[DOSSIER] Auto - MRH 2/6

Le droit ne fait plus sa loi face aux leaders du big data

Le droit ne fait plus sa loi face aux leaders du big data

Législateur et régulateur travaillent à l'élaboration de règles juridiques plus contraignantes en vue de l'usage commercial des informations personnelles. Un cadre nécessaire mais insuffisant face aux velléités des géants mondiaux de la donnée.

Les récentes révélations de l'affaire Prism, le système d'espionnage américain piloté par la National Security Agency (NSA), sont venues rappeler avec acuité l'extrême vulnérabilité des remparts juridiques et réglementaires en matière de sécurité et de protection des données des citoyens. Au-delà du scandale, elles ont aussi démontré la nécessité de renforcer l'arsenal législatif actuel afin de garantir, a minima, le respect des droits de l'Homme numérique.

Internet is watching you !

100M€,

montant de l'amende contre des entreprises qui transmettent, sans accord, des données personnelles hors de l'U€.

(source : Parlement européen)

Cette question est d'autant plus brûlante que la donnée personnelle constitue une matière première économique de plus en plus compétitive et concurrentielle entre les acteurs. Une tendance nourrie à la fois par l'essor des objets connectés et par l'usage massif de l'Internet relationnel (Web 2.0). « Nous sommes bien conscients que le régulateur doit s'adapter pour répondre à de nouvelles préoccupations. Par ailleurs, il est nécessaire que les obligations qui pèsent sur les opérateurs européens soient également appliquées par les acteurs transnationaux comme Google, Facebook, Amazon... », souligne Sophie Nerbonne, directrice adjointe de la direction des affaires juridiques de la Cnil. En France, si la loi informatique et libertés de 1978 définit les principes à respecter en matière de collecte, traitement et conservation des données personnelles, elle se révèle toutefois très vite obsolète lorsqu'il s'agit d'encadrer les profilages de consommateurs réalisés par les organisations sur la base de croisement de données personnelles brutes et de fichiers. De ce point de vue, la Commission européenne s'est saisie du sujet dans le cadre de l'examen du projet de règlement européen sur la protection des données. Bien que conscient des enjeux, l'exécutif européen n'a pas levé tous les obstacles en matière d'applicabilité : « Le projet européen veut aller plus loin sur la protection des individus en terme de profilage. Les grands principes sont certes posés mais nous n'avons aucun moyen de garantir leur respect. Le texte prévoit, en effet, « d'anonymiser » ou « pseudonymiser » les données mais je ne suis pas certaine qu'il y ait des dispositifs contraignants de contrôle mis en place », commente Bénédicte Querenet-Hahn, avocate à la cour.

Internet contre « Interpol »

Au regard des dernières discussions, Bruxelles semble privilégier la piste dite de l'opt-in, consistant à solliciter le consentement préalable du consommateur avant toute exploitation d'une quelconque donnée privée par l'entreprise. Mais jamais plus a posteriori, même en cas de réutilisation des données à des fins commerciales. En un mot, une solution minimaliste. Reste que cette autorisation préalable se heurte à un autre écueil : celui de la lisibilité contractuelle. « Le consommateur n'a pas toujours la capacité de comprendre et interpréter le contrat. L'un des devoirs du législateur sera de savoir de quelle façon améliorer cette lisibilité pour être sûr que le client est bien en capacité de maîtriser le risque de confier à un acteur privé ses données personnelles au moment de la signature initiale », rapporte Jean-Baptiste Ceccaldi, président de Sentelis, cabinet de conseil et de gouvernance en architecture de système d'information.

Le texte prévoit, « d'anonymiser » ou « pseudonymiser » les données mais je ne suis pas certaine qu'il y ait des dispositifs contraignants de contrôle.

Bénédicte Querenet-Hahn, avocate à la cour.

Ainsi, en l'absence de création d'un véritable « Interpol » de la donnée numérique, des rapprochements entre autorités de régulation ne sont pas à exclure. De telles associations ont d'ailleurs été expérimentées par le passé entre l'ACP et la Cnil en matière de lutte contre le blanchiment d'argent et en assurance vie. « Nous sommes un régulateur transversal alors que l'ACP est un régulateur sectoriel. Il faut pouvoir croiser nos approches avant de rendre nos recommandations », précise Sophie Nerbonne. Et d'ajouter : « Ce rapprochement des autorités peut permettre d'introduire plus de cohérence et de croiser les approches pour gagner en agilité. » Quitte à s'entendre sur un cadre réglementaire plus lisible, pragmatique et partagé face à l'enjeu de l'assurance connectée.

SOPHIE NERBONN€, directrice adjointe de la direction des affaires juridiques de la Cnil. « Expérimenter de nouvelles formes de régulation et de concertation »

« Appliqués à l'assurance, les principes posés par la loi informatique et libertés (1) apparaissent comme assez robustes par rapport aux nouveaux outils connectés et aux récents usages. La construction de modèles prédictifs de comportement inédits, prenant appui sur un traitement de masse des données personnelles issues de multiples objets connectés, intègre un risque évident de dérives. D'où l'intérêt d'expérimenter de nouvelles formes de régulation et de concertation. Nous travaillons actuellement à l'élaboration d'un pack de conformité aux côtés des acteurs de la profession sur les bonnes pratiques à adopter par les assureurs pour l'ensemble de leurs traitements, ce qui touche au big data : FFSA, Gema, CTIP, FNMF, CSCA, l'ACPR participent à ces travaux. Nous avons bien conscience que dans une société qui bascule dans l'ère numérique où les données personnelles sont au coeur des enjeux économiques et de la confiance à préserver, nous avons tout intérêt à pouvoir identifier clairement les obligations et les droits de chacun en termes de collecte et de traitement des données personnelles. »

1. Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

 

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Acquisition de titres restaurant

MSA Mutualité Sociale Agricole du Languedoc

22 avril

48 - MSA DU LANGUEDOC

Prestations de services d'assurances.

Ville de Meylan

21 avril

38 - MEYLAN

Proposé par   Marchés Online

Commentaires

Le droit ne fait plus sa loi face aux leaders du big data

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié