L’injonction au "Big data" et à la collecte massive de données se heurtent à la protection des données personnelles. Un changement majeur provient notamment de la conception désormais a posteriori d’une finalité de collecte et de traitement laissé au hasard.

L’ambition sous-jacente d’une stratégie Big data est d’améliorer et de développer des produits et services après avoir extraites et reliées des données pertinentes. Il convient d’avoir préalablement collectées des données pour voir ensuite dans quel cadre les traiter. Or, pour collecter des données personnelles il convient de recueillir le consentement de l’utilisateur à une collecte dans le cadre d’une finalité déterminée en amont. La réalité prévue par les stratégies Big data est inverse, ce qui compromet le consentement éclairé de l’utilisateur. C’est donc un changement radical de paradigme puisque nécessairement, dans cette perspective, les finalités de traitement sont déterminées en aval.

L’article 6-2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 précise que les données personnelles «  sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ; ». C’est la Directive européenne 95/46/CE de 1995 qui est venue préciser les possibilités de finalités de traitement.

Plusieurs principes dans le traitement des données personnelles apparaissent alors, ces principes ont été notamment confirmés par le G29 dans son Opinion 03/2013 on purpose limitation du 2 avril 2013. Le principe de minimisation des données personnelles, qui dispose que la collecte ne doit pas excéder les données nécessaires à la finalité déterminée. Ce principe est donc clairement mis à mal par la finalité du Big data et sa rencontre avec le déploiement des données personnelles par destination. Le principe de spécification de la finalité est lui aussi compromis par la situation engendrée par le Big data. Les stratégies Big data, dans leurs conceptions prédictivistes, permettent justement de déterminer potentiellement des finalités a posteriori . En ce sens, la finalité serait alors de développer une stratégie Big data pour tout type de finalité. Sauf que dans ce cadre il conviendrait encore de respecter le principe de proportionnalité qui impose que la collecte et le traitement des données soit proportionnels avec la finalité déterminée. Encore une fois, l’indétermination de la finalité expose l’impossibilité de respecter convenablement ce principe.

Ce qui permet l’usage actuel du Big data est la dernière partie de l’alinéa 1 de l’article 6-2 qui dispose que les données ne doivent pas être « traitées ultérieurement de manière incompatible avec ces finalités ». A partir d’une interprétation a contrario, il est alors possible de traiter ultérieurement ces mêmes données pour des finalités compatibles.

Il s’agit alors pour l’entreprise de déterminer des finalités très larges, comme la simple amélioration du service ou du produit, qui permet de collecter l’intégrité des traces laissées par l’utilisateur pour construire un parcours-utilisateur. Ces données peuvent ensuite être exploitées pour développer des nouveaux produits et services pour ces mêmes utilisateurs, la finalité est probablement compatible. Seulement, l’utilisateur a consenti pour la finalité première et pas nécessairement pour l’ensemble des finalités compatibles dont il n’a pas et n’aura pas connaissance. En outre, le constat est qu’à l’image des chaînes de contrat, cette possibilité de compatibilité crée des chaînes de compatibilités dont il devient très difficile de déceler l’efficience.

Pour s’adapter aux usages, comme l’analyse la juriste Sarra Soltani [1] « au lieu de faire une distinction entre le traitement pour les « fins spécifiées à l’origine » et le traitement à des « fins définies par la suite », la directive établit une distinction entre la première opération de traitement, d’une part, et toutes les autres opérations de traitement qui suivent (y compris, par exemple, le stockage des données après la collecte), d’autre part. » Dans cette perspective le G29 estime que tout traitement ultérieur doit satisfaire à l’exigence de compatibilité. Pour valider cette exigence, au cas par cas, « le G29 propose un test d’évaluation de compatibilité. Ce test de compatibilité pourrait être formel ou matériel. L’évaluation formelle se limite à la comparaison formelle des besoins qui ont été initialement déterminés et ceux qui ont été réalisés plus tard. En revanche, l’évaluation matérielle identifie la finalité initiale et les nouvelles finalités, en tenant compte de la façon dont elles sont (ou devraient être) entendues. Cette seconde méthode est plus efficace, car elle permet à l’entreprise qui traite des données de s’adapter aux éventuelles évolutions futures, tout en continuant en même temps à protéger efficacement les données personnelles des personnes concernées par la collecte. »

Il conviendra alors de dérouler et certainement de dénouer le fil de compatibilité des finalités des traitements ultérieurs entre eux. Le traitement est défini de manière très large par l’article 2 de la loi informatique et libertés du 6 janvier 1978 comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. » Ainsi la facilité avec laquelle les traitements se multiplient et s’intensifient rend complexe l’évaluation des compatibilités et des finalités pour les autorités de contrôle.

Or, à l’image de Khazad-dûm, il faut parfois éviter de creuser trop profond sans savoir exactement ce que l’on cherche. S’il est bien une question qui va gagner en pertinence au fur et à mesure de la croissance exponentielle des « gisements de données » c’est bien la question de la finalité de collecte, de traitement et de possibilités de réutilisation des données collectées.

Thomas Bizet Juriste - Droit du numérique