Le document traite de l'impact éthique et juridique du Big Data sur la protection des données personnelles, soulignant les risques et enjeux tels que la discrimination et la violation de la vie privée. Il évoque les lois et régulations en vigueur, notamment en Europe et en France, ainsi que les sanctions pour non-conformité. Enfin, il propose des recommandations pour une gestion responsable des données, incluant l'analyse des risques et le respect des principes de finalité spécifique.

2. Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des droits de propriété intellectuelle.
Big data, protection des données
personnelles et de la vie privée

3. Un enjeu éthique au-delà de la protection des données…
Les compagnies de Big Data traitent jusqu’à 75000 données par pers.
Source http://rt.com/usa/158968-big-data-companies-mine-points/
Effet mosaïque du Big Data
@DavidSimplotRyl

4. Un enjeu éthique au-delà de la protection des données…
Dès lors qu’une donnée a été associée à l’identité d’une personne, toute association à une identité virtuelle brise l’anonymat des autres données.
(source: Texas researchersArvindNarayanan and Vitaly Shmatikov)
Vous + Big Data
=
Zéro anonymat
Pouvant aboutir à ….
Discrimination, stratification sociale, exclusion/inclusion, perte d’un droit, atteinte aux libertés, préjudice physique et moral, stigmatisation liés aux techniques d’analyse et au «Profiling»…

5. Une problématique internationale
Source: Nymity
Plus de 100 lois de protection des données et de la vie privée dans le monde (outre les lois sectorielles US)

6. La violation des règles de protection des données personnelles estpassible de sanctions
Les sanctions de la
•Sanctions administratives
•Avertissement (public ou pas)
•Injonction de cesser le traitement
•Retrait de l’autorisation
•Amendes 150 K€-300 K€si récidive (peuvent être rendues publiques)
•Sanctions pénales
•5 ans d’emprisonnement et 300 K€d’amende

7. Un cadre juridique européen datant de 1995 en cours de réforme
Une directive Européenne et un projet de règlement pour 2014-2015
En France, la loi « Informatique et Libertés» (LIL) du 6 janvier 1978 modifiée en 2004
Art.2 La loi s'applique:
-Aux traitements automatisés (informatiques) ou non (papier),
-De données à caractère personnel.
N.B. La loi ne s’applique pasaux traitements mis en oeuvre «pour l'exercice d'activités exclusivement personnelles»
N.B.Mêmes rendues publiques, les données personnelles restent soumises aux règles de protection des données.
Qu’est-ce qu’une donnée à caractère personnel ?
•informations qui permettent d’identifier directement une personne (ex: un nom et un prénom)
•informations qui permettent d’identifier indirectement une personne (ex: un numéro de sécurité sociale) ou par recoupement (ex: une date de naissance associée à une commune de résidence).

8. Les risques dus aux traitements d’analyse et de «profiling»
•Analysedes sentiments (Natural Language Processing) , Analysesociale, Profiling…
•Analyseprédictive« le pouvoirde prédirequi vacliquer, acheter, mentiroumourir» E. Siegel
•“Preemptive predictions”: utiliséepour déduireles probabilitésd’évènementsliésàunepersonne-
risques
Traitement de DP: Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (ex. collecte, interconnexion, hébergement…)

9. Des principes apparemment contradictoires
LES PRINCIPES ET LES DROITS APPLICABLES AUX TRAITEMENTS DE DONNEES PERSONNELLES
Les données sont collectées et traitées de manière loyale et licite
N.B.interdiction données «sensibles» sauf exception
Principe de finalité spécifique
Proportionnalité: traitement des seules les données strictement nécessaires
Qualité des données: exactes, mises à jour
Durée de conservation limitée
Information des personnes → Transparence
Droits des personnes: accès, rectification, opposition →vers un droit à «l’effacement»
BIG DATA
Légalité de la collecte des données pas toujours maitrisée
Réutilisation des données pour de nouvelles finalités
Notion de maximisation des données
Conservation souvent illimitée des données
Comment informer les personnes concernées?
Multiplicité des acteurs: comment gérer les droits des personnes

10. Les obligations liées à la sécurité et à la confidentialité des données
Sécurité → physique, logique, organisationnelle
-En fonction des risques,
-Empêcher que les données soient déformées, endommagées, ou un accès illégitime
-Obligation contractuelle du sous-traitant…et bientôt légale
Principe: Interdiction des transferts de données hors UE-
Des exceptions prévues par la loi
«Il est indispensable qu’une entreprise française qui envisage de recourir au Cloud Computingréalise une analyse de risques» (CNIL)
SafeHarbor

11. Focus sur le principe de finalité spécifique
Les données sont collectées pour des finalités déterminées, explicites et légitimes,
Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
N.B.La réutilisation de données personnelles y compris publiques est subordonnée au respect de la loi du 6 janvier 1978.
Un traitement non compatible avec la finalité initiale est illégal sauf si :
•Anonymisations
•Obligation légale (sureté nationale par ex.)
•Consentement + mesures de sécurité et respect des dispositions de la loi informatique et libertés
Scenario:
1.Compatibilité évidente
2.Compatibilité pas évidente besoin d’une analyse cas/cas
3.Incompatibilité évidente

12. Les avis des régulateurs (CNIL et G29)
Comment déterminer s’il y a anonymisation ?
Pour la CNIL : l’anonymisation est un procédé irréversible
≠ pseudo –anonymat
La CNIL n’impose pas de méthode mais estime la conformité du procédé (art.8-III)
La CNIL apprécie 3 caractéristiques du hachage:
•Le caractère irréversiblede l’anonymisation
•Le taux très faible des « collisions »
•Les performances informatiques des algorithmes de hachage sont suffisamment bonnes pour ne pas soulever de problème particulier.
•Pour le G29 : 3 critères pour évaluer l’anonymisation
•Risque d’individualisation : possibilité d’isoler un/des enregistrement(s) sur une personne
•Risque de corrélation des informations relatives à une personne ou à un groupe de personnes (linkibility),
•Risque d’inférence : déduction des valeurs (ex. 2013)/informations relatives à une personne.

13. Big Data et principe de finalité spécifique
Quid de la réutilisationdes donnéespersonnellesdansle cadre du Big Data?

14. La réforme européenne : principaux changementsattendus
Renforcementdes droitsdes citoyensde l’UE(Transparence, maitrisedes données, droitàl’oubli/effacement, nouvellesactions en justice)
Responsabilisationde l’ensembledes acteurs
Accountability
Etude d’impactssurla vie privée
Notification obligatoiredes failles
Privacy By Design, Security By Default
Hausse des sanctions:
•1 M €ou jusqu’à 2% C.A. Groupe
•(Parlement: 5% C.A. et 100 M€)
Encadrementdu profiling (analyseouprédiction):
Si risqued'impactssurla vie privéeet les libertés
……Alorsle profiling n’estpossible quedans3 cas:
consentement, loioucontrat.
«Profiling» de données sensibles interditHorizon fin 2014

15. Vers un principe de transparence

16. En conclusion
Pour toute démarche Big Data, 3 réflexes à adopter
Analyse de risques
Etude d’impacts sur la vie privée
Privacyby Design
Source:http://www.privacybydesign.ca/-A.Cavoukian

17. Merci de votre attention
Pour en savoir plus
Florence BONNET – florence.bonnet@cil-consulting.com
CIL CONSULTING – www.cil-consulting.com
20bis rue Louis Philippe – 92200 NEUILLY SUR SEINE
01 46 98 90 01 - 06 77 914 731
@FlorenceBonnet