20150604 AFDIT Conf A Meillassoux BIG DATA VF

Document confidentiel – Ne pas diffuser sans autorisation

André MEILLASSOUX ATM Avocats – ParisPrésident de l’AFDIT

Titre : Panorama du droit de l’Economie Numérique – 4 juin 2015

Big Data: les réponses juridiques aux excès et aux nouveaux modèles économiques de l’exploitation des données

André MEILLASSOUX, ATM Avocats Paris, Président de l’AFDIT

1

202/05/2023

I) Retour sur le du Big Data:. Un développement exponentiel

. Des atteintes considérables :Big data = Big Business et Big Brother

. Peut être des avantages sociétaux

302/05/2023

I) Big Data : Un développement exponentiel

Big Data, littéralement « Données Massives » ou « Méga-données » selon le terme recommandé par la Délégation Générale à la Langue Française, représente la gigantesque accumulation de données numériques

Le Big Data est souvent caractérisé par la règle des 3 V (Volume, Variété, Vélocité)

• Un volume de données générées en expansion continue :• Le volume de données numériques générées dans le monde est passé de 1,2 zettaoctets en 2010 à

environ 5 zettaoctets en 2014 et l’on s’attend à atteindre les 35-40 zettaoctets en 2020. (Un Zo = 1 trillard d’octets, soit octets, si un octet est un seconde, cela représente 2.300 fois l’âge de l’Univers (15 milliards d’années) = 34.500 milliards d’années

• Variété : Il ne s’agit plus seulement de données relationnelles traditionnelles mais également de données brutes, semi-structurées ou même non structurées. Il s’agit de données de connexion, de géolocalisation, de mesure, de flux, de données texte issues du web, des objets connectés, des médias sociaux, etc…

• Vélocité : décrit la vitesse à laquelle les données sont générées, capturées et partagées. Les entreprises, les consommateurs et les objets génèrent de plus en plus de données dans des temps beaucoup plus courts. A ce niveau de vitesse, on ne peut exploiter ces données que si elles sont collectées et partagées en temps réel.

402/05/2023


Les enjeux• Depuis l'année 2012, le seul Département de la défense américain investit annuellement sur

les projets de Big Data plus de 250 millions de dollars.• Le gouvernement américain possède six des dix plus puissants supercalculateurs de la

planète.• La National Security Agency (NSA) est actuellement en train de construire le Utah Data

Center. Une fois terminé, ce data center pourra supporter plusieurs yottaoctets d’information collectés par la NSA sur internet. (Un yotta octet est mille fois un zetta)

• En 2013, le big data faisait partie des 7 ambitions stratégiques de la France déterminées par la Commission « innovation 2030 ».

• On est donc sur un des sujets stratégiques du moment• Partis pour « organiser l’information du monde » en 1997, depuis leur chambre à l’université

de Stanford, les fondateurs de GOOGLE, Sergeï BRIN et Larry PAGE, ont reformulé leur ambition : « apporter au monde la « connaissance » », voire selon son directeur général Eric SCHMIDT, avec l’outil GOOGLE INSTANT, qui propose des résultats avant même qu’on ait formulé la requête, « les informations dont vous ne saviez pas avoir besoin ».

502/05/2023


Big Data :augmentation des données de 2009 à 2020 40 zetta en 2020

602/05/2023

Big Data : Des Enjeux économiques conséquents

D’un point de vue économique, le Big Data devrait générer un marché d’investissement de près de 24 milliards de dollars dès 2016 selon une étude de l’IDC (International Data Council). Ces sommes correspondent à l’achat d’espace de stockage, de serveurs, de logiciels de traitement et de services.

La valeur des données traitées, elle est bien supérieure. Le Boston Consulting Group estime à 315 Milliards € en 2011 la valeur des données personnelles collectées auprès des consommateurs européens et considère que les données personnelles permettraient une création de valeur représentant 8% du PIB européen à l’horizon 2020.

De nouvelles profession telles que les « Data Scientists » apparaissent déjà aujourd’hui. Il s’agit de statisticiens, d’analystes et d’ingénieurs capables de scruter, d’utiliser les outils sophistiqués d’analyse (les fameux logiciels « analytics »), pour donner un sens aux données brutes recueillies et pouvoir les exploiter.

702/05/2023

Des atteintes considérables :Big data = Big Business

Les Applications commerciales : Les géants américains du GAFA(M)Exemple Facebook• En 2015 Facebook totalise 1,441 milliards d’utilisateurs mensuels dans le monde. • Son chiffre d’affaires s’élevait à 12.466 milliards de dollars pour 2014 et 3.54 milliards pour le

premier trimestre 2015.• La vente de données à des annonceurs publicitaires constitue l’immense majorité des revenus de

Facebook : pour le premier trimestre 2015, 3, 3 milliards de ses revenus proviennent de la publicité, soit 93 % de son CA sur cette période. Sur ces 93 % de revenus publicitaires, 73 % proviennent du mobile.

Exemple Google• En 2015, l’utilisation des moteurs de recherche Google totalise 90,3 % des parts de marché.• Son chiffre d’affaires s’élevait à 66 milliards de dollars pour 2014 et 17,3 milliards pour le premier

trimestre 2015.• La vente de données à des annonceurs publicitaires constitue l’immense majorité des revenus de

Google : pour le premier trimestre 2015, 15, 5 milliards de ses revenus proviennent de la publicité, soit 89, 6 % de son CA sur cette période.

• GOOGLE collecte toutes les recherches faites sur son moteur de recherche (97 % des requêtes en France) et connaît donc tous vos centres d’intérêt. De même elle conserve et scanne tous les courriels de sa messagerie gratuite « G-mail », tous les documents échangés par le logiciel de partage de documents « Dropbox », garde toutes vos recherches Google Earth, vos trajets Google Maps et connait tout ce que vous avez regardé sur You Tube.

802/05/2023


Les Applications commerciales :• L’IATA l’association internationale du transport aérien récupère, croise et revend les données qu’elle gère (données passagers, plan de vol…)

L’utilisation des données récupérées de sites gouvernementaux, à travers toute l’Europe : Une étude réalisée par l’Université d’AMSTERDAM a eu pour but d’analyser la collecte et l’utilisation massive de données, faites à partir des sites internet gouvernementaux d’outils : des ministères (Police, Impôts etc)Ces sites utilisent des outils d’analyse d’audience de sites webs comme Google Analytics (Google), Flickr (Yahoo), social media widget (Facebook) ou encore AddThis pour déterminer les fréquences d’utilisation de leur site.Ces données sont récupérées par leurs serveurs et basculent dans les bases de ces sociétés : usage pour des recroisements et profilages, conservation pendant 5 ans et plus

902/05/2023


Les Applications commerciales :

Revente des données par les journaux en ligneUn site https://trackography.org/ est dédié aux sites de presse en ligneSon fondateur, le développeur, un français, Claudio AGOSTI, montre l’usage qui est fait de nos données, quand on consulte ces sites.

Il permet de voir, pour toute recherche que vous faites sur un site de presse en ligne, où et par qui sont collectées vos données, où elles vont être stockées et quels types de données sont enregistrées.

Dans l’exemple ci après pour une consultation, entre autres, du journal enligne « le monde.fr », (mais presque tous les journaux français en ligne le font), j’apprends que mes données sont envoyées sur 106 serveurs, basés dans plusieurs pays et stockées par une liste de sociétés qui ont payé le journal « lemonde.fr » pour les récupérer. Par exemple, la société FACEBOOK a payé pour récupérer un certain nombre de données.

Sur la diapositive, on voit dans quels pays sont les serveurs qui stockent mes données, Angleterre, mais surtout Etats Unis et même Russie.

https://trackography.org/

1002/05/2023


Les Applications commerciales :

Revente des données par les journaux en ligneUn site https://trackography.org/ est dédié aux sites de presse en ligneSon fondateur, le développeur, un français, Claudio AGOSTI, montre l’usage qui est fait de nos données, quand on consulte ces sites.

Il permet de voir, pour toute recherche que vous faites sur un site de presse en ligne, où et par qui sont collectées vos données, où elles vont être stockées et quels types de données sont enregistrées.

Dans l’exemple ci après pour une consultation, entre autres, du journal enligne « le monde.fr », (mais presque tous les journaux français en ligne le font), j’apprends que mes données sont envoyées sur 106 serveurs, basés dans plusieurs pays et stockées par une liste de sociétés qui ont payé le journal « lemonde.fr » pour les récupérer. Par exemple, la société FACEBOOK a payé pour récupérer un certain nombre de données.

Sur la diapositive, on voit dans quels pays sont les serveurs qui stockent mes données, Angleterre, mais surtout Etats Unis et même Russie.

https://trackography.org/

1102/05/2023


Les Applications commerciales : le « scoring » d’ORANGE

• Avec une base de données clients de 20 millions d’abonnés, Orange a, nous dit le magazine Mag.it, totalement industrialisé le « scoring », c'est-à-dire le calcul de score d’appétence à une offre commerciale, et de « churn » (attrition, ou départ de clients)

• L’équipe scoring d’Orange exécute chaque mois plus de 400 formules de score récurrentes sur la base des 20 millions de clients de l’opérateur, soit 1,6 milliard de notes qui sont calculées chaque mois.

• Ces scores sont réalisés sur les 7 univers clients d’Orange : Internet, la fibre, le quadruple play, le mobile, le fixe, les prospects et les foyers français.

• « A côté de ces scores prédictifs mensuels, nous disposons de 500 autres modèles que nous recalculons en moyenne de manière semestrielle, pour des données qui sont relativement stables dans le temps, comme par exemple estimer la présence d’un enfant de 8 à 12 ans dans le foyer » nous dit le très discret Claude Riwan, directeur de l’équipe de scoring d’ORANGE

1202/05/2023

Big data = Big Brother

Les applications d’Etat

• Sécurité :

- La loi relative à la programmation militaire pour les années 2014 à 2019, du 18 décembre 2013, et son décret d’application n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion .

La loi prévoit la possibilité pour l’administration d’avoir accès à tous documents ou informations stockés chez les hébergeurs ou transmis par les Fournisseur d’accès internet, à condition qu’ils intéressent la sécurité nationale, la prévention du terrorisme, la criminalité et délinquance organisée ou la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (article L246-1 du Code de la Sécurité Intérieure)

La notion de « sauvegarde des éléments essentiels du potentiel scientifique et économique de la France » est particulièrement vague et ouvre la porte à de nombreuses dérives. Par ailleurs le décret d’application de la loi prévoit un large éventail de documents et informations qui peuvent être demandés par l’administration (identifiant de connexion, informations relatives à des paiements ou des contrats de souscription auprès de FAI, date, horaire et durée de communication…)

Dans ce dispositif l’administration se passe de l’aval du juge. Il n’intervient qu’a posteriori, en cas de contestation d’un hébergeur ou d’un FAI.

1302/05/2023

Big data = Big Brother

Le projet de loi « relative au renseignement » de Manuel Valls, votée à l’Assemblée, le 5 mai, par 438 voix contre 86, accorde aux services de renseignement de très larges prérogatives en matière de surveillance, sans contrôle du juge.

Le projet prévoit notamment que les services de renseignements pourront poser des micros dans un appartement ou un véhicule, installer des balises GPS, écouter des communications téléphoniques, ou encore utiliser des IMSI-catchers (dispositif qui permet d’écouter toutes les communications dans un rayon allant de 500 mètres à 1 kilomètre), sans l’aval d’un juge. Plus encore le projet prévoit l’installation de boîtes noires chez les hébergeurs et les FAI permettant de surveiller l’ensemble du trafic internet transitant par la France afin de détecter des comportements dits « suspects ».

• Le recours à ces mesures ne vise pas seulement la lutte contre le terrorisme mais s’étend à sept domaines : la défense nationale, la prévention du terrorisme, la prévention de la prolifération des armes de destruction massive, la prévention de la criminalité organisée, les intérêts de la politique étrangère, les intérêts économiques ou scientifiques majeurs et la prévention des violences collectives pouvant porter gravement atteinte à la paix publique.

• Marc TRÉVIDIC, Juge d’instruction du TGI de Paris – Pôle antiterrorisme : « Je comprendrais que la situation actuelle sur ce front nécessite un accroissement du pouvoir des services de renseignement, mais le projet de loi s'applique à des domaines beaucoup plus vastes. Des domaines qui répondent à des notions particulièrement vagues. »

1402/05/2023

Les applications « citoyennes » du Big Data

Application citoyennes

• Open Data : L’initiative gouvernementale française sur la liberté d’accès aux informations publiques et de réutilisation de celles-ci. Leur usage est régi par la loi CADA du 17 juillet 1978 modifiée par une ordonnance de 2005 et par la circulaire Etalab qui a conçu la licence ouverte, libre et gratuite Liberté mais pas forcément gratuité, l’utilisation des données publiques peut faire l’objet de redevances.

La directive Européenne du 26 juin 2013, venant modifier celle du 17 décembre 2003 sur la réutilisation des données du secteur public, accroît l’obligation de transparence de l’administration en matière de redevance en prévoyant que les bases de calcul utilisées pour la fixation des redevances seront fixées et publiées à l’avance par les organismes du secteur public (article 7 de la directive 2013/37/UE du 26 juin 2013).• Les « smart cities » (villes numériques) : à partir d’un centre de contrôle intégré on aurait

la possibilité d’avoir un enregistrement systématique de tout ce qui se passe dans la cité (trafic, loisirs, services publiques…)

• Le programme COMMONWELLHEALTH (jeu de mot sur « bien commun de la santé » et « commonwealth » (richesse commune, soit l’ex empire britannique), se propose de créer une base de données de santé unique pour l’ensemble des citoyens américains.

1502/05/2023

II) L’appréhension du Big Data par le Droit

1602/05/2023

Big Data : quels moyens juridiques pour résister aux atteintes ?

Les exemples donnés montrent à quel point l’accumulation massive de données présente de risques pour les libertés fondamentales, parmi lesquelles :

• Le droit au respect de la vie privée (article 9 du Code Civil) instauré le 3 mars 1803 ?« Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée…»Mes photos, ma géolocalisation, mes activités; mes goûts, mes proches… appartiennent à mon intimité• Le droit au secret des correspondances Article 226-15 du Code Pénal :« Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende.Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. »

Il y a indiscutablement captation, collecte, conservation, utilisation pour des finalités non déterminées des courriels qui circulent sur le net

1702/05/2023


Les moyens propres à la protection des données :

• La loi Informatique et Libertés » du 6 janvier 1978 modifiée par la loi du 6 août 2004 =) 5 « règles d’or » de la protection des données personnelles : (1) finalité déterminée ; (2) proportionnalité et pertinence des données traitées ; (3) durée limitée de conservation des données ; (4) sécurité et confidentialité des données ; (5) respect des droits des personnes (accès, opposition, rectification, suppression).

• En Europe : Proposition européenne de Règlement sur “la protection des données personnelles et leur libre circulation ” du 25 janvier 2012 visant à réformer la directive n° 95/46/CE et à renforcer les obligations en matière de données personnelles = ) consécration d’un droit au déréférencement, responsabilisation des acteurs, obligation de réaliser des analyses de risques en interne, le CIL devient obligatoire au seins de certaines entreprises

1802/05/2023


Parmi les moyens, à explorerIl y a des textes spéciaux existants :• Le cas des données du secteur bancaire

règlement n°97-02 modifié du 21 février 1997 relatif au contrôle interne des établissement de crédit et des entreprises d’investissement

organise les obligations relatives à la protection du secret bancaire et à l’accès aux données par les régulateurs bancaires français.

• Le cas des données de santé à caractère personnel : le stockage de ces données est réservé aux hébergeurs agréés par le Ministère de la santé qui répond juridiquement de la conformité de l’opération globale d’hébergement depuis la loi du 4 mars 2002

Ou à inventer• Le 9 septembre 2014 le Conseil d’Etat a publié une étude de 450 pages sur le numérique et les droits

fondamentaux, qui préconise la mise en place d’un principe d’« autodétermination informationnelle », c’est-à-dire le pouvoir de l’individu de décider quand et dans quelle mesure une information relevant de sa vie privée peut être communiquée à autrui.

1902/05/2023

Les axes pour renforcer l’encadrement des dispositifs liés au Big Data

• Les données personnelles collectées sont notamment utilisées par des algorithmes prédictifs pour envisager toute sortes de probabilités (réponse à une sollicitation marketing, propagation d’une épidémie). Il est nécessaire d’encadrer et contrôler l’utilisation de ces algorithmes. Pour cela il faut améliorer la transparence dans la mise en œuvre de ces algorithmes et ouvrir un droit de critique concernant cette mise en œuvre (préconisé par le CE dans son rapport du 9 septembre 2014).

• Consacrer le principe de neutralité du net (égalité de traitement des flux internets) dans le dispositif législatif pour s’assurer de l’équité du E-Commerce.

• renforcer la protection des personnes morales (exclues du champ d’application de la LIL et de la portée de l’arrêt « Costeja ».

• donner à l’individu une plus grande maîtrise sur l’utilisation de ses données, notamment en matière de profilage, le projet de règlement prévoyant la possibilité de pouvoir s’y opposer

• Responsabiliser d’avantage les acteurs du Big Data. Cela passe par une augmentation des pouvoirs de sanction de la CNIL. Actuellement l’amende maximum est de 300 000 Euros. Le projet de règlement prévoit une possibilité de sanction maximale de 100 millions d’Euros ou 5% du Chiffre d’affaires annuel d’une entreprise.

• réintroduire le rôle préalable du juge dans la mise en place des dispositifs issus de la loi relative à la programmation militaire et la loi relative au renseignement.

2002/05/2023

Faire une place à l’autodéfense ?

• Les systèmes imaginés par la communauté du Net, qui s’inquiète fortement de la dérive actuelle et des dangers pour la démocratie préconisent le recours à des moyens techniques :– Cryptage des mails– Utilisation de produits qui en conservent pas les données de connexion, ni les données

personnelles (adresse IP etc), comme le moteur de recherche et réseau social français INNOOO, qui est entré en croisade pour une protection des données et des droits fondamentaux : innooo.fr

– Recours à des produits comme TOR

• TOR : (The Onion Router littéralement le routeur onion) est un logiciel issu du libre qui a reçu le prix du logiciel libre (free software awards) 2010 par la Free Software Foundation. Celui-ci permet à ses utilisateurs de rendre anonyme leur navigation internet fondée sur le protocole de communication TCP. Ce système fonctionne par un circuit de connexions cryptées en cascade via des relais réseau ou « nœuds » de circuit. Chaque relai ne connait que son prédécesseur et son successeur ce qui rend impossible d’identifier l’adresse IP originelle.

2102/05/2023

III. Des modèles économiques nouveaux : quel droit ?

2202/05/2023

Le Big Data « légitime » et « légal »

Le Big Data ouvre de nombreuses nouvelles possibilités économiques qui ne violent pas forcément le droit au respect de la vie privée et le secret des correspondances :

• On a déjà vu l’exemple des données publiques.

• Le BIG DATA trouve également de nombreuses applications dans le domaine scientifique, notamment en astronomie et en biologie. Par exemple le programme d’étude numérique du ciel Sloan (SDSS) lancé au début des années 2 000, ayant pour but de cartographier 25 % du ciel, a pu amasser aujourd’hui plus de 140 téraoctets d’information.

• Des entreprises se servent du Big Data en interne pour améliorer leur chaîne de fabrication notamment en corrigeant et en anticipant les défauts de leurs produits. Par exemple BMW a recours au Big Data pour détecter les défauts non détectés lors des tests grâce aux données massives fournies par IBM.

• Les entreprises utilisent également le Big Data pour connaître leur e-réputation sur les réseaux sociaux et répondre aux attentes des consommateurs. C’est notamment le cas de l’entreprise Michelin qui évalue sa réputation sur twitter pour mieux cibler ses campagnes marketing

2302/05/2023

Comment protéger les données collectées ?

Le retour de la protection du droit « sui generis » des bases de données de la directive du 11 mars 1996 transposée en France par loi du 1 juillet 1998. Ce droit qui jusque là n’était que relativement peu utilisé, retrouve ainsi grâce au phénomène du Big Data, une utilisation directe.Pour qu’une base de donnée soit protégeable il faut: • Un Investissement financier, matériel ou humain substantiel (CPI, art. L. 341-1)• Une Extraction qualitativement ou quantitativement substantielle (CPI, art. L. 342-1, al. 1)• Pour une durée de 15 ans après le 1er janvier de l'année civile qui suit celle de l'achèvement de la base

de données.« Quantitativement substantielle » Jurisprudence de la CJUE, 5 mars 2009Ce critère est apprécié au regard de la base de laquelle les données sont extraites et non au regard de la base qui les accueille. Aucun seuil n’est donné par la directive ou la CJUE. Le seuil est fixé au cas par cas par les juges du fond français. A titre d’exemple, le TGI de Paris a jugé qu’une extraction de 12 % était suffisante (TGI, 5 sept 2001, Cadremploi c/ Keljob).« Qualitativement substantielle »: Ce critère est apprécié au regard de la nature des données extraites. Peu importe la quantité de données extraites si ces données font toutes la valeur de la base de données.Application jurisprudentielle récente : Cass, civ 1, 13 mai 2014, pv n° 12-25.900, « Xooloo » : dans cette affaire la constitution de la base de données de la société Xooloo (liste de sites internet destinés aux enfants) avait nécessité l’analyse d’un grand nombre de données ce qui constituait un investissement substantiel protégé. La Cour de cassation a ensuite estimé que 1.000 extractions constituaient une extraction quantitativement substantielle. Condamnation de France Télécom et Optenet à payer 3.861.604 € de dommages et intérêts à la société Xooloo.

2402/05/2023

Conclusion

L’équation actuelle est clairement : • gratuité des services/sécurité contre perte de l’intimité

Le modèle économique a surpris nos concitoyens-internet

Face à l’attrait des services gratuits nous n’avons pas été assez vigilants : • On nous a confisqué nos données pour les revendre à prix d’or (Big Business). • On n’a pas, non plus, réalisé que le Leviathan moderne nous soumettrait à une

surveillance permanente (« Big Brother » - « No place to hide »).

Benjamin Franklin, un des pères de la Constitution américaine nous a mis en garde :« Un peuple près à sacrifier un peu de liberté pour un peu de sécurité, ne mérite ni l’une ni l’autre, et finit par perdre les deux ».

20150604 AFDIT Conf A Meillassoux BIG DATA VF

Documents

Transcript of 20150604 AFDIT Conf A Meillassoux BIG DATA VF