Aspects juridiques des mégadonnées RGPD (GDPR) Nicolae Sfetcu 05.01.2020 Sfetcu, Nicolae, « Aspects juridiques des mégadonnées RGPD (GDPR) », SetThings (5 janvier 2020), URL = https://www.setthings.com/fr/aspects-juridiques-des-megadonnees-rgpd-gdpr/ Email: nicolae@sfetcu.com Cet article est sous licence Creative Commons Attribution-NoDerivatives 4.0 International. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nd/4.0/. Une traduction partielle de : Sfetcu, Nicolae, « Etica Big Data în cercetare », SetThings (6 iulie 2019), DOI: 10.13140/RG.2.2.27629.33761, MultiMedia Publishing (ed.), ISBN: 978-606-033-228-2, URL = https://www.setthings.com/ro/e-books/etica-big-data-in-cercetare/ L'utilisation des mégadonnée présente des problèmes juridiques importants, notamment en termes de protection des données. Le cadre juridique existant de l'Union européenne, basé notamment sur la Directive 46/95/CE et le Règlement général sur la protection des données (RGPD en anglais : General Data Protection Regulation, GDPR) assurent une protection adéquate. Mais pour les mégadonnées, une stratégie globale et complète est nécessaire. L'évolution au fil du temps est passée du droit d'exclure les autres au droit de contrôler leurs propres données et, à l'heure actuelle, à repenser le droit à l'identité (numérique). Nicolae Sfetcu : Aspects juridiques des mégadonnées RGPD (GDPR) 2 La collecte et l'agrégation des données dans les mégadonnées ne sont pas soumises à la réglementation sur la protection des données, en raison des nouvelles perspectives sur la confidentialité, avec la possibilité de formes spécifiques de discrimination. En 2014, le rapport de Podesta concluait que « L'analyse des mégadonnées peut potentiellement occulter les mécanismes de protection des droits civiques qui existent depuis longtemps dans la façon d'utiliser les informations à caractère personnel en matière de logement, de crédit, d'emploi, de santé, d'éducation, et sur le marché ». (European Economic and Social Committee 2017) Il s'ensuit que de nouveaux moyens spécifiques de protéger les citoyens sont nécessaires, car le cadre juridique, même s'il est théoriquement applicable, ne semble pas offrir une protection adéquate et complète. RGPD (GDPR) Le règlement de l'UE sur la protection des données 2016/679 (Règlement général sur la protection des données, « RGPD ») traite la protection des données et la vie privée des personnes dans l'Union européenne et l'Espace économique européen. Il traite spécifiquement l'exportation de données personnelles en dehors des zones de l'UE et de l'EEE. Le RGPD entend simplifier l'environnement réglementaire en unifiant la réglementation au sein de l'UE. (European Parliament 2016) Le RGPD s'applique dans deux cas au traitement des données personnelles (a) l'accès aux biens ou services aux frais des personnes dans l'UE, ou (b) le suivi de leur comportement au sein de l'UE. Ainsi, le règlement permet de l'étendre à tous les fournisseurs de services Internet, même s'ils ne sont pas établis dans l'UE. Plus généralement, le RGPD s'applique à tous les grands agrégateurs de données, quelles que soient les connexions géographiques ou physiques. Nicolae Sfetcu : Aspects juridiques des mégadonnées RGPD (GDPR) 3 Étapes du traitement des données personnelles Le traitement des données personnelles est défini par l'article 4, paragraphe 2, comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. » Les mégadonnées comprennent plusieurs activités de traitement des données personnelles, chacune avec ses propres règles spécifiques : 1. Collecte de données 2. Stockage des données 3. Agrégation de données 4. Analyse des données et utilisation des résultats d'analyse Principes du traitement des données Le traitement des données est basé sur les principes suivants énoncés à l'article 5 du RGPD : 1. Légalité, équité et transparence : les utilisateurs doivent être pleinement et correctement informés de la politique de confidentialité et pouvoir accéder facilement à leurs propres données. 2. Limitation de la finalité : les collecteurs de données doivent informer la personne concernée des finalités de la collecte de données, qui peuvent être traitées ultérieurement à ces seules fins. Nicolae Sfetcu : Aspects juridiques des mégadonnées RGPD (GDPR) 4 3. Minimisation des données : seules les données personnelles pertinentes aux fins déclarées seront collectées. 4. Exactitude et mise à jour : Les données seront mises à jour et rectifiées chaque fois que cela est requis par l'objectif déclaré. Dans le cas des mégadonnées, le droit des utilisateurs d'annuler ou de supprimer des données personnelles est très important. 5. Limitation du stockage : les données ne seront stockées que pendant le traitement et ensuite détruites. La durée de stockage peut être prolongée dans la mesure où les données sont archivées pour l'intérêt public, la recherche scientifique ou historique ou à des fins statistiques. 6. Intégrité et confidentialité : l'opérateur des données garantit une sécurité adéquate des données personnelles grâce à des mesures techniques et organisationnelles. Politique de confidentialité et transparence Dans le cas de la collecte de données afin de remplir un formulaire, le principe de minimisation des données sera respecté, seules les données pertinentes et strictement nécessaires étant demandées. Dans le cas d'une collecte automatique de données, comme les cookies, la surveillance Web ou la géolocalisation, la politique de confidentialité doit informer l'utilisateur de cet aspect. Finalités du traitement des données Des données anonymes et agrégées peuvent être traitées pour identifier le comportement de certaines catégories de consommateurs. À cette fin, l'opérateur de données procède à l'anonymisation puis les transfère à un tiers les utilisant. Nicolae Sfetcu : Aspects juridiques des mégadonnées RGPD (GDPR) 5 Confidentialité par conception et confidentialité implicite Les concepts de confidentialité par conception et confidentialité implicite n'étaient pas explicitement inclus dans les réglementations de l'UE. Mais, selon l'art. 78 du RGPD, « [a]fin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudo-anonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. » (European Parliament 2016) Le paradoxe (juridique) des mégadonnées L'utilisation des mégadonnées implique au moins un paradoxe : d'une part, les mégadonnées garantit une transparence maximale mais en même temps, il n'y a pas de transparence adéquate concernant l'utilisation des mégadonnées. La transparence est une question fondamentale car elle influence la capacité d'un utilisateur à autoriser la divulgation de ses informations. (European Economic and Social Committee 2017) Bibliographie European Economic and Social Committee. 2017. "The Ethics of Big Data: Balancing Economic Benefits and Ethical Questions of Big Data in the EU Policy Context." European Economic and Social Committee. February 22, 2017. https://www.eesc.europa.eu/en/ourwork/publications-other-work/publications/ethics-big-data. European Parliament. 2016. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Nicolae Sfetcu : Aspects juridiques des mégadonnées RGPD (GDPR) 6 Directive 95/46/EC (General Data Protection Regulation) (Text with EEA Relevance). OJ L. Vol. 119. http://data.europa.eu/eli/reg/2016/679/oj/eng.