garde-fou juridique contre les sirènes marketing.
Première Publication : Options Droit et Affaires