Le Big Data, ou "volumes massifs de données", fait référence à l'explosion du volume des données depuis l'avènement du numérique. On le caractérise par les "3 V":

• Le Volume

La masse de données numériques est passée de 480 milliards de gigaoctets en 2008 à 2800 milliards en 2012 et continue à croître de façon exponentielle ;

• La Variété

La part des données non structurées, essentiellement textuelles, augmente significativement ;

• La Vélocité

Les gains de puissance de traitement des données permettent le développement de nouveaux usages fondés sur l'immédiateté de l'information.

Si le Big Data est une immense source d'opportunités, il porte aussi un enjeu de protection des données personnelles, en particulier pour la banque, qui peut découvrir les habitudes de consommation de ses clients à travers leurs comptes bancaires; et ces données à caractère personnel intéressent des entreprises de tous secteurs.

Un nouveau cadre juridique pour la protection des données

Le thème de la protection des données personnelles n'est pas une nouveauté en France, où la loi Informatique et Libertés s'applique depuis 1978. Conçu avant l'essor d'Internet et des nouvelles problématiques liées à la commercialisation des données, ce cadre juridique est repensé dans le projet de règlement européen, qui pourrait entrer en vigueur en 2015. Cependant, le dispositif français actuellement en vigueur, mis en œuvre par la CNIL, est suffisamment contraignant pour que les entreprises prennent leurs précautions en lançant leurs projets Big Data.

Une définition large des données personnelles

Tout d'abord, il ne faut pas mésestimer la portée de la définition de « donnée à caractère personnel » dans la loi : "Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne" (art. 2).

Ainsi que l'a démontré une étude, selon laquelle l'identité de 87% des Américains peut être reconstituée à partir de leur code postal, leur date de naissance et leur sexe, la combinaison de quelques caractéristiques peut faire d'elles des « données personnelles » même en l'absence d'un nom ou d'un identifiant personnel.

 
Recueillir le consentement des individus

 Ensuite, les données dont le caractère personnel est établi doivent concourir à la finalité qui a été prévue et avoir recueilli le consentement éclairé de la personne.

La loi est en effet précise et prohibe de fait tout enregistrement conservatoire de données personnelles en vue d'une utilisation ultérieure. Or l'esprit même du Big Data n'est pas très différent de celui du "datawarehouse", ou entrepôt de données, où la collecte et la centralisation de données peuvent être envisagées avant que les besoins en exploitation de ces données soient définis.

 Des données personnelles qui doivent être détruites

A défaut de pouvoir se contenter de données anonymisées, l'entreprise doit donc soumettre à ses clients des conditions générales mentionnant clairement la finalité du traitement pour que leur signature emporte leur consentement. C'est une contrainte forte, d'autant que le projet de règlement européen fait porter à l'entreprise la charge de la preuve de ce consentement.

L'entreprise doit donc ajuster ses procédures opérationnelles. La documentation des projets informatiques doit inclure un volet "données personnelles" et identifier les fichiers assujettis à la loi. Les données personnelles doivent être détruites au terme de leur durée maximale de conservation. Les données les plus sensibles doivent être cryptées dans les bases de données.

Enfin, la pertinence du choix des données personnelles enregistrées doit être systématiquement questionnée ; par exemple, une campagne marketing a rarement besoin des dates de naissance : l'année de naissance peut suffire à déterminer si un client entre dans une tranche d'âge ciblée, tout en réduisant le risque de ré-identification.

 S'assurer de la traçabilité

La plus grande difficulté opérationnelle est d'assurer la traçabilité des données personnelles à travers tout le système d'information : inclure à l'espace client du site web des fonctionnalités de consultation des données personnelles est une chose, proposer une rectification ou suppression à la main du client en est une autre, car ces données ont pu être propagées et recombinées avec d'autres informations dans de multiples bases de données...

 Des garde fous à mettre en place

L'entreprise doit aussi renforcer les garde-fous dans ses contrats de prestations en mode Saas, au-delà des classiques engagements de conformité à la loi ; elle peut exiger de son prestataire la mise à disposition d'un moyen électronique pour rectifier ou supprimer des données personnelles ; elle peut prévoir une clause de sortie, en cas de rachat du prestataire par une entreprise américaine, pour éviter un conflit juridictionnel entre la protection européenne des données personnelles et les injonctions éventuelles du gouvernement américain au titre du Patriot Act…

 Des sanctions alourdies, en cas de manquement à ces règles

Nous sommes au début de l'ère numérique réglementée, et avec elle, d'une vague de contentieux relatifs aux données personnelles. Une des principales caractéristiques du règlement en cours d'élaboration est d'alourdir le montant des sanctions que pourront prendre les autorités nationales comme la CNIL. Les banques, en particulier, devront s'habituer, après l'AMF et l'ACP, à un troisième "gendarme", la CNIL, dotée de pouvoirs d'investigation et de sanction équivalents aux deux premières autorités. Une bonne raison pour anticiper.