Données personnelles : le profilage a de beaux jours devant lui

Après un long et difficile processus de gestion, le règlement européen sur la protection des données personnelles verra enfin le jour en 2016. L’intention est louable mais relève du challenge. Le sujet n'est pas sans inquiéter les professionnels du marketing.

Face au déluge de données et à l’opacité des traitements, l’objectif du principe de transparence est double : permettre à chacun de comprendre qui fait quoi avec les données le concernant et lui donner les moyens de maitriser l’utilisation qui est faite de ses données.

Le principe de transparence revêt d’autant plus d’importance lorsque le traitement de données a pour base légale, le consentement de la personne. Pas de consentement qui ne soit libre et éclairé.

De même quand la légalité du traitement des données repose sur "l’intérêt légitime" du professionnel (cf. l’utilisation des données pour des actions de marketing), ce principe de transparence devrait faciliter l’exercice du droit d’opposition des personnes grâce à une information plus complète et de meilleure qualité.

Il existe déjà une obligation d’informer les personnes, y compris pour les traitements de Big Data

Dès lors qu’une organisation collecte des données personnelles, elle a déjà l’obligation d’informer les personnes concernées, notamment de la finalité du traitement des données et de la possibilité d’exercer leurs droits d’accès, de rectification et d’opposition. Cette information soit se résume à la mention dite "informatique et libertés", soit fait l’objet d’une politique de confidentialité difficilement compréhensible pour le profane. Selon une étude récente, il faudrait d’ailleurs en moyenne soixante-cinq jours à chacun de nous pour lire les politiques de confidentialité nous concernant.

Pourtant la seule disponibilité et accessibilité de cette information, suffit à présumer du consentement de la personne à l’utilisation des données qui la concernent.

A ceci s’ajoute une difficulté supplémentaire quand il s’agit de définir les modalités d’information des personnes de la collecte de données au moyen d'objets connectés ou de capteurs comme l’illustre cette jurisprudence de la CNIL concernant des systèmes d'évaluation quantitative des flux piétons[1].

En quoi consiste le nouveau principe de transparence du règlement européen ?

La transparence se traduit par plus d’information notamment sur la source des données, sur leur utilisation ultérieure et leur durée de conservation. Cela se traduit aussi par une information concise, accessible, facile à comprendre y compris par les enfants. 

Les organisations devront faciliter l’exercice des droits des personnes en les informant de la possibilité d’agir en justice et en leur permettant d’exercer leurs droits d’accès, de rectification et d’opposition par voie électronique quand les données auront été collectées en ligne par exemple.

Le règlement traite tout particulièrement du profilage. Ainsi, toute personne objet d’un traitement visant à analyser ou prédire ses comportements, sa santé, sa situation économique ou financière, sa localisation pour en faire un profil susceptible de l’affecter de manière significative, devra être préalablement informée des conséquences et des risques liés au traitement et pourra s’y opposer. Elle pourra aussi exiger une intervention humaine, exprimer son point de vue et contester les résultats.

Sauf exception, le profilage ne sera pas interdit mais encadré

L’Union européenne comme les états, pourront autoriser les traitements automatisés et donc le profilage des personnes notamment pour lutter contre la fraude, contrôler mais aussi prévenir l’évasion fiscale ou les menaces contre la sécurité publique.

D’autre part, le profilage à des fins de marketing sera possible, à condition que la personne en ait été clairement informée comme indiqué ci-avant et qu’elle ne s’y soit pas opposée. La personne pourra toujours s’y opposer à tout moment.

De même le profilage basé sur le consentement explicite de la personne sera autorisé.

Par principe, le profilage de catégories de données particulières et notamment de données sensibles telles que les informations relatives à la santé d’une personne sera interdit.

Dans tous les cas, le responsable des traitements de profilage devra assurer la protection des données, notamment en utilisant des formules mathématiques et statistiques qui limitent les risques d’erreurs et d’atteintes aux droits et libertés fondamentaux des personnes.

Le principe de transparence appliqué aux Big Data : entre illusion et impuissance

Nous savons que moins de 20% des personnes lisent les politiques de confidentialité et que seulement 11% les comprennent.

Les traitements de Big Data correspondent souvent au traitement ultérieur de données collectées initialement à d'autres fin. La transparence impose d'informer les personnes de ces éventuels traitements ultérieurs portant sur les données les concernant.


Mais alors, plusieurs questions se posent:

Qui a et qui aura le temps de lire les politiques de confidentialité de toutes les applications et logiciels qu’il utilise via son mobile, son ordinateur, ses objets connectés ? Qui a vraiment envie de lire ces politiques ? Qui serait prêt à se priver des services proposés en contrepartie de la collecte de ses données ? Les personnes troquent leur vie privée contre un service qu’elles veulent de plus en plus personnalisé. Dans sa politique de confidentialité, Google explique clairement que les données sont interconnectées avec les informations obtenues par l'intermédiaire de ses partenaires et recoupées avec celles issues de ses autres services. Est-ce pour autant dissuasif ? La protection des données et de la vie privée implique désormais de maitriser les codes de la communication et sur ce terrain Google n’est pas en reste.

 

Qui comprend ces politiques et qui en perçoit les enjeux à moyen et long terme?

 

L’obligation de transparence concerne les seules données permettant d’identifier une personne ou de la rendre identifiable. Notre seul smartphone comprend jusqu’à dix capteurs de mouvements, de lumière, de rotation, outre la caméra et le micro, autant de données qui prises isolément ne permettent pas d’identifier un individu. Pourtant analysées sur un certain laps de temps et associées à d’autres données, ces bribes d’informations s’avèrent plus bavardes qu’on ne l’imagine. Les traitements de Big Data peuvent aussi aboutir à la prise de décisions vis-à-vis de personnes associées à un groupe sans avoir besoin de les identifier.

 

Face à une collecte opaque, silencieuse et souvent invisible, l’enjeu des Big Data est un enjeu éthique qui dépasse la seule protection des données à caractère personnel. Si la transparence est nécessaire, il n’est pas certain qu’elle atteigne les objectifs qui lui sont assignés.