Si le Big data* est source d'opportunités pour tous les secteurs économiques, il porte aussi un enjeu de protection des données personnelles, en particulier pour la banque, secteur pour lequel les relations clients s'inscrivent nécessairement dans la durée, et parce que, dans sa fonction de teneur de compte, elle "voit", en plus, les habitudes de consommation de ses clients ; et ces données à caractère personnel intéressent des entreprises tierces de tous secteurs.
*Le Big Data, ou « volumes massifs de données », fait référence à l'explosion du volume des données dans l'entreprise depuis l'avènement du numérique, et des nouveaux moyens technologiques mis en œuvre pour les exploiter. On le caractérise par les « 3 V » :
- · Le Volume : la masse de données numériques est passée de 480 milliards de gigaoctets en 2008 à 2800 milliards en 2012 et continue à croître de façon exponentielle
- · La Variété : la part des données numériques non structurées stockées sur la Toile augmente significativement : il s'agit du texte, de la photo, de la vidéo et de l'audio
- · La Vélocité : les gains de puissance de traitement des données permettent le développement de nouveaux usages fondés sur l'immédiateté de l'information (Twitter, micro-conversations, capteurs connectés)}
Le thème de la protection des données personnelles n'est pas une nouveauté en France, où la loi Informatique et Libertés s'applique depuis 1978, encadrée par les règles de la directive européenne de 1995 (95/46/CE). Conçu avant l'essor d'Internet et des nouvelles problématiques liées à la commercialisation des données, ce cadre juridique est repensé dans le projet de règlement européen, qui pourrait entrer en vigueur en 2015. Cependant, le dispositif français actuellement en vigueur, mis en œuvre par la CNIL, est suffisamment précis et contraignant pour que les entreprises prennent sans attendre leurs précautions, au moment où elles lancent des études d'opportunité de projets Big Data.
Il faut tout d'abord bien apprécier la portée de la définition de « donnée à caractère personnel » dans la loi
Il s'agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » (art. 2). Ainsi que l'a démontré une étude, selon laquelle l'identité de 87% des Américains peut être reconstituée à partir de leur code postal, leur date de naissance et leur sexe, la combinaison de quelques caractéristiques peut faire d'elles des « données personnelles » même en l'absence d'un nom ou d'un identifiant personnel.
Les données dont le caractère personnel est ainsi clairement établi doivent respecter trois grands principes : la finalité du traitement de données, le consentement de la personne et la limitation de durée.
En disposant que « Les données sont collectées et traitées de manière loyale [...] pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités », l'article 6 prohibe tout enregistrement conservatoire de données personnelles, en vue d'une utilisation ultérieure. Or l'esprit même du Big Data n'est pas très différent de celui du « datawarehouse », ou entrepôt de données, où la collecte et la centralisation de données peuvent être envisagées avant que les besoins en exploitation de ces données soient définis. Le Big Data cherche donc à tirer parti de données du seul fait de leur présence et de leur accessibilité, quelle qu'ait pu être leur finalité d'origine (pour peu qu'elle ait été définie). A défaut de pouvoir se contenter de données anonymisées, l'entreprise devra donc s'assurer auprès des personnes concernées de leur consentement pour les exploiter – le deuxième principe.
L'article 7 dispose en effet qu' « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée », qui peut le retirer à tout moment. Le consentement doit être « exprès » : la signature de conditions générales prévoyant le traitement de données personnelles n'emporte consentement que si la finalité précise de ce traitement y est mentionnée. C'est donc une contrainte forte et, alors que le règlement européen sur la protection des données personnelles est en cours d'élaboration, les professionnels font pression pour en réduire les conséquences opérationnelles, d'autant que le projet de règlement leur fait porter la charge de la preuve de ce consentement.
En revanche, la règle sur la limitation de durée est moins un enjeu, parce que l'exploitabilité commerciale de données personnelles a de toute manière une durée limitée.
Face à ces contraintes, les entreprises doivent d'abord acquérir de nouveaux réflexes
La documentation des projets informatiques doit inclure un volet « données personnelles » et identifier les fichiers assujettis à la loi. Par prudence, la finalité d'un projet doit être définie de la manière la plus large possible. Un référentiel des projets Big Data doit permettre de rapprocher chaque opération d'exploitation de données personnelles de la finalité d'origine du projet concerné. Les identifiants et les attributs clients les plus sensibles pourraient être cryptés dans les bases de données. La pertinence du choix des données personnelles enregistrées doit être systématiquement questionnée ; par exemple, une campagne marketing a rarement besoin des dates de naissance : l'année de naissance peut suffire à déterminer si un client entre dans une tranche d'âge ciblée, tout en réduisant le risque de ré-identification.
Ensuite, la règle sur la limitation de durée rend souhaitable la mise en œuvre d'un traitement de suppression automatique des données personnelles ayant atteint leur limite de durée de conservation. Les directions informatiques ont l'habitude de dimensionner la capacité de stockage des données en fonction des durées de conservation obligatoires de certaines données, notamment comptables, et de ne purger les données obsolètes de leurs bases de données que pour libérer de l'espace. Elles doivent dorénavant mettre en place des mécanismes de purge automatique des données personnelles ayant atteint leur durée maximale, et revisiter leur politique de conservation des données car, si les "copies techniques" sont exemptes d'obligations de déclaration, leur démultiplication et leur dispersion croissantes au sein de l'entreprise augmente le risque opérationnel, notamment de fuite. Rappelons à cet égard que les entreprises ont d'ores et déjà l'obligation de déclarer à la CNIL toute violation de données à caractère personnel.
Les entreprises vont également être amenées à renforcer les garde-fous dans les contrats de prestations en mode Saas portant sur des données personnelles, au-delà des classiques engagements de conformité à la loi. Par exemple, elles pourraient exiger de leurs prestataires de leur mettre à disposition un moyen électronique de rectification ou suppression des données personnelles qui leur auraient été confiées. Autre exemple, pour éviter à un prestataire européen un éventuel conflit juridictionnel entre la protection européenne des données personnelles et les injonctions du gouvernement américain au titre du Patriot Act, des aménagements contractuels doivent être prévus en amont, notamment en cas de rachat du prestataire par une entreprise américaine.
La plus grande difficulté opérationnelle pour les banques est d'assurer la traçabilité des données personnelles à travers tout le système d'information : inclure à l'espace client du site web des fonctionnalités de consultation des données personnelles est une chose, proposer une rectification ou une suppression de ces données à la main du client en est une autre, car ces données ont pu être propagées et recombinées avec d'autres informations dans de multiples bases de données...
Nous sommes au début de l'ère numérique réglementée, et avec elle, d'une vague de contentieux relatifs aux données personnelles. Une des principales caractéristiques du règlement en cours d'élaboration est d'alourdir le montant des sanctions que pourront prendre les autorités nationales comme la CNIL. Les banques devront ainsi s'habituer, après l'AMF et l'ACP, à un troisième "gendarme", la CNIL, dotée de pouvoirs d'investigation et de sanction équivalents aux deux premières autorités. Une bonne raison pour anticiper.