GROSJEAN Alain_et_Raphael VINOT

PROFILAGE :
UN DEFI POUR LA PROTECTION
DES DONNEES PERSONNELLES
Me Alain GROSJEAN
Bonn & Schmitt
ASPECTS TECHNIQUES
M. Raphaël VINOT
CIRCL
SEMINAIRE UIA
ENJEUX EUROPEENS ET MONDIAUX DE LA
PROTECTION DES DONNEES PERSONNELLES
19 septembre 2014
www.bonnschmitt.net
1
La vie privée mise à nu
Les internautes dévoilent en ligne :

Leur vie privée

Leur mode de consommation

Leurs activités et déplacements

Et même leurs petits vices… parfois volontairement.

Parfois, ils sont tracés à leur insu dans l’opacité
la plus complète!

2
Multiplicité des sources :
TOUT : Historiques de navigations, courriels, blogs, informations sur les
réseaux sociaux, les moteurs de recherche, données de géolocalisation, les
systèmes d’identification par radiofréquences RFID préfigurant l’internet des
objets …

…sont de précieuses informations pour les opérateurs du Net et les
sociétés
publicitaires.

Le nombre total d’objets connectés est de 15 milliards aujourd’hui et
atteindra les 80 milliards en 2020.
Le téléphone, la télévision, l’internet convergent vers une technologie IP
commune.

3
La monétisation des données :
“Quand le service est gratuit, le produit c’est
l’utilisateur!”

Données personnelles : Véritable actif
incorporel des sociétés au même titre
qu’une marque ou un brevet
Evaluées à 300 Milliards, ce chiffre devrait
tripler en 2020
4
COURTIERS DE DONNEES AUX USA
Les inquiétudes
Commission) :

de
la
FTC
(Federal
trade
Courtiers de données aux Etats-Unis : Ils se
partagent des données en ligne et hors ligne et
vendent ces données à des tiers en toute opacité

Un courtier détient 1.4 milliards de transactions de consommation et 700
milliards de données personnelles
Traitement de données sensibles et création de catégories
discriminatoires Exemple : + de 66 ans + niveau de scolarité faible +
valeurs nettes faibles
5
Les raisons variées du profilage : imposé par la loi, la
lutte contre la fraude, la sécurité nationale, la publicitée
ciblée
 La publicité comportementale :
permet de cibler l’internaute en
observant son comportement à
travers le temps pour établir un
profil (visites des sites, mots-clés,
blogs, chats etc.) et lui faire
parvenir de la publicité ciblée.
Utilisation des cookies ou d’autres techniques comme javascript pour tracer
les internautes.
Les régies publicitaires utilisent les cookies tiers pour suivre les
internautes sur plusieurs sites.
6
La délicate délimitation du profilage

1 étape: La collecte à grande échelle de données personnelles
2 étape: Analyse des données afin d’établir des corrélations entre certaines
données et certains comportement aboutissant à la création d’un profil (DATA
MINING). Les données sont traitées par des logiciels de calcul, de comparaison et de
corrélation statistique).
3 étape: Application du profil à un individu afin de lui attribuer des données
nouvelles qui sont celles de la catégorie à laquelle elle appartient.

Même si ces deux premières
étapes se font avec des données
anonymisées,
elles
doivent
respecter les principes de la
protection des données.
7
Principe de légitimité de la publicité ciblée
Consentement
Intérêt légitime du responsable du traitement
-
Groupe de l’Article 29
1) La publicité comportementale,
2) le courtage de données,
3) la publicité basée sur la géolocalisation
4) la publicité fondée sur le suivi des études de marché numérique




= Nécessité du consentement car ce sont des traitements par définition intrusifs
8
La Proposition de Règlement modifiée
Définition : Toute forme de traitement automatisé de données à caractère personnel destiné à évaluer
certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le
rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses
préférences personnelles, sa fiabilité ou son comportement.

Proposition du Règlement :
 Droit d’opposition

 Régime plus strict lorsque le profilage conduit à des mesures produisant des effets juridiques pour
la personne concernée, ou affecte de façon significative ses intérêts




Interdiction de profilage basé sur des données sensibles
Obligation d’information spécifique relative à l’existence du profilage et ses effets
Droit d’accès, de modification et de suppression du profil
Protection de l’enfance
 Privacy by design et Privacy by default
 Régime de sanctions strictes : 100 millions d’amende et 5% du chiffre d’affaires annuel
mondial

Loi
Européenne
9
Le Big Data : BIG BANG DU PROFILAGE?

La règle des 3 V : Volume, Vélocité, Variété
- Le volume se mesure en zettaoctets et
dépasse l’entendement.
- Les données sont traitées rapidement (en temps
réel)
- Diversité des sources structurées et non
structurées
- Englobe la géolocalisation de la personne
concernée dans le temps et l’espace




- Analyse rendue possible par des logiciels et des ordinateurs surpuissants.
- Utilisation du cloud computing qui permet de "louer" à distance une puissance de calcul et
un espace de stockage adapté pour un traitement big data.
- Le cloud rend accessible sur demande le big data aux moyennes et petites entreprises et à
toute autre personne à moindre coût.
Le Big Data
AVANTAGES
RISQUES
Découvrir de nouvelles
corrélations pour de nouveaux
usages
Adaptation de l’offre à la
demande
Analyse financière
Identifier des tendances à long
terme
Transformer des données
anonymisées en données
personnelles
traçage spectaculaire
Ingérence grave dans la vie privée
Création de profil extrêmement
précis
Erreur / mauvaise interprétation
Utilisation en matière de santé
Prévention et cartographie des
épidémies
Effets secondaires des
médicaments
Traitement de données sensibles
Refus d’emploi, de prêt, de contrat
d’assurance
Possibilité de cartographie des
populations minoritaires
Applications industrielles variées
Usure de pièces de moteur
Améliorer une chaine de
production
Exclusion – discrimination
Risque de détournement de la
finalité : surveillance de masse de
la NSA
11
Recommendations comportementales
RESPONSABLE DU TRAITEMENT
Meilleure information à l’attention des
utilisateurs:
Les politiques de confidentialité
doivent être rendues plus claires,
compréhensibles et accessibles pour
les consommateurs


Nécessité d’une auto régulation des
professionnels
Exemple : La charte de France Télévision


Nécessité d’une analyse d’impact et
consultation préalable des autorités
de régulation

12
Recommandations comportementales
AUTORITES DE REGULATION
Encourager les codes de bonne conduite des
professionnels.

Soutenir le principe du consentement préalable
actif

Informer les internautes des risques du
profilage par des conseils pratiques

Contrôler les opérateurs procédant à de la publicité
ciblée
Favoriser les procédures de labélisation

Inciter l’industrie à développer des
services/outils innovants


13
Recommandations comportementales
LES INTERNAUTES
Prise de conscience des traces
laissées sur Internet

Prise de mesures appropriées
aussi bien techniques que
comportementales
Conclusions du Netmundial de
Sao Paulo
Gouvernance multilatérale pour un
internet ouvert libérée de la tutelle
américaine

Création d’une charte mondiale
d’Internet
-
14
15
16
17
18
MERCI DE VOTRE ATTENTION
Alain Grosjean
BONN & SCHMITT
22-24, Rives de Clausen
L-2165 Luxembourg
[email protected]
Aspects techniques
Raphaël Vinot
CIRCL - Computer Incident Response Center Luxembourg
41, Avenue de la Gare
L-1611 Luxembourg
[email protected]
www.bonnschmitt.net
19