1. Document confidentiel – Ne pas diffuser sans autorisation
André MEILLASSOUX ATM Avocats – Paris
Président de l’AFDIT
Titre : Panorama du droit de l’Economie
Numérique – 4 juin 2015
Big Data: les réponses juridiques aux excès et aux nouveaux
modèles économiques de l’exploitation des données
André MEILLASSOUX, ATM Avocats Paris, Président de l’AFDIT
1
2. 205/08/2015
I) Retour sur le du Big Data:
. Un développement exponentiel
. Des atteintes considérables :
Big data = Big Business et Big Brother
. Peut être des avantages sociétaux
3. 305/08/2015
I) Big Data : Un développement exponentiel
Big Data, littéralement « Données Massives » ou « Méga-données » selon le terme recommandé par la
Délégation Générale à la Langue Française, représente la gigantesque accumulation de données
numériques
Le Big Data est souvent caractérisé par la règle des 3 V (Volume, Variété, Vélocité)
• Un volume de données générées en expansion continue :
• Le volume de données numériques générées dans le monde est passé de 1,2 zettaoctets en 2010 à
environ 5 zettaoctets en 2014 et l’on s’attend à atteindre les 35-40 zettaoctets en 2020. (Un Zo = 1
trillard d’octets, soit 1021
octets, si un octet est un seconde, cela représente 2.300 fois l’âge de
l’Univers (15 milliards d’années) = 34.500 milliards d’années
• Variété : Il ne s’agit plus seulement de données relationnelles traditionnelles mais également de
données brutes, semi-structurées ou même non structurées. Il s’agit de données de connexion, de
géolocalisation, de mesure, de flux, de données texte issues du web, des objets connectés, des médias
sociaux, etc…
• Vélocité : décrit la vitesse à laquelle les données sont générées, capturées et partagées. Les
entreprises, les consommateurs et les objets génèrent de plus en plus de données dans des temps
beaucoup plus courts. A ce niveau de vitesse, on ne peut exploiter ces données que si elles sont
collectées et partagées en temps réel.
4. 405/08/2015
I) Big Data : Un développement exponentiel
Les enjeux
• Depuis l'année 2012, le seul Département de la défense américain investit annuellement sur
les projets de Big Data plus de 250 millions de dollars.
• Le gouvernement américain possède six des dix plus puissants supercalculateurs de la
planète.
• La National Security Agency (NSA) est actuellement en train de construire le Utah Data
Center. Une fois terminé, ce data center pourra supporter plusieurs yottaoctets d’information
collectés par la NSA sur internet. (Un yotta octet est mille fois un zetta)
• En 2013, le big data faisait partie des 7 ambitions stratégiques de la France déterminées par
la Commission « innovation 2030 ».
• On est donc sur un des sujets stratégiques du moment
• Partis pour « organiser l’information du monde » en 1997, depuis leur chambre à l’université
de Stanford, les fondateurs de GOOGLE, Sergeï BRIN et Larry PAGE, ont reformulé leur
ambition : « apporter au monde la « connaissance » », voire selon son directeur général Eric
SCHMIDT, avec l’outil GOOGLE INSTANT, qui propose des résultats avant même qu’on ait
formulé la requête, « les informations dont vous ne saviez pas avoir besoin ».
5. 505/08/2015
I) Big Data : Un développement exponentiel
Big Data :augmentation des données de 2009 à 2020 40 zetta en 2020
6. 605/08/2015
Big Data : Des Enjeux économiques conséquents
D’un point de vue économique, le Big Data devrait générer un marché
d’investissement de près de 24 milliards de dollars dès 2016 selon une étude de
l’IDC (International Data Council). Ces sommes correspondent à l’achat d’espace
de stockage, de serveurs, de logiciels de traitement et de services.
La valeur des données traitées, elle est bien supérieure. Le Boston Consulting Group
estime à 315 Milliards € en 2011 la valeur des données personnelles collectées
auprès des consommateurs européens et considère que les données personnelles
permettraient une création de valeur représentant 8% du PIB européen à l’horizon
2020.
De nouvelles profession telles que les « Data Scientists » apparaissent déjà
aujourd’hui. Il s’agit de statisticiens, d’analystes et d’ingénieurs capables de scruter,
d’utiliser les outils sophistiqués d’analyse (les fameux logiciels « analytics »), pour
donner un sens aux données brutes recueillies et pouvoir les exploiter.
7. 705/08/2015
Des atteintes considérables :
Big data = Big Business
Les Applications commerciales : Les géants américains du GAFA(M)
Exemple Facebook
• En 2015 Facebook totalise 1,441 milliards d’utilisateurs mensuels dans le monde.
• Son chiffre d’affaires s’élevait à 12.466 milliards de dollars pour 2014 et 3.54 milliards pour le
premier trimestre 2015.
• La vente de données à des annonceurs publicitaires constitue l’immense majorité des revenus de
Facebook : pour le premier trimestre 2015, 3, 3 milliards de ses revenus proviennent de la publicité,
soit 93 % de son CA sur cette période. Sur ces 93 % de revenus publicitaires, 73 % proviennent du
mobile.
Exemple Google
• En 2015, l’utilisation des moteurs de recherche Google totalise 90,3 % des parts de marché.
• Son chiffre d’affaires s’élevait à 66 milliards de dollars pour 2014 et 17,3 milliards pour le premier
trimestre 2015.
• La vente de données à des annonceurs publicitaires constitue l’immense majorité des revenus de
Google : pour le premier trimestre 2015, 15, 5 milliards de ses revenus proviennent de la publicité,
soit 89, 6 % de son CA sur cette période.
• GOOGLE collecte toutes les recherches faites sur son moteur de recherche (97 % des requêtes en
France) et connaît donc tous vos centres d’intérêt. De même elle conserve et scanne tous les courriels
de sa messagerie gratuite « G-mail », tous les documents échangés par le logiciel de partage de
documents « Dropbox », garde toutes vos recherches Google Earth, vos trajets Google Maps et
connait tout ce que vous avez regardé sur You Tube.
8. 805/08/2015
Des atteintes considérables :
Big data = Big Business
Les Applications commerciales :
• L’IATA
l’association internationale du transport aérien récupère, croise et revend les données qu’elle
gère (données passagers, plan de vol…)
L’utilisation des données récupérées de sites gouvernementaux, à travers toute l’Europe :
Une étude réalisée par l’Université d’AMSTERDAM a eu pour but d’analyser la collecte et
l’utilisation massive de données, faites à partir des sites internet gouvernementaux d’outils :
des ministères (Police, Impôts etc)
Ces sites utilisent des outils d’analyse d’audience de sites webs comme Google Analytics
(Google), Flickr (Yahoo), social media widget (Facebook) ou encore AddThis pour
déterminer les fréquences d’utilisation de leur site.
Ces données sont récupérées par leurs serveurs et basculent dans les bases de ces sociétés :
usage pour des recroisements et profilages, conservation pendant 5 ans et plus
9. 905/08/2015
Des atteintes considérables :
Big data = Big Business
Les Applications commerciales :
Revente des données par les journaux en ligne
Un site https://trackography.org/ est dédié aux sites de presse en ligne
Son fondateur, le développeur, un français, Claudio AGOSTI, montre l’usage qui est fait de
nos données, quand on consulte ces sites.
Il permet de voir, pour toute recherche que vous faites sur un site de presse en ligne, où et par qui
sont collectées vos données, où elles vont être stockées et quels types de données sont enregistrées.
Dans l’exemple ci après pour une consultation, entre autres, du journal enligne « le monde.fr »,
(mais presque tous les journaux français en ligne le font), j’apprends que mes données sont
envoyées sur 106 serveurs, basés dans plusieurs pays et stockées par une liste de sociétés qui ont
payé le journal « lemonde.fr » pour les récupérer. Par exemple, la société FACEBOOK a payé pour
récupérer un certain nombre de données.
Sur la diapositive, on voit dans quels pays sont les serveurs qui stockent mes données, Angleterre,
mais surtout Etats Unis et même Russie.
10. 1005/08/2015
Des atteintes considérables :
Big data = Big Business
Les Applications commerciales :
Revente des données par les journaux en ligne
Un site https://trackography.org/ est dédié aux sites de presse en ligne
Son fondateur, le développeur, un français, Claudio AGOSTI, montre l’usage qui est fait de
nos données, quand on consulte ces sites.
Il permet de voir, pour toute recherche que vous faites sur un site de presse en ligne, où et par qui
sont collectées vos données, où elles vont être stockées et quels types de données sont enregistrées.
Dans l’exemple ci après pour une consultation, entre autres, du journal enligne « le monde.fr »,
(mais presque tous les journaux français en ligne le font), j’apprends que mes données sont
envoyées sur 106 serveurs, basés dans plusieurs pays et stockées par une liste de sociétés qui ont
payé le journal « lemonde.fr » pour les récupérer. Par exemple, la société FACEBOOK a payé pour
récupérer un certain nombre de données.
Sur la diapositive, on voit dans quels pays sont les serveurs qui stockent mes données, Angleterre,
mais surtout Etats Unis et même Russie.
11. 1105/08/2015
Des atteintes considérables :
Big data = Big Business
Les Applications commerciales : le « scoring » d’ORANGE
• Avec une base de données clients de 20 millions d’abonnés, Orange a, nous dit le
magazine Mag.it, totalement industrialisé le « scoring », c'est-à-dire le calcul de score
d’appétence à une offre commerciale, et de « churn » (attrition, ou départ de clients)
• L’équipe scoring d’Orange exécute chaque mois plus de 400 formules de score
récurrentes sur la base des 20 millions de clients de l’opérateur, soit 1,6 milliard de notes
qui sont calculées chaque mois.
• Ces scores sont réalisés sur les 7 univers clients d’Orange : Internet, la fibre, le quadruple
play, le mobile, le fixe, les prospects et les foyers français.
• « A côté de ces scores prédictifs mensuels, nous disposons de 500 autres modèles que
nous recalculons en moyenne de manière semestrielle, pour des données qui sont
relativement stables dans le temps, comme par exemple estimer la présence d’un enfant
de 8 à 12 ans dans le foyer » nous dit le très discret Claude Riwan, directeur de l’équipe
de scoring d’ORANGE
12. 1205/08/2015
Big data = Big Brother
Les applications d’Etat
• Sécurité :
- La loi relative à la programmation militaire pour les années 2014 à 2019, du 18 décembre 2013, et
son décret d’application n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données
de connexion .
La loi prévoit la possibilité pour l’administration d’avoir accès à tous documents ou informations stockés
chez les hébergeurs ou transmis par les Fournisseur d’accès internet, à condition qu’ils intéressent la
sécurité nationale, la prévention du terrorisme, la criminalité et délinquance organisée ou la sauvegarde
des éléments essentiels du potentiel scientifique et économique de la France (article L246-1 du Code de
la Sécurité Intérieure)
La notion de « sauvegarde des éléments essentiels du potentiel scientifique et économique de la France »
est particulièrement vague et ouvre la porte à de nombreuses dérives. Par ailleurs le décret d’application
de la loi prévoit un large éventail de documents et informations qui peuvent être demandés par
l’administration (identifiant de connexion, informations relatives à des paiements ou des contrats de
souscription auprès de FAI, date, horaire et durée de communication…)
Dans ce dispositif l’administration se passe de l’aval du juge. Il n’intervient qu’a posteriori, en cas de
contestation d’un hébergeur ou d’un FAI.
13. 1305/08/2015
Big data = Big Brother
Le projet de loi « relative au renseignement » de Manuel Valls, votée à l’Assemblée, le 5 mai, par 438
voix contre 86, accorde aux services de renseignement de très larges prérogatives en matière de
surveillance, sans contrôle du juge.
Le projet prévoit notamment que les services de renseignements pourront poser des micros dans un
appartement ou un véhicule, installer des balises GPS, écouter des communications téléphoniques, ou
encore utiliser des IMSI-catchers (dispositif qui permet d’écouter toutes les communications dans un
rayon allant de 500 mètres à 1 kilomètre), sans l’aval d’un juge. Plus encore le projet prévoit
l’installation de boîtes noires chez les hébergeurs et les FAI permettant de surveiller l’ensemble du trafic
internet transitant par la France afin de détecter des comportements dits « suspects ».
• Le recours à ces mesures ne vise pas seulement la lutte contre le terrorisme mais s’étend à sept
domaines : la défense nationale, la prévention du terrorisme, la prévention de la prolifération des
armes de destruction massive, la prévention de la criminalité organisée, les intérêts de la politique
étrangère, les intérêts économiques ou scientifiques majeurs et la prévention des violences
collectives pouvant porter gravement atteinte à la paix publique.
• Marc TRÉVIDIC, Juge d’instruction du TGI de Paris – Pôle antiterrorisme : « Je comprendrais que
la situation actuelle sur ce front nécessite un accroissement du pouvoir des services de
renseignement, mais le projet de loi s'applique à des domaines beaucoup plus vastes. Des domaines
qui répondent à des notions particulièrement vagues. »
14. 1405/08/2015
Les applications « citoyennes » du Big Data
Application citoyennes
• Open Data : L’initiative gouvernementale française sur la liberté d’accès aux informations
publiques et de réutilisation de celles-ci. Leur usage est régi par la loi CADA du 17 juillet
1978 modifiée par une ordonnance de 2005 et par la circulaire Etalab qui a conçu la
licence ouverte, libre et gratuite Liberté mais pas forcément gratuité, l’utilisation des
données publiques peut faire l’objet de redevances.
La directive Européenne du 26 juin 2013, venant modifier celle du 17 décembre 2003 sur la
réutilisation des données du secteur public, accroît l’obligation de transparence de
l’administration en matière de redevance en prévoyant que les bases de calcul utilisées pour
la fixation des redevances seront fixées et publiées à l’avance par les organismes du secteur
public (article 7 de la directive 2013/37/UE du 26 juin 2013).
• Les « smart cities » (villes numériques) : à partir d’un centre de contrôle intégré on aurait
la possibilité d’avoir un enregistrement systématique de tout ce qui se passe dans la cité
(trafic, loisirs, services publiques…)
• Le programme COMMONWELLHEALTH (jeu de mot sur « bien commun de la santé »
et « commonwealth » (richesse commune, soit l’ex empire britannique), se propose de
créer une base de données de santé unique pour l’ensemble des citoyens américains.
16. 1605/08/2015
Big Data : quels moyens juridiques pour résister aux
atteintes ?
Les exemples donnés montrent à quel point l’accumulation massive de données présente de risques pour
les libertés fondamentales, parmi lesquelles :
• Le droit au respect de la vie privée (article 9 du Code Civil) instauré le 3 mars 1803 ?
« Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du
dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou
faire cesser une atteinte à l'intimité de la vie privée…»
Mes photos, ma géolocalisation, mes activités; mes goûts, mes proches… appartiennent à mon intimité
• Le droit au secret des correspondances Article 226-15 du Code Pénal :
« Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des
correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement
connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de
divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de
procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. »
Il y a indiscutablement captation, collecte, conservation, utilisation pour des finalités non déterminées
des courriels qui circulent sur le net
17. 1705/08/2015
Big Data : quels moyens juridiques pour résister aux
atteintes ?
Les moyens propres à la protection des données :
• La loi Informatique et Libertés » du 6 janvier 1978 modifiée par la loi du 6 août 2004 =) 5
« règles d’or » de la protection des données personnelles : (1) finalité déterminée ; (2)
proportionnalité et pertinence des données traitées ; (3) durée limitée de conservation des
données ; (4) sécurité et confidentialité des données ; (5) respect des droits des personnes
(accès, opposition, rectification, suppression).
• En Europe : Proposition européenne de Règlement sur “la protection des données
personnelles et leur libre circulation ” du 25 janvier 2012 visant à réformer la directive
n° 95/46/CE et à renforcer les obligations en matière de données personnelles = )
consécration d’un droit au déréférencement, responsabilisation des acteurs, obligation de
réaliser des analyses de risques en interne, le CIL devient obligatoire au seins de certaines
entreprises
18. 1805/08/2015
Big Data : quels moyens juridiques pour résister aux
atteintes ?
Parmi les moyens, à explorer
Il y a des textes spéciaux
existants :
• Le cas des données du secteur bancaire
règlement n°97-02 modifié du 21 février 1997 relatif au contrôle interne des établissement de
crédit et des entreprises d’investissement
organise les obligations relatives à la protection du secret bancaire et à l’accès aux données par
les régulateurs bancaires français.
• Le cas des données de santé à caractère personnel : le stockage de ces données est réservé aux
hébergeurs agréés par le Ministère de la santé qui répond juridiquement de la conformité de
l’opération globale d’hébergement depuis la loi du 4 mars 2002
Ou à inventer
• Le 9 septembre 2014 le Conseil d’Etat a publié une étude de 450 pages sur le numérique et les droits
fondamentaux, qui préconise la mise en place d’un principe d’« autodétermination
informationnelle », c’est-à-dire le pouvoir de l’individu de décider quand et dans quelle mesure une
information relevant de sa vie privée peut être communiquée à autrui.
19. 1905/08/2015
Les axes pour renforcer l’encadrement des
dispositifs liés au Big Data
• Les données personnelles collectées sont notamment utilisées par des algorithmes prédictifs pour
envisager toute sortes de probabilités (réponse à une sollicitation marketing, propagation d’une
épidémie). Il est nécessaire d’encadrer et contrôler l’utilisation de ces algorithmes. Pour cela il faut
améliorer la transparence dans la mise en œuvre de ces algorithmes et ouvrir un droit de critique
concernant cette mise en œuvre (préconisé par le CE dans son rapport du 9 septembre 2014).
• Consacrer le principe de neutralité du net (égalité de traitement des flux internets) dans le dispositif
législatif pour s’assurer de l’équité du E-Commerce.
• renforcer la protection des personnes morales (exclues du champ d’application de la LIL et de la
portée de l’arrêt « Costeja ».
• donner à l’individu une plus grande maîtrise sur l’utilisation de ses données, notamment en matière
de profilage, le projet de règlement prévoyant la possibilité de pouvoir s’y opposer
• Responsabiliser d’avantage les acteurs du Big Data. Cela passe par une augmentation des pouvoirs
de sanction de la CNIL. Actuellement l’amende maximum est de 300 000 Euros. Le projet de
règlement prévoit une possibilité de sanction maximale de 100 millions d’Euros ou 5% du Chiffre
d’affaires annuel d’une entreprise.
• réintroduire le rôle préalable du juge dans la mise en place des dispositifs issus de la loi relative à la
programmation militaire et la loi relative au renseignement.
20. 2005/08/2015
Faire une place à l’autodéfense ?
• Les systèmes imaginés par la communauté du Net, qui s’inquiète fortement de la dérive
actuelle et des dangers pour la démocratie préconisent le recours à des moyens techniques :
– Cryptage des mails
– Utilisation de produits qui en conservent pas les données de connexion, ni les données
personnelles (adresse IP etc), comme le moteur de recherche et réseau social français
INNOOO, qui est entré en croisade pour une protection des données et des droits
fondamentaux : innooo.fr
– Recours à des produits comme TOR
• TOR : (The Onion Router littéralement le routeur onion) est un logiciel issu du libre qui a
reçu le prix du logiciel libre (free software awards) 2010 par la Free Software Foundation.
Celui-ci permet à ses utilisateurs de rendre anonyme leur navigation internet fondée sur le
protocole de communication TCP. Ce système fonctionne par un circuit de connexions
cryptées en cascade via des relais réseau ou « nœuds » de circuit. Chaque relai ne connait
que son prédécesseur et son successeur ce qui rend impossible d’identifier l’adresse IP
originelle.
22. 2205/08/2015
Le Big Data « légitime » et « légal »
Le Big Data ouvre de nombreuses nouvelles possibilités économiques qui ne violent pas
forcément le droit au respect de la vie privée et le secret des correspondances :
• On a déjà vu l’exemple des données publiques.
• Le BIG DATA trouve également de nombreuses applications dans le domaine
scientifique, notamment en astronomie et en biologie. Par exemple le programme d’étude
numérique du ciel Sloan (SDSS) lancé au début des années 2 000, ayant pour but de
cartographier 25 % du ciel, a pu amasser aujourd’hui plus de 140 téraoctets
d’information.
• Des entreprises se servent du Big Data en interne pour améliorer leur chaîne de
fabrication notamment en corrigeant et en anticipant les défauts de leurs produits. Par
exemple BMW a recours au Big Data pour détecter les défauts non détectés lors des tests
grâce aux données massives fournies par IBM.
• Les entreprises utilisent également le Big Data pour connaître leur e-réputation sur les
réseaux sociaux et répondre aux attentes des consommateurs. C’est notamment le cas de
l’entreprise Michelin qui évalue sa réputation sur twitter pour mieux cibler ses campagnes
marketing
23. 2305/08/2015
Comment protéger les données collectées ?
Le retour de la protection du droit « sui generis » des bases de données de la directive du 11 mars 1996
transposée en France par loi du 1 juillet 1998. Ce droit qui jusque là n’était que relativement peu utilisé,
retrouve ainsi grâce au phénomène du Big Data, une utilisation directe.
Pour qu’une base de donnée soit protégeable il faut:
• Un Investissement financier, matériel ou humain substantiel (CPI, art. L. 341-1)
• Une Extraction qualitativement ou quantitativement substantielle (CPI, art. L. 342-1, al. 1)
• Pour une durée de 15 ans après le 1er janvier de l'année civile qui suit celle de l'achèvement de la base
de données.
« Quantitativement substantielle » Jurisprudence de la CJUE, 5 mars 2009
Ce critère est apprécié au regard de la base de laquelle les données sont extraites et non au regard de la
base qui les accueille. Aucun seuil n’est donné par la directive ou la CJUE.
Le seuil est fixé au cas par cas par les juges du fond français. A titre d’exemple, le TGI de Paris a jugé
qu’une extraction de 12 % était suffisante (TGI, 5 sept 2001, Cadremploi c/ Keljob).
« Qualitativement substantielle »: Ce critère est apprécié au regard de la nature des données extraites. Peu
importe la quantité de données extraites si ces données font toutes la valeur de la base de données.
Application jurisprudentielle récente : Cass, civ 1, 13 mai 2014, pv n° 12-25.900, « Xooloo » : dans
cette affaire la constitution de la base de données de la société Xooloo (liste de sites internet destinés aux
enfants) avait nécessité l’analyse d’un grand nombre de données ce qui constituait un investissement
substantiel protégé. La Cour de cassation a ensuite estimé que 1.000 extractions constituaient une
extraction quantitativement substantielle. Condamnation de France Télécom et Optenet à payer
3.861.604 € de dommages et intérêts à la société Xooloo.
24. 2405/08/2015
Conclusion
L’équation actuelle est clairement :
• gratuité des services/sécurité contre perte de l’intimité
Le modèle économique a surpris nos concitoyens-internet
Face à l’attrait des services gratuits nous n’avons pas été assez vigilants :
• On nous a confisqué nos données pour les revendre à prix d’or (Big Business).
• On n’a pas, non plus, réalisé que le Leviathan moderne nous soumettrait à une
surveillance permanente (« Big Brother » - « No place to hide »).
Benjamin Franklin, un des pères de la Constitution américaine nous a mis en garde :
« Un peuple près à sacrifier un peu de liberté pour un peu de sécurité, ne mérite ni
l’une ni l’autre, et finit par perdre les deux ».