Cet article appartient au dossier : Rétrospective 2014.

Rétrospective 2014

Données personnelles : un patrimoine à protéger

Il y a quelques années, le phénomène Big Data marquait le constat un peu euphorique des volumes exponentiels de données rendus accessibles sur Internet, dont les nouvelles technologies permettaient un traitement d’une précision inédite. Aujourd’hui, l’heure est plutôt à en réaliser une exploitation raisonnée, pour éviter de se noyer dans la masse d’informations disponibles, mais aussi à en organiser la protection.

 

En effet, les hackers ont bien compris la valeur de ces nouveaux actifs : en 2014, les magasins de bricolage Home Dépôt aux États-Unis, la banque JP Morgan ou encore l’opérateur télécom Orange, à deux reprises en janvier et avril, ont été victime de piratages de leurs données. Et dans les manquements constatés par la CNIL en 2014 figurent en bonne place des motifs tels que le « défaut de sécurité et de confidentialité des données » ou encore la « collecte excessive ».

Différents jalons ont donc marqué, l’année passée, la construction d’un dispositif de protection des données personnelles. D’autres étapes sont prévues en 2015.

Ainsi l’arrêt de la Cour de justice de l’Union européenne du 13 mai 2014 a défini un droit à l’oubli, en stipulant que les personnes peuvent demander à l’exploitant d’un moteur de recherche, en l’occurrence Google, la suppression, non pas de contenus, mais de liens qui apparaissent dans les listes de résultats affichées à partir d’une recherche sur le nom d'une personne.

Autre fait marquant : le G29 [1] a adopté, le 25 novembre 2014, une déclaration commune affirmant un droit fondamental à la protection des données personnelles, son opposition à un accès massif et sans condition à des données aux fins de sécurité, l’intérêt de l’industrie numérique à respecter les règles de protection des données personnelles, gages de la confiance de leurs clients, ou encore la nécessité de finaliser la réforme prévue de la réglementation européenne.

De fait, deux projets législatifs devraient aboutir en 2015 : une loi numérique, lancé par le Premier ministre Jean-Marc Ayrault en février 2013, aujourd’hui sous l’égide d’Axelle Lemaire, secrétaire d’État au numérique, et un paquet législatif européen (règlement et directive) qui devrait être repris sous la nouvelle mandature, après avoir été voté par le Parlement européen en mars 2014.

Enfin, ce cadre réglementaire est complété par les règles internes aux entreprises, qu’il s’agisse de la nomination d’un correspondant informatique et libertés (CIL), ou encore de l’instauration de binding corporate rules concernant les transferts de données personnelles au sein d’un groupe.

 

 

Ils ont dit…

Sur le cadre réglementaire

 

À propos du projet de règlement européen

« La CNIL soutient le texte dans son principe, car nous considérons qu’il est indispensable pour permettre d’adapter le cadre européen de la protection des données et répondre aux nouveaux défis concurrentiels. L’Europe en effet doit être capable de parler d’une seule voix face aux États-Unis et ses champions numériques, qui ne devraient plus profiter d'une distorsion de concurrence liée à la différence des règles actuelles en matière de protection des données. De plus, dans une société numérique comme la nôtre où la traçabilité est rendue possible dans l’espace et dans le temps, il devient nécessaire de renforcer le droit individuel du citoyen, y compris le droit à l’oubli, comme le prévoit le projet de règlement. La consolidation du rôle des autorités de protection des données fait également partie des avancées du texte. »

Sophie Nerbonne, chef de service direction juridique, CNIL, Revue Banque n° 769, février 2014, dossier, p. 26.

 

À propos du dispositif américain Safe Harbor

« Le dispositif dit de Safe Harbor ou “sphère de sécurité” est une série de principes de protection des données personnelles auxquels adhèrent volontairement les entreprises américaines. Cette adhésion leur permet de transférer des données personnelles de l’Europe vers les États-Unis. […]

Treize ans après sa création, une renégociation s’avère nécessaire. En effet, comme le souligne la Commission européenne dans une communication au Parlement et au Conseil, l’échelle des transferts de données n’est plus la même à l’heure où les géants américains du Web (Google, Facebook, Microsoft, Apple, Yahoo) ont des millions de clients en Europe. Par ailleurs, l'affaire Snowden a révélé l’accès direct que les autorités américaines pouvaient avoir sur les données transférées dans le cadre du Safe Harbor, un dispositif qui porte alors bien mal son nom. »

Géraldine Criqui, Université Paris II, CEJEM, Revue Banque n° 769, février 2014, dossier, p. 47.

 

Les données personnelles bancaires

« Une chose est sûre : c’est que les données bancaires sont des données à caractère personnel (toute information se rapportant à une personne concernée) et même des données sensibles (permettant, entre autres, de connaître et d’exploiter le profil économique de tout un chacun, auquel on attribue un score). […]

En matière de données de paiement plus spécifiquement, on ne peut que remarquer le peu de cas réservé à leur protection par la directive sur les services de paiement (DSP), dont le seul article 79 renvoie évasivement à la directive de 1995. La proposition de DSP 2 (24 juillet 2013) n’est pas plus prolixe […]. De son côté, la deuxième directive relative à la monnaie électronique (DME 2) est carrément muette sur le sujet des données personnelles. »

Pierre Storrer, avocat, Revue Banque n° 769, février 2014, dossier, p. 43.

 

Sur la gestion des données

 

L’impact du Big Data sur les modèles de crédit

« Avec l’augmentation considérable du volume de données, le statisticien n’aura plus le temps d’étudier les variables une à une. Il devra d'abord faire du traitement de masse, puis analyser les variables qui ressortent comme discriminantes. Au vu de la multitude de données disponibles, des compétences métier seront nécessaires, afin de mieux cibler les variables ou croisement de variables pouvant aider à la prédiction du critère de défaut, ou non-défaut. »

Cindy Claudios, consultante Risque, et Raphaël Hagège, associé, responsable pôle Risque et réglementaire, Conix Consulting, Revue Banque n° 777, novembre 2014, p. 75.

 

La gouvernance des données

« Les données sont en effet irréductiblement transverses à l’organisation : transverses aux structures juridiques et aux lignes métier bien sûr, mais transverses aussi aux filières de pilotage (finance, risques, conformité…), transverses enfin aux approches processus et, transverses aux SI, même les mieux urbanisés. Sans dispositif ni gouvernance ad hoc, cette transversalité soulève de véritables difficultés pour faire émerger des définitions partagées, pour mutualiser des dispositifs de production de données de référence ou pour définir des indicateurs de qualité globaux. »

Jacques Richer, directeur, Capgemmini consulting, Revue Banque n° 775, septembre 2014, p. 73.

 

Responsabiliser les entreprises

« Si l’entreprise se doit d’être présente et active sur ces réseaux, elle se doit aussi de le faire dans le respect d’un cadre juridique foisonnant, en ayant mis en place des procédures, voire des outils techniques appropriés, via des community managers formés aux préceptes juridiques de base et des salariés responsabilisés. »

Isabelle Cantero, juriste responsable du pôle Données personnelles, et François Couez, associé, avocat à la cour, Cabinet Caprioli & Associés, Revue Banque n° 769, février 2014, dossier, p. 39.

 



 

[1] Groupe réunissant les représentants des autorités européennes de protection des données, institué par la directive européenne du 24 octobre 1995 sur la protection des données et leur libre circulation.

 

Sommaire du dossier

Rétrospective 2014

Sur le même sujet