J’ai assisté cette semaine à un séminaire sur les aspects juridiques associés au Big Data. Ce séminaire, animé par Philippe Laurent (avocat au barreau de Bruxelles) était très instructif. En particulier un cadre conceptuel a été proposé pour distinguer les différentes situations susceptibles de se présenter à vous si vous vous lancez dans le Big Data (ou dans le small data). Ce cadre m’a semblé tellement limpide et utile que j’ai immédiatement pensé à en faire un billet.
Tout traitement de données peut être catégorisé en fonction du type de données traitées, et de leur provenance. On distingue 4 « niveaux » qui impliquent chacun des responsabilités différentes pour celui qui traite les données
4 niveaux de responsabilité pour le traitement des données
- Niveau 0 : il s’agit du Big data réalisé par exemple à des fins de maintenance préventive (ex : maintenance d’ascenseurs sur la base de signaux collectés sur des éléments mécaniques, contrôle d’un troupeau de vaches à partir de données médicales). La réglementation sur les données personnelles ne s’applique pas dans ce cas car ni les vaches, ni les ascenseurs ne sont des personnes. De plus il n’y aura pas de problème de propriété intellectuelle si le fermier traite lui-même les données.
- Niveau 1 : Réutilisation de ses propres données. C’est le cas typique de l’entreprise disposant d’un CRM et qui va analyser ses données pour en faire quelque chose qui n’était pas initialement prévy. Si le problème de propriété intellectuelle est ici absent, par contre l’utilise « nouvelle » qui est faite de ces données oblige l’entreprise à se conformer aux dispositions de la loi sur le traitement des données personnelles et de s’assurer de l’assentiment de la personne pour ce retraitement.
- Niveau 2 : le Web scrapping tombe dans cette catégorie. La récolte d’informations ne concerne pas des personnes mais les données collectées ont été produites par une tierce partie. Si l’extraction va trop loin il existe une potentielle atteinte aux droits de propriété intellectuelle.
- Niveau 3 : cette situation mêle à la fois la dimension personnelle des données et leur appartenance à une tierce partie. L’utilisation d’un Facebook Connect ou de l’API de Linkedin sont des cas d’usage typiques. Cette situation est sans aucun doute la plus compliquée et requiert une analyse juridique préalable … ainsi que la lecture attentive du contrat sous-jacent à l’utilisation de l’API.
Conclusion
Le cadre conceptuel proposé ci-dessus vous permettra sans aucun doute de très vite saisir la situation dans laquelle vous vous trouvez et les risques inhérents. A titre anecdotique, n’oubliez pas qu’une analyse (même sommaire) des risques fait partie de toute bonne étude de marché (cf. l’analyse PESTEL).
Image: Shutterstock
Posted in Data et IT, Innovation, Marketing.