Big data – Véritable phénomène, « pétrole du XXIème siècle » (1), c’est paraît-il LE défi informatique de la décennie. Il s’agit du « big data » (2). Cette expression recouvre ces ensembles de données que nous produisons, ou que nos équipements produisent (c’est «l’ internet des objets ») en temps réel, qui sont d’origines diverses et souvent non prédictibles.
Cette masse a nécessairement conduit à inventer de nouveaux dispositifs de gestion. Les technologies requises, telles que les bases NoSQL ou les composants logiciels comme Hadoop (utilisé par Facebook) ou MapReduce (d’origine Google) sont déjà là. Qu’il s’agisse d’améliorer la santé publique en faisant progresser les études épidémiologiques, de lutter contre la cybercriminalité (3) ou encore de mieux connaître les habitudes de consommation de la clientèle, aucune organisation ne peut raisonnablement longtemps résister. Les usages, souvent issus du marketing intelligent et des avancées de la business intelligence, vont bientôt fleurir…
Au cœur de ces réflexions, les questions juridiques semblent pour une large part à peine posées (4). Elles sont pourtant au centre des enjeux, puisqu’on peut difficilement imaginer le développement du mécanisme du big data sans monétarisation, et celle-ci sans encadrement juridique. Bref, le commerce appelle le droit.
Dans le contexte d’une technologie émergente, il pourra sembler logique de s’interroger dans l’ordre suivant : tout d’abord sur l’appropriation des données, puis sur les limites posées par la nature des données et la licéité des traitements envisagés, et enfin sur la contractualisation des rapports entre fournisseurs et clients. Voici quelques pistes.
A qui sont les données ?
Il est admis que « la notion de propriété des données n’a pas de statut juridique en tant que tel » (5). La question de la propriété des données est donc juridiquement complexe. Schématiquement, elle peut être divisée en deux parties : la protection des bases de données et la titularité des droits sur les données. La première est classique et tranchée, en Europe, par les dispositions de la directive du 11 mars 1996 sur les bases de données (transposée en France par la loi n° 98-536 du 1 juillet 1998 concernant la protection juridique des bases de données) qui ajoute à la protection par le droit d’auteur un droit « sui generis » du producteur de la base contre une extraction ou une réutilisation de celle-ci d’une « partie substantielle du contenu de celle-ci ».
La seconde suppose à nouveau une classification, entre les données privées et les données publiques, qui relève de l’open data. Les données privées, soit parce qu’elles sont le produit d’une entreprise ou qu’elles relèvent de la sphère privée des individus, ne peuvent faire l’objet, librement, d’une appropriation par un tiers. Les dispositifs juridiques de lutte contre la concurrence déloyale ou le parasitisme économique et la violation du secret de fabrique (article L.621-1 du code de la propriété intellectuelle), ou la contrefaçon de droits de propriété intellectuelle (y compris pour les creative commons), ou encore de protection de la vie privée montent la garde. Et quand on imagine que les réseaux sociaux sont des pourvoyeurs de données privilégiés, on fera attention à ce qu’on écrit sur son mur, si on ne veut pas que les informations qu’il contient soit exploitées par d’autres ! (6)
Quant aux données publiques (7), leur usage est régi par les dispositions de la licence ouverte (8) qui autorise expressément l’exploitation commerciale des données, y compris en combinaison avec d’autres données et par inclusion dans une produit ou une application. Les bases de données géantes du Big Data sont donc largement appropriables à condition de vérifier l’origine des données concernées.
Quelles limites pour les traiter ?
Si le terrain de jeu du Big Data est loin d’être restreint, il n’est pas sans limites. Elles tiennent, en premier lieu, à la nature des données et aux traitement envisagés, et quand il s’agit de données personnelles, la vigilance est nécessaire. D’autant qu’il s’agit de la catégorie de données à laquelle on ne peut s’empêcher de penser immédiatement en matière de Big Data. En Europe, le traitement de données à caractère personnel est régi par les dispositions de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (transposée en tous les états membres).
Parmi les principes qui gouvernent la réglementation, ce sont peut-être ceux relatifs aux finalités, à la proportionnalité et à la pertinence des traitements qui risquent le plus de souffrir, si l’on n’y prend pas garde. Dès lors qu’il s’agit de mener toutes sortes d’analyses et de recoupements en temps réel, difficile en effet d’assurer que tous les traitements seront réalisés avec la transparence requise. Et si l’on ajoute que le futur règlement européen s’accompagne de nouvelles mesures de protection des droits des personnes, c’est donc une véritable stratégie juridique de mise en œuvre du Big Data que les entreprises devront adopter pour conjuguer avec justesse les enjeux économiques et les libertés individuelles.
Mais les limites ne s’arrêtent pas là. Aux côtés des données personnelles, il existe divers ensembles de données soumises à des règlementations sectorielles qui en imposent la confidentialité, qu’il s’agisse de données relatives aux secteurs de la banque et des assurances, d’informations commercialement sensibles (ICS), du secret de la défense nationale… et qui peuvent rendre les recoupements particulièrement malaisés. Là encore, la connaissance du cadre juridique est une vertu en relation directe avec la gestion du risque.
Quels contrats ?
Framework et outils d’analyse (notamment de text mining) sont sur le marché et les fournisseurs de solution également. Le mode de contractualisation, de type client/fournisseur est somme toute assez classique, peut être avec un renouveau des clauses de participation aux résultats, comme il en existe dans les contrats relatifs aux solutions de yield management construits autour d’un ensemble qui associe les outils et la prestation autour d’un objectif spécifique d’optimisation financière, propre à chaque client, anticipé et chiffré.
Mais nul doute que les pratiques contractuelles issues des services Cloud s’invitent aussi à la partie, pour supporter les offres de services qui allient à l’hébergement dans le nuage la mise à disposition d’outils d’analyse. Là encore, ce qui compte c’est de ne pas être dans le brouillard (9) et de disposer d’engagements clairs au moyen d’un contrat qui soit un véritable outil d’anticipation des risques.
Finalement, alors que le Big Data est souvent résumé autour de la loi des « 4V » (10) qui caractérise les données à traiter (pour Volume, Vélocité, Variété et Valeur), et si on osait en suggérer un cinquième pour « Validité » ?
Jean-François Forgeron
Lexing Droit informatique
(1) Voir Jacques Secondi, « Big data : Le pétrole du XXIème siècle », Le Nouvel économiste, publié le 22-2-2012.
(2) Voir Wikidépia, 2-5-2012.
(3) Voir Valery Marchive, « La sécurité se met résolument au «Big Data» », LeMagIT, publié le 12-3-2012.
(4) Voir Didier Gazagne, « Technologies Big Data : quelle data-strategy pour l’entreprise ? », le 28-2-2012.
(5) Voir Alain Bensoussan, « La propriété des données », Blog expert Le Figaro, le 18-5-2010.
(6) Voir Mathieu Prud’homme, « Caractère public de propos sur Facebook : attention à la preuve du paramétrage », le 27-4-2012.
(7) Disponibles sur http://www.data.gouv.fr/
(8) Disponible sur http://ddata.over-blog.com/
(9) Voir Alexandre Fiévée, « Cloud computing : l’informatique dans le nuage, pas dans le brouillard », le 12-4-2012.
(10) Voir Laurence Dubrovin, « Big Data – L’offre est là, les besoins doivent émerger », L’Œil Expert, publié le 3-4-2012.