d’Lëtzebuerger Land : Quelles entreprises sont intéressées par la collection et l’analyse de quantités géantes de données informatiques (big data) ?
Cyril Pierre-Beausse : Toutes les entreprises qui collectent des grandes masses d’informations pour des raisons opérationnelles. Ainsi, un opérateur en téléphonie, rassemblant des données pour la facturation, pourra déterminer des tendances et prédire des comportements du marché en général, voire d’un utilisateur en particulier. Dans les instituts financiers qui collectent des millions de transactions, on commence également à s’y intéresser. Évidemment, plus l’entreprise a une masse critique, plus ces statistiques seront pertinentes…
Pour le big data, la plus grande entrave pour les entreprises – ou la plus grande défense pour les citoyens, c’est selon –, c’est la protection des données personnelles.
En Europe, les législations nationales découlent de directives, et d’ici quelques années, d’un règlement communautaire. Or dans le monde, il n’y a qu’une poignée de pays qui ont décidé de suivre l’UE dans la voie de la protection des données. Cela conduit à des absurdités : Alors qu’une entreprise américaine hébergeant ses données à Luxembourg, tombera sous la législation européenne, les données d’un client luxembourgeois stockées aux États-Unis, ne seront pas nécessairement protégées. L’un des changements les plus significatifs prévu par le nouveau règlement européen, c’est qu’une firme étrangère qui stocke et analyse des données d’un client européen pourra se voir appliquer la législation européenne, même si, physiquement, cette firme n’est pas présente en Europe.
Au Luxembourg, l’analyse comportementale est assimilée à de la surveillance.
Oui, si l’on retient une lecture littérale de la loi. Or, la Commission nationale pour la protection des données (CNPD) semble prudente sur ce point. Au niveau européen, on ne sait pas encore avec certitude quelle interprétation va être donnée du concept de surveillance dans le futur.
Une entreprise européenne peut-elle, à l’heure actuelle, exporter des données hors UE ?
Si on veut faire du big data aux États-Unis, ce n’est pas impossible, mais il faudra recourir à des exceptions légales ou contractuelles. Par exemple, signer un contrat spécifique reconnu par la Commission européenne, que l’on fait ensuite approuver par la CNPD, une simple formalité. Mais le vrai problème est ailleurs. Lorsque vous collectez des données, vous devez le faire pour une finalité qui est légitime et explicitée dès le début. En d’autres termes, l’entreprise ne peut faire qu’un traitement des données auquel le client peut raisonnablement s’attendre en fonction de ces finalités. Ainsi, quand je paie par carte de crédit, je peux raisonnablement m’attendre à ce que les données soient utilisées pour la facturation. Mais je ne peux pas m’attendre à ce qu’elles coulent dans un océan de données gérées de je-ne-sais-où dans le but de prédire mon comportement et de m’envoyer des publicités ciblées. C’est ce qu’on appelle un traitement secondaire, et, dans le domaine de traitement des données personnelles, c’est à peu près le mal absolu.
Parce qu’il s’agirait d’une finalité détournée ?
D’un certain point de vue, un tel traitement peut être assimilé à une trahison de la confiance. Dans ma carrière d’avocat, je n’ai jamais vu d’entreprise réussir à rendre un traitement secondaire véritablement conforme à la législation. Si on veut faire du big data en conformité avec la loi, il faut avoir été transparent et lisible dès le début. Or souvent les entreprises n’y pensent pas en amont. Elles collectent des données et se retrouvent un jour avec un patrimoine informationnel énorme qu’elles voudront exploiter. C’est cette ré-exploitation qui pose problème.
Il faudra alors rendre anonymes toutes les données a posteriori ?
Oui. Sinon elles seront effectivement considérées comme des données personnelles. Il faudra qu’il soit littéralement impossible d’identifier une personne. Or l’anonymisation est très complexe, d’autant plus qu’au Luxembourg, une fois arrivé à un certain niveau de granularité, vous pourrez parfois facilement reconnaître quelqu’un. Il ne suffit donc pas de retirer des champs comme le nom, l’adresse mail ou le code postal, il faut en plus dissoudre des informations dans des agrégats statistiques. À la fin, il ne reste souvent plus grand chose à analyser.
L’autre option est de chercher le consentement en faisant cocher des cases « I agree » en dessous de longs textes que, de toute façon, personne ne lira.
Du moins jusqu’au jour où il y aura un problème. Il ne faut pas que les gens acceptent tout et n’importe quoi pour avoir accès à la dernière technologie. Demain, s’il faudra donner un échantillon d’ADN pour avoir le tout nouveau smartphone, il ne serait pas surprenant qu’une partie non-négligeable de la population soit prête à le faire…
Quel est le niveau de conscience au sein des entreprises luxembourgeoises sur ces questions ?
Pour l’instant, elles sont encore assez timorées. La conscience de la nécessité de protéger l’information est très ancrée au Luxembourg. Mais comme la protection des données est une matière très technique, les règles sont souvent peu maîtrisées. Ainsi, des entreprises se censurent parfois elles-mêmes pour des traitements qui, en fait, ne poseraient pas problème, par prudence exagérée.
C’est par recoupements que les bases de données deviennent vraiment intéressantes, si on en croise deux ou trois, on pourra déjà avoir un profil assez clair...
C’est ce qu’on appelle l’interconnexion. Au Luxembourg, les interconnexions sont soumises à un régime contraignant et à une autorisation préalable. La CNPD vérifie si des garanties sont données : que la finalité sera respectée, qu’il n’y aura pas de discriminations ou de réduction de la libertés. Car l’interconnexion est potentiellement très dangereuse pour la vie privée. C’est là qu’on trouvera les informations les plus « croustillantes ».