Croisement de données personnelles : l’analyse de Maître Alain Bensoussan


Rédigé par le 30 Mars 2014

La France est à l’origine de nombreuses règles, par la suite adoptées au niveau européen ou international. Mais de manière générale, le droit semble en retard sur l’usage des technologies. C’est encore le cas en matière de Big Data, où la valeur est souvent créée par le croisement de plusieurs données à caractère personnel. A l’occasion d’une conférence, nous avons demandé à Maître Alain Bensoussan, avocat à la Cour d’Appel de Paris, sa position sur le sujet.



Maître Alain Bensoussan, Avocat à la Cour d'Appel de Paris
Nul ne remet en question la notion de consentement, et les grandes entreprises respectent très certainement à la lettre ce consentement du consommateur. Les risques juridiques dans le cas contraire seraient trop importants pour eux. Mais aujourd’hui la valeur n’est plus tant dans les données personnelles prises individuellemen,t que dans le croisement de plusieurs de ces informations. Le cadre juridique de ces croisements semble encore vague.
Prenons un exemple. Vous avez donné votre consentement à une entreprise « A », votre opérateur de télécommunications mobiles par exemple, pour qu’il exploite et éventuellement revende les données personnelles collectées sur l’usage que vous faites de ses services. Peut-être n’en avez-vous pas conscience, tout simplement parce que vous n’avez pas lu avec attention les pages écrites en petit caractères signées lors de la souscription de votre forfait. Vous avez donné votre consentement à une entreprise « B », par exemple une chaine de magasins de proximité, pour la collecte, l’analyse et la revente des données collectées à partir de votre carte de fidélité. Les entreprises « A » et « B » peuvent donc légalement analyser et commercialiser les données collectées sur vos comportements.
Mais à aucun moment vous n’avez donné votre consentement implicite pour qu’une entreprise « C » croise les données collectées par « A » et « B » et en tire une nouvelle information, qui serait à son tour utilisée, en dehors d’un cadre juridique bien défini.

"Un des paradigmes que posent les Big Data aux juristes, c'est que toute la loi est basée sur la collecte. La collecte doit être licite et loyale. Mais avec le Big Data, nous ne sommes pas dans la collecte, la donnée n'a pas été collectée, elle a été créée par l'entreprise. Ce n’est pas quelque chose que l'on a pris à l'individu, c'est quelque chose que l'on a créé, et dont l'individu ignore même l'existence.
Si je défends le droit à la souveraineté de chacun de nous, c'est pour redonner effectivement des droits sur les informations créées qui ne proviennent pas d'une collecte, et qui sont bien sur une grande avancée du Big Data. Il me semble là que la règlementation française et la règlementation européenne sont beaucoup trop contraignantes. Le risque que l'on prend, c'est que les traitements soient faits aux Etats-Unis et qu'ils reviennent dans nos pays, achetés de manière anonyme.

Il n'y a pourtant pas vraiment d'absence de cadre juridique, mais il y a quand même des aléas extrêmement importants. Je vais vous donner un exemple. Une des fonctions du Big Data c'est, par la transversalité, les synergies, les comparaisons, de créer de nouvelles informations consubstantielles des informations qui les composent sans être réduites à ces informations. Cette longue phrase peut s'illustrer par la chanson. Une chanson c'est à la fois un texte, mais c'est aussi une musique. La chanson est consubstantielle au texte et à la musique. Elle ne se réduit pas à elle; et elle n'est pas, ni l'un, ni l'autre.
Pour moi, ce droit universel de chacun d'entre nous à être propriétaire de ses données est surement une réponse aux entreprises qui utilisent le Big Data. Mais c'est un combat à mener. Aujourd'hui on est clairement en déficit juridique
", répond Alain Bensoussan.

Si on se place du côté de l'entreprise qui voudrait créer et exploiter ces nouvelles données, est-ce que votre conseil est plutôt de dire, « allez-y parce que si vous attendez la loi, vos concurrents vont le faire à votre place, quitte à ce que vous preniez des risques juridiques »; ou est-ce au contraire de dire, « attendez, c'est trop risqué » ?

"Il me semble que dans le droit des technologies avancées, il faut avoir une âme de conquérant. Et ne pas se positionner de manière octogonale par rapport au droit. Le droit est à la fois infra-moral et supra-économique. Il est infra-moral parce qu'il est la règle que les personnes se donnent; il est supra-économique parce que ce n'est pas forcément parce qu'il y a un marché que cela doit exister. A partir de cette réflexion, qu'est-ce qui fait la valeur d'un droit ?
Ce qui fait la valeur d'un droit, ce sont ses valeurs sous-jacentes. Et lorsque ces valeurs sous-jacentes sont perdues dans leur histoire, le droit devient obsolète, et lorsque ces valeurs sous-jacentes ne sont pas partagées par le peuple, il peut effectivement descendre dans la rue. Ce qui fait la force d'une règle juridique ce sont ses valeurs.

Ce que je conseille aux entreprises, là où l'on sait que l'on a un écart juridique, par exemple dans la notion de finalité des traitement, c'est de déclarer l'opération de Big Data à la Commission Nationale Informatique et Liberté (CNIL), qui est très consciente de la situation, et de se mettre de hauts niveaux éthiques.
C'est à dire de combler le vide juridique par sa propre règle. Et si cette règle s’appuie surle respect de la personne, il me semble qu'on peut aller de l'avant. Si nécessaire, devant les tribunaux, on plaidera non pas le droit, mais les valeurs qu'il faudra mettre sur ce droit
", explique Alain Bensoussan

Plaçons nous maintenant en effet du côté des entreprises « A », « B » et « C » que nous citions en introduction. Elles sont bien évidemment soucieuses de respecter le droit et « A » et « B » ont recueilli votre consentement. « C » n’a pas pu le faire, puisqu’elle n’a pas de relation directe avec vous.

La question de ce que chacun peut ou doit faire, se pose sous plusieurs angles. Le cas de l’entreprise « C » est assez simple, son métier est de créer de la valeur à partir des données. Elle s’appuie donc sur le consentement obtenu de bonne foi par « A » et « B » pour développer ses services et commercialiser les résultats de ses analyses. « A » et « B » ont également agi de bonne foi en recueillant votre consentement, mais elle s’engouffre dans l’imprécision juridique décrite ci-dessus, d’où l’importance du code d’éthique que préconise Maître Bensoussan.

Et si l’on aborde la question sous l’angle du risque, « A » et « B » peuvent-elles, sous le prétexte d’avoir agi conformément à la loi, s’absoudre de la perception de leurs actions par le consommateur ? Si ce dernier découvre que « A » ou « B » a revendu ses données et que leur croisement a permis de découvrir certaines choses, ne va-t-il pas le reprocher à « A » ou « B », et cela ne s’avèrera-t-il finalement pas négatif du point de vue de la relation client ?

En matière de droit autour de l’usage et de l’analyse des données personnelles, le respect de la loi ne suffit pas toujours, et comme la loi est en retard par rapport aux technologies, l’entreprise doit anticiper l’impact de ses actions et parfois s’auto-censurer.



Dans la même rubrique :