Big data : enjeux & risques juridiques

Big Data : l’or noir du XXIème siècle. Mais comment l’exploiter en toute légalité ?

Le phénomène du Big Data désigne la croissance exponentielle du volume des données disponibles sous forme numérique aussi bien dans les entreprises que sur l'internet. Il s’agit d’un ensemble de technologies et d'algorithmes qui permettent de trier en temps réel une masse considérable de données sur le Web, et de cerner plus subtilement les comportements des internautes-consommateurs.

Nul besoin d’être né la souris à la main pour saisir ce que couvre cette expression anglo-saxonne.
En effet, chaque individu participe à ce phénomène en dispersant des données sur leurs faits et gestes accumulées par les réseaux sociaux, les applications, les mobiles ou les objets connectés.
A ce titre, observons qu’environ 300 millions de photos sont publiées chaque jour sur Facebook avec 3,2 milliards de commentaires, et 72 heures de vidéos mises en ligne chaque minute sur YouTube.
Des « like » sur Facebook au téléchargement d'applications mobiles et aux achats sur des sites d'e-commerce, en passant par la recherche d'un nouveau travail sur LinkedIn, l'utilisation de cartes de fidélité en ligne, la géolocalisation dans des boutiques… jamais les individus n'ont partagé autant d'informations et laissé autant de traces.
Les ordinateurs, smartphones et tablettes génèrent une multitude de fichiers, voire de cookies (témoins de connexion), et d'informations, stockés dans une nouvelle génération de « cloud » (serveur en réseau, comme Gmail par exemple) et des centres de données de plus en plus puissants.
Bref, une mine d’informations pour les marques.
Si le Big Data est l’avenir du e-marketing, en revanche les défis juridiques sont nombreux.
Les utilisateurs sont les premiers fournisseurs de données, alors mieux vaut éviter de les inquiéter. Facebook, Google, Twitter et autres Amazon ont initié le phénomène d’analyser les statistiques des utilisateurs.
Parce que tous permettent aux internautes d'accéder à des services gratuits en cédant, en échange, des informations personnelles. Ils bâtissent donc leur modèle économique autour de ce trésor de guerre de données relatives à des millions d'internautes – près d'un milliard d'utilisateurs pour Facebook .
« Si vous utilisez un service gratuit, vous n'êtes plus le client, vous êtes le produit »

I. Big Data et données traitées

Du traitement des données découlent deux préoccupations : l'éventuelle protection juridique des données traitées et l'usage qui est fait des traitements. Les données peuvent être personnelles et soumises à la réglementation de protection de ces données - laquelle impose notamment d'accomplir certaines formalités et de respecter les droits des personnes concernées. L'interconnexion de plusieurs fichiers, dont la finalité est différente, est étroitement encadrée et ne peut être faite sans une réflexion préalable.

Protection de la base de données

La loi n° 98-536 du 1er juillet 1998 ajoute à la protection par le droit d'auteur un droit "sui generis" du producteur de la base. Ce droit permet de s’opposer à une extraction ou une réutilisation d'une "partie substantielle du contenu de celle-ci".

Titularité des droits sur les données

Ici, il faut distinguer  les données privées des données publiques, qui relèvent de l’open data.  Les données privées, soit parce qu’elles sont le produit d’une entreprise ou qu’elles relèvent de la sphère privée des individus, ne peuvent faire l’objet, librement, d’une appropriation par un tiers. Les dispositifs juridiques de lutte contre la concurrence déloyale, le parasitisme économique, la violation du secret de fabrique (article L.621-1 du code de la propriété intellectuelle), la contrefaçon de droits de propriété intellectuelle (y compris pour les creative commons) ou encore de protection de la vie privée montent la garde.
Quant aux données publiques, leur usage est régi par les dispositions de la licence ouverte qui autorise expressément l’exploitation commerciale des données, y compris en combinaison avec d’autres données et par inclusion dans un produit ou une application.

L'UE ouvre les données publiques

Les 27 pays de l'Union vont devoir, sous 18 mois, modifier les règles d'accès aux données publiques qui seront désormais accessibles gratuitement ou à faible coût aux citoyens mais surtout aux entreprises.

Un sacré changement culturel à venir

Les bases de données géantes du Big Data sont donc largement appropriables à condition de vérifier l’origine des données concernées.
Dans le cadre de « l'Open Data », il existe un débat sur la propriété des données publiques. Pour certains, les données publiques « élaborées » feraient l'objet d'une propriété publique.  Il est aussi transposable à la sphère privée : est-ce que l'auteur d'une application Web, par exemple, peut s'arroger des droits sur les données qu'elle permet de produire ?
A ce titre, qui est propriétaire des données accessibles dans le public et qui peut réglementer leur utilisation ?
  • Les informations sont dites « de libre parcours ». Elles ne peuvent pas faire l'objet d'un droit de propriété.
  • Seule leur mise en forme, dans le cadre d'un article, d'un livre, d'une affiche, etc.... peut être protégée par le droit d'auteur.
  • Le recueil de données dans le cadre d'une base est également protégé par le droit lorsqu'il représente un investissement financier, matériel ou humain substantiel. Mais ce n'est pas un droit de propriété.

En quoi les données de source publique sont-elles différentes ?

Depuis une directive européenne du 17 novembre 2003, les pouvoirs publics ont pris conscience que les données en leur possession avaient une valeur.  L'Etat a donc mis en place un régime de collecte et de mise à disposition pour les personnes privées en échange d'une redevance. Puis l'initiative de l'« Open Data » lancée par le Président Obama en 2009 a mis en évidence l'intérêt d'une mise à disposition gratuite des données d'origine publique. Avec la circulaire du 27 mai 2011, le droit français s'est adapté et a prévu la gratuité par principe, la rémunération par exception.
Pour autant, la personne publique a prévu de n'accorder accès à ses données que sous certaines conditions : les informations publiques ne doivent pas être altérées ni dénaturées, la source et la date de leurs dernières mises à jour doivent être mentionnées.  On verra à l'usage ce que donnent ces principes. La question est de savoir si une personne qui rassemble ou qui retraite des données - soit les siennes, soit d'autres - peut revendiquer un droit sur ces données et sur celles qu'elle élabore.  Par exemple, avoir listé les bouches du métro vous donne-t-il un droit sur cette liste si personne ne l'a établie avant vous ?

Limites posées par la nature des données

Si le terrain de jeu du Big Data est loin d’être restreint, il n’est pas sans limites.  Elles tiennent, en premier lieu, à la nature des données et aux traitements envisagés, et quand il s’agit de données personnelles, la vigilance est nécessaire. En Europe, le traitement de données à caractère personnel est régi par les dispositions de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (transposée dans tous les états membres). Remarquons que le futur règlement européen s’accompagne de nouvelles mesures de protection des droits des personnes.
Nous sommes arrivés à un point où la protection des données personnelles, portée par la défense des libertés fondamentales de l'individu, est en train de devenir aussi un argument économique.
Cette conviction doit être partagée au moment où s'engage la révision de la directive de 1995 sur les données personnelles. Nous devons moderniser le cadre juridique européen pour coller aux nouvelles réalités d'Internet. Il nous faut être extrêmement vigilants car cet exercice se déroule dans un contexte de forte concurrence entre l'Europe, les États-Unis et l'Asie, l'enjeu étant d'élaborer le cadre normatif le plus attractif pour le développement de l'économie numérique et des échanges de données.

L'autre préoccupation provient de la sécurité : Une faille minuscule peut menacer des quantités de données considérables. Si les utilisateurs perdent confiance dans l'utilisation de leurs informations, c'est donc tout l'édifice du big data qui risque de s'écrouler.  Pour éviter cela, la Commission européenne a présenté, au début 2012, un règlement qui vise à les protéger davantage. Ce texte, qui devrait être voté en 2014 pour une application en 2016, obligera les entreprises à demander à l'utilisateur son consentement explicite avant de collecter ses données personnelles. Il instaure également le droit à l'oubli.
De ce fait,  c’est une véritable stratégie juridique de mise en œuvre du Big Data que les entreprises devront adopter pour conjuguer avec justesse les enjeux économiques et les libertés individuelles. Mais les limites ne s’arrêtent pas là. Remarquons que le futur règlement européen s’accompagne de nouvelles mesures de protection des droits des personnes.

II. Contractualisation des rapports entre fournisseurs et clients ?

Framework et outils d’analyse (notamment de text mining) sont sur le marché et les fournisseurs de solution également. Le mode de contractualisation, de type client/fournisseur est assez classique, peut être avec un renouveau des clauses de participation aux résultats, comme il en existe dans les contrats relatifs aux solutions de yield management construits autour d’un ensemble qui associe les outils et la prestation autour d’un objectif spécifique d’optimisation financière, propre à chaque client, anticipé et chiffré. Mais nul doute, que les pratiques contractuelles issues des services Cloud s’invitent aussi, pour supporter les offres de services qui allient à l’hébergement dans le nuage la mise à disposition d’outils d’analyse.  Là encore, ce qui compte, c’est de ne pas être dans le brouillard et de disposer d’engagements clairs au moyen d’un contrat qui soit un véritable outil d’anticipation des risques.

Il convient d'analyser les contrats des prestataires sous deux aspects :
  • Les clauses relatives aux données et aux traitements,
  • Les clauses relatives aux obligations et garanties des parties.
Pour ce qui concerne les clauses relatives aux données, les questions à se poser sont : d'où viennent les données ? Quel est leur statut ?
  • Quels traitements sont effectués ?
  • Les données sont-elles rendues anonymes, sont-elles conservées, etc. ?
  • Y a-t-il des interconnexions de fichiers ?
Pour ce qui concerne les obligations et garanties des parties, le contrat doit refléter la réalité des responsabilités. Le risque juridique est donc associé à la personne qui est effectivement maître des traitements et des usages qui sont faits des données source et des résultats.
L'application du régime du contrat de fourniture de prestations de services, complété par des obligations accessoires de surveillance et de respect de la confidentialité des données stockées, assurerait une protection optimale au bénéficiaire du service. Tout en servant les intérêts des utilisateurs, ce régime est également opportun à l'égard des prestataires car il correspond à leur nature juridique et à leur responsabilité sur le Web.