PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt ASPECTS TECHNIQUES M. Raphaël VINOT CIRCL SEMINAIRE UIA ENJEUX EUROPEENS ET MONDIAUX DE LA PROTECTION DES DONNEES PERSONNELLES 19 septembre 2014 www.bonnschmitt.net 1 La vie privée mise à nu Les internautes dévoilent en ligne : Leur vie privée Leur mode de consommation Leurs activités et déplacements Et même leurs petits vices… parfois volontairement. Parfois, ils sont tracés à leur insu dans l’opacité la plus complète! 2 Multiplicité des sources : TOUT : Historiques de navigations, courriels, blogs, informations sur les réseaux sociaux, les moteurs de recherche, données de géolocalisation, les systèmes d’identification par radiofréquences RFID préfigurant l’internet des objets … …sont de précieuses informations pour les opérateurs du Net et les sociétés publicitaires. Le nombre total d’objets connectés est de 15 milliards aujourd’hui et atteindra les 80 milliards en 2020. Le téléphone, la télévision, l’internet convergent vers une technologie IP commune. 3 La monétisation des données : “Quand le service est gratuit, le produit c’est l’utilisateur!” Données personnelles : Véritable actif incorporel des sociétés au même titre qu’une marque ou un brevet Evaluées à 300 Milliards, ce chiffre devrait tripler en 2020 4 COURTIERS DE DONNEES AUX USA Les inquiétudes Commission) : de la FTC (Federal trade Courtiers de données aux Etats-Unis : Ils se partagent des données en ligne et hors ligne et vendent ces données à des tiers en toute opacité Un courtier détient 1.4 milliards de transactions de consommation et 700 milliards de données personnelles Traitement de données sensibles et création de catégories discriminatoires Exemple : + de 66 ans + niveau de scolarité faible + valeurs nettes faibles 5 Les raisons variées du profilage : imposé par la loi, la lutte contre la fraude, la sécurité nationale, la publicitée ciblée La publicité comportementale : permet de cibler l’internaute en observant son comportement à travers le temps pour établir un profil (visites des sites, mots-clés, blogs, chats etc.) et lui faire parvenir de la publicité ciblée. Utilisation des cookies ou d’autres techniques comme javascript pour tracer les internautes. Les régies publicitaires utilisent les cookies tiers pour suivre les internautes sur plusieurs sites. 6 La délicate délimitation du profilage 1 étape: La collecte à grande échelle de données personnelles 2 étape: Analyse des données afin d’établir des corrélations entre certaines données et certains comportement aboutissant à la création d’un profil (DATA MINING). Les données sont traitées par des logiciels de calcul, de comparaison et de corrélation statistique). 3 étape: Application du profil à un individu afin de lui attribuer des données nouvelles qui sont celles de la catégorie à laquelle elle appartient. Même si ces deux premières étapes se font avec des données anonymisées, elles doivent respecter les principes de la protection des données. 7 Principe de légitimité de la publicité ciblée Consentement Intérêt légitime du responsable du traitement - Groupe de l’Article 29 1) La publicité comportementale, 2) le courtage de données, 3) la publicité basée sur la géolocalisation 4) la publicité fondée sur le suivi des études de marché numérique = Nécessité du consentement car ce sont des traitements par définition intrusifs 8 La Proposition de Règlement modifiée Définition : Toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. Proposition du Règlement : Droit d’opposition Régime plus strict lorsque le profilage conduit à des mesures produisant des effets juridiques pour la personne concernée, ou affecte de façon significative ses intérêts Interdiction de profilage basé sur des données sensibles Obligation d’information spécifique relative à l’existence du profilage et ses effets Droit d’accès, de modification et de suppression du profil Protection de l’enfance Privacy by design et Privacy by default Régime de sanctions strictes : 100 millions d’amende et 5% du chiffre d’affaires annuel mondial Loi Européenne 9 Le Big Data : BIG BANG DU PROFILAGE? La règle des 3 V : Volume, Vélocité, Variété - Le volume se mesure en zettaoctets et dépasse l’entendement. - Les données sont traitées rapidement (en temps réel) - Diversité des sources structurées et non structurées - Englobe la géolocalisation de la personne concernée dans le temps et l’espace - Analyse rendue possible par des logiciels et des ordinateurs surpuissants. - Utilisation du cloud computing qui permet de "louer" à distance une puissance de calcul et un espace de stockage adapté pour un traitement big data. - Le cloud rend accessible sur demande le big data aux moyennes et petites entreprises et à toute autre personne à moindre coût. Le Big Data AVANTAGES RISQUES Découvrir de nouvelles corrélations pour de nouveaux usages Adaptation de l’offre à la demande Analyse financière Identifier des tendances à long terme Transformer des données anonymisées en données personnelles traçage spectaculaire Ingérence grave dans la vie privée Création de profil extrêmement précis Erreur / mauvaise interprétation Utilisation en matière de santé Prévention et cartographie des épidémies Effets secondaires des médicaments Traitement de données sensibles Refus d’emploi, de prêt, de contrat d’assurance Possibilité de cartographie des populations minoritaires Applications industrielles variées Usure de pièces de moteur Améliorer une chaine de production Exclusion – discrimination Risque de détournement de la finalité : surveillance de masse de la NSA 11 Recommendations comportementales RESPONSABLE DU TRAITEMENT Meilleure information à l’attention des utilisateurs: Les politiques de confidentialité doivent être rendues plus claires, compréhensibles et accessibles pour les consommateurs Nécessité d’une auto régulation des professionnels Exemple : La charte de France Télévision Nécessité d’une analyse d’impact et consultation préalable des autorités de régulation 12 Recommandations comportementales AUTORITES DE REGULATION Encourager les codes de bonne conduite des professionnels. Soutenir le principe du consentement préalable actif Informer les internautes des risques du profilage par des conseils pratiques Contrôler les opérateurs procédant à de la publicité ciblée Favoriser les procédures de labélisation Inciter l’industrie à développer des services/outils innovants 13 Recommandations comportementales LES INTERNAUTES Prise de conscience des traces laissées sur Internet Prise de mesures appropriées aussi bien techniques que comportementales Conclusions du Netmundial de Sao Paulo Gouvernance multilatérale pour un internet ouvert libérée de la tutelle américaine Création d’une charte mondiale d’Internet - 14 15 16 17 18 MERCI DE VOTRE ATTENTION Alain Grosjean BONN & SCHMITT 22-24, Rives de Clausen L-2165 Luxembourg [email protected] Aspects techniques Raphaël Vinot CIRCL - Computer Incident Response Center Luxembourg 41, Avenue de la Gare L-1611 Luxembourg [email protected] www.bonnschmitt.net 19