Document confidentiel – Ne pas diffuser sans autorisation

ATOS

BIG DATA vs Protection des données?

And the winner is….

Données personnelles: les impacts du futur règlement Colloque AFDIT / Cabinet Alain Bensoussan

Emmanuelle Bartoli, Chief Legal Counsel Data Privacy and Security

1

2 21/03/2014

Ce que l’on sait du Big data…

Big Data, un terme marketing pour exprimer un volume massif de données

La théorie des 3 V:

Volume de données

Vélocité de création et de collection de données

Variété des données collectées.

2,5 trillions

d’octets de

données

par jour Sur la quantité

de données

existantes

aujourd’hui,

90% ont été

créées en 2 ans

Prévisions

2020: 10.4

zettaoctets/

mois

D’ici à 2015, le

Big Data devrait

générer 16,9

milliards de

dollars

Big data est

une priorité

pour 65% des

professionnels

de l’IT

3 21/03/2014

Le Big Data pour quoi faire?

Les Data : « le nouveau pétrole des années 2010 » issu de « gisements

d’information »

Big: une masse impressionnante de données sont collectées via TOUS les médias et

à TOUT moment et en TOUTE occasion

Faire parler les données sur les individus ou sur des populations nécessité de

structuration de la masse d’information

Mieux comprendre les clients, les patients, les utilisateurs…

Développer un meilleur écosystème opérationnel et informationnel permettant

des prises de décisions plus rapides et plus précises

4 21/03/2014

En quelques mots….

Base de données non structurée Structuration des bases

de données

great opportunity

risks

faire du sûr-mesure

5 21/03/2014

Un challenge ou une opportunité?

Harper Reed, Directeur de Campagne de B. Obama en 2012

« Le problème avec le Big Data, c’est le « big » (...). Cet aspect est déjà résolu. Nous avons

traité le big et devrions nous préoccuper de la donnée. Alors pourquoi ne pas seulement dire

data.»

Les challenges… …des opportunités deviennent

La quantité des données Expansion du Cloud

La variété des données Classification accrue des

données

L’interconnexion entre les

données Valorisation des données

L’utilisation des données pour

de nouvelles finalités Innovation

Les craintes des consommateurs Des produits et services plus

performants

6 21/03/2014

FINALITE LEGITIME

SPECIFIQUE &

EXPLICITE

EXACTITUDE

DUREE DE

RETENTION

INFORMATION

DES

PERSONNES

Comment respecter ce principe

lorsqu’il y a des données

d’origines multiples faisant

l’objet de « retraitements »

massifs?

Comment garantir l’exactitude

des données dans le temps et

dans la masse?

Comment déterminer la durée

de rétention raisonnable à

une donnée dont la finalité de

traitement a été changée

plusieurs fois?

Comment assurer une

information efficace lorsque

les finalités de traitements

sont infinies?

Les grands principes de la protection des données

confrontés au Big data (1/2)

7 21/03/2014

En 2013, le G29 a rendu un avis intitulé « Limitation de finalités » dans lequel est

abordé largement la question du Big Data.

Définition des finalités ultérieures: tout ce qui vient après la collecte des données

Le choix de la double négation: interdiction d’une finalité incompatible avec la

finalité initiale

flexibilité

insécurité juridique

Lorsque la compatibilité n’est pas évidente rechercher une connexion

Proposition d’un faisceau d’indices par le G29:

proximité de la finalité initiale et de la nouvelle finalité envisagée

contexte de la collecte initiale et ce qu’un usager normal peut envisager

nature des données et impact sur l’individu

garanties mises en œuvre par le responsable de traitement (anonymisation

ou pseudonymisation)

Limitation de la finalité vs Big Data

8 21/03/2014

Le projet de règlement…frein ou accélérateur de Big Data?

Proposition de

Règlement Avantages Inconvénients

Consentement renforcé Droits des personnes concernées

renforcés – meilleure information

Quel niveau d’information sera-t-

on en mesure de donner?

Risque de notice d’information

trop longue et incompréhensible.

Responsabilité accrue

des sous-traitants

Meilleure répartition des

responsabilités – toute la

responsabilité ne pèse plus

seulement sur les responsables de

traitements

Dans le Big data, toutes les

parties prenantes pourraient être

responsables de traitement.

Minimisation des

données

Pour les personnes

concernées: limitation de la

dissémination des informations

Pour les entreprises: exercice

d’optimisation des traitements

Antinomique avec Big Data et

avec ce qui existe déjà

Comment définir ce qui est

excessif ou pas?

9 21/03/2014

Le projet de règlement…frein ou accélérateur de Big Data?

Règlement Avantages Inconvénients

Droit à l’oubli

Mise en place d’une politique de

nettoyage des bases.

Les personnes disposent d’un

droit d’avoir leurs données

effacées.

En pratique, comment faire

lorsque les données sont

disséminées sur de multiples

bases de données?

Etude d’impact sur la

vie privée

La protection des données est

inscrite dans l’ADN des

traitements réalisés pour le Big

data.

Les entreprises s’assurent de

leur conformité.

N/A

Transferts de données

Fluidité des transferts et sécurité

accrue grâce à l’approche

« politique groupe ».

Pour les personnes concernées il

sera plus difficile de localiser et

tracer leurs données si leurs

transferts est plus difficiles.

10 21/03/2014

Sécuriser le Big Data

Le Big Data casse les frontières des systèmes or sans frontières, il est difficile

d’établir une politique de sécurité et encore plus d’en assurer une application

effective.

La donnée aura une valeur différente en fonction du moment auquel elle sera traité

besoin de sécurité différent en fonction de la valeur de la donnée.

Les accès aux bases de données sont démultipliés nécessité d’une politique forte

de contrôle d’accès aux bases de données.

Authentification forte

et

Traçabilité des accès

En challengeant les professionnels de la données, le Big Data constitue une

véritable opportunité pour nos entreprises d’exploiter l’Or noir que sont les

données personnelles.

11 21/03/2014

Organiser une gouvernance des données

Mobilisation de plusieurs fonctions: HR, IT, Business

Harmonisation des traitements de l’information

entre les différentes entités d’un groupe (particulièrement

challengeant dans les groupes internationaux ou encore

lors de fusion acquisition)

Gestion et contrôle de l’origine des données pour

garantir une bonne qualité, et ainsi valoriser les données

Détermination d’une grille d’analyse de la valeur des données permettant

une classification en fonction de la nature des données.

Comme pour la traçabilité des aliments, la traçabilité des données apparaît nécessaire pour

garantir le respect des principes de protection des données.

12 21/03/2014

And the winner is?

Conclusion et interaction avec la salle

13 21/03/2014

CONTACT

MERCI pour votre attention!

Emmanuelle BARTOLI

ATOS Chief Legal Counsel Data Privacy and Security

e.bartoli@atos.net

+33 6 22 49 76 17