CLOUD COMPUTING ET BIG DATA

Quel encadrement pour ces nouveaux usages des données personnelles ?

Alexandra Bensamoun, Célia Zolynski

La Découverte | « Réseaux »

2015/1 n° 189 | pages 103 à 121

ISSN 0751-7971
ISBN 9782707185419
DOI 10.3917/res.189.0103
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-reseaux-2015-1-page-103.htm
--------------------------------------------------------------------------------------------------------------------

Distribution électronique Cairn.info pour La Découverte.

© La Découverte. Tous droits réservés pour tous pays.
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.

Powered by TCPDF (www.tcpdf.org)

 CLOUD COMPUTING ET BIG DATA

Quel encadrement pour ces nouveaux usages

des données personnelles ?

Alexandra BENSAMOUN
Célia ZOLYNSKI
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

DOI: 10.3917/res.189.0103
 C
loud computing, big data : une révolution est en marche ! (Mayer-
Schönberger et Cukier, 2014)1 Notre société serait entrée dans une
nouvelle phase d’industrialisation comparable à celle qui a suivi la
fourniture d’électricité par les centrales et les data seraient l’uranium de cette
nouvelle ère économique. Les enjeux sont colossaux et les perspectives de
croissance phénoménales si l’on en croit les chiffres annoncés par la Com-
mission européenne. Le développement de ces nouveaux services permettrait
de consacrer un grand marché du numérique grâce aux gains de productivité
possibles pour les acteurs privés et publics. Le cloud computing, cette tech-
nologie renvoyant « au stockage, au traitement et à l’utilisation de données
contenues dans des ordinateurs distants et auxquelles on accède par inter-
net » (Communication de la Commission européenne, Exploiter le potentiel
de l’informatique en nuage en Europe, 2012) permet en effet aux entreprises
d’accroître considérablement leur capacité de stockage d’informations et de
données ; l’externalisation de ces services leur assurerait une plus grande
élasticité grâce à un système de paiement à la demande garantissant une
meilleure adéquation de l’usage de leur outil informatique avec leur modèle
d’affaires, sans compter la perspective de développement de nouveaux ser-
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

vices et de conquête de nouveaux marchés (Sauvé, 2014). Quant aux big data
– ou mégadonnées ou encore données massives –, ces « données structu-
rées ou non dont le très grand volume requiert des outils d’analyse adaptés »
(Vocabulaire de l’informatique, 2014), elles offrent des perspectives encore
plus prometteuses : la fusion des données et leur analyse prédictive – analyse
des sentiments, segmentation et géolocalisation des besoins, connaissance
affinée des comportements, voire des attentes de l’utilisateur – laissent augu-
rer un nombre considérable d’applications allant du marketing intelligent à
la gestion des villes intelligentes, si l’on songe à la gestion de l’énergie, du
trafic, voire de la sécurité et de la santé publique (The White House, 2014).

Pour autant, ces nouveaux services comportent des risques majeurs en

termes d’atteintes aux données personnelles de leurs utilisateurs, comme

1. Les auteurs remercient Alain Rallet pour les échanges constants tout au long de la rédaction
de cet article qui ont contribué à en améliorer la version finale.
 106 Réseaux n° 189/2015

l’ont montré certains scandales récents (affaire PRISM, affaire iCloud ) ou

comme l’imaginent certaines fictions dénonçant les craintes d’une justice
prédictive (Minority report), voire d’une définition algorithmique de la per-
sonne (Bienvenue à Gattaca). La question des données personnelles semble
ici centrale, même si l’on ne doit pas pour autant oublier que toutes les don-
nées mobilisées par ces nouveaux usages ne sont pas à caractère personnel :
l’enjeu est, et demeure, ici majeur. L’heure est donc venue de penser les solu-
tions garantissant le développement de pratiques « dataresponsables » qui
permettraient de tirer profit en toute sécurité des opportunités sans précédent
qu’offrent ces services innovants, de rechercher un équilibre entre la promo-
tion de l’innovation et le respect de la privacy (Marino, 2013).

Afin d’assurer un encadrement effectif de ces nouvelles pratiques, il est apparu

nécessaire de repenser la législation applicable à la protection des données
personnelles qui est rapidement apparue en inadéquation avec les caractéris-
tiques des services de cloud computing et de big data. Deux caractéristiques
de la législation spéciale paraissent tout particulièrement poser difficulté. Tout
d’abord l’appréhension statique qui est réalisée de la situation, puisque les
textes appréhendent la donnée dès sa collecte ; on rappellera que la loi « infor-
matique et liberté » avait été élaborée en 1978 en réaction à l’annonce de la
création d’un fichier public, et donc de la crainte quant aux pouvoirs de l’au-
torité publique découlant d’une collecte de données relatives aux individus.
Or on constate que ces nouveaux usages sont marqués par une exploitation
dynamique, cinétique, de la donnée (Forest, 2014). L’approche est évolutive
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

et privilégie les usages secondaires de la donnée, en totale inadéquation avec
l’appréhension figée consacrée par le droit positif. C’est ensuite le caractère
territorial des règles qui suscite des interrogations quant à l’adéquation à ces
nouveaux usages ; il est en effet nécessaire de déterminer la loi applicable et
la juridiction compétente en cas de litige. Cela impose alors de recourir à des
critères ratione loci, fondés sur la géographie physique, qui s’avèrent diffi-
ciles à penser lorsque la pratique appréhendée a un caractère fortement ubi-
quitaire. Dans ce contexte, la difficulté tient au niveau de protection garanti
et à la détermination de l’autorité de régulation compétente. Cette incertitude
expose également à d’importants risques de concurrence réglementaire et de
forum shopping (Falque-Pierrotin, 2014). En témoigne tout particulièrement
la discussion relative à la compétence de l’autorité de régulation suscitée à
l’occasion des négociations relatives au projet de règlement européen sur
l’échange et la protection des données personnelles dans l’Union – faut-il
instituer un guichet unique et, dans l’affirmative, quelle autorité désigner  ?
 Cloud computing et big data107

Toutes ces questions ne sont pas encore tranchées, alors que nombreux sont
ceux qui plaident en faveur de l’adoption du texte en 2015. Aussi, le caractère
dynamique et ubiquitaire de ces nouveaux usages, autrement dit la disjonction
temporelle et spatiale qui est de leur essence, impose-t-il de s’interroger sur la
nécessité de repenser la législation encadrant actuellement l’exploitation des
données à caractère personnel, afin de mieux appréhender la valeur d’usage
de la donnée qui en résulte.

Au-delà de cette première difficulté relative au contenu de la norme, une

seconde apparaît lorsqu’il s’agit d’encadrer ces usages, qui porte cette fois
sur son mode de fabrication : la protection légale existante – fruit d’une
approche classique de la norme juridique favorable au recours à la régle-
mentation – ne paraît pas à elle seule suffisante pour garantir le respect du
droit de l’utilisateur à la protection de ses données personnelles, alors que
ces services reposent justement sur l’exploitation de ces données. La dif-
ficulté est réelle, dans la mesure où ces pratiques font appel à une pluralité
d’acteurs – dont les situations géographiques et la position sur le marché
sont extrêmement fluctuantes – et visent des services marqués par un cycle
court d’innovation. Pour autant, la promotion d’une éthique des données est
devenue aujourd’hui indispensable afin de pérenniser ces nouveaux usages,
alors que l’attention est désormais portée sur la confiance de l’utilisateur et
sur la loyauté des opérateurs et ce, tout particulièrement lorsque l’on aborde
la question de l’exploitation des données personnelles, comme en atteste
notamment la récente déclaration politique des autorités de régulation euro-
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

péennes réunies dans le groupe dit « de l’article 29 » (Déclaration G 29,
2014). Afin de parvenir à un tel objectif tout en tenant compte des spécifici-
tés des pratiques, c’est la conception même de la fabrication de la norme qui
suppose d’être repensée : il apparaît nécessaire de mobiliser différents modes
de régulation et d’associer réglementation, co-régulation et autorégulation.
Et c’est bien en ce sens qu’œuvrent désormais les autorités de régulation,
telles que la CNIL en France ou la Commission européenne, encouragées
par un certain nombre d’opérateurs du secteur (Falque-Pierrotin, Griguer et
Mossé, 2014).

Le défi est immense  : seule une bonne compréhension de la protection des

données personnelles des utilisateurs par ces nouveaux services de cloud
computing et de big data permettra d’assurer la confiance et de garantir la
pérennité des usages. Cette compréhension efficace implique non seulement
de repenser la législation, mais aussi de diversifier les modes de régulation.
 108 Réseaux n° 189/2015

REPENSER LA LÉGISLATION

Les nouvelles techniques poussent parfois la législation dans ses retranche-

ments, mettant alors en exergue son incapacité à appréhender de manière
satisfaisante la situation nouvelle.

Notamment, l’essor du numérique permet en quelque sorte de « mettre en

données » le monde (Conseil d’État, 2014), parfois sans même qu’on s’en
rende compte, souvent qu’on y participe, dans un mouvement d’exposition
volontaire de soi de plus en plus marqué. Le phénomène a multiplié le stock
de données, au point que l’on parle de big data, phénomène que le droit
des données personnelles peine à embrasser, compte tenu de son approche
pour l’heure statique de la donnée. En outre, la capacité de traitement de ces
masses de données est augmentée par leur mise en réseau et, en particulier par
la possibilité de décentralisation dans le cloud à l’ubiquité duquel la loi doit
désormais s’adapter.

Réfléchir le droit à l’aune du dynamisme du big data

La définition et les enjeux du big data sont facilement résumés grâce à for-
mule des « 5 V » : volume, variété, vélocité, véracité, valeur.

Le premier V renvoie à un volume important de données auquel on associe la

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

variété puisque le big data permet l’appréhension de données hétérogènes,
dans des formats variés, qu’elles soient structurées ou non structurées. À cela
s’ajoute un facteur de vélocité du traitement, la vitesse de traitement des don-
nées pouvant aller jusqu’au temps réel, ce qui permet de capturer une masse
de données mouvante et de les corréler de façon dynamique. Le quatrième V
de véracité souligne le manque de fiabilité des données, exploitées, qui peut
remettre en cause le résultat mis en exergue. Enfin, les big data permettent de
générer une valeur nouvelle des données, dans la mesure où elles transfor-
ment la donnée en information. Ce dernier point est fondamental dès lors que
ce process se définit non pas tant par le volume de données traitées que par
la nouvelle façon de les appréhender. Les big data permettent ainsi de déve-
lopper une utilisation secondaire des données et de nouveaux instruments de
compréhension, souvent même prédictifs. Ce trait explique que l’on ait pu le
comparer à l’invention du microscope en ce qu’il renouvelle notre vision de
l’information.
 Cloud computing et big data109

La législation actuelle (directive 95/46/CE du 24 octobre 1995 relative à la

protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données), comme prospec-
tive (proposition de règlement relatif à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circu-
lation de ces données du 25  janvier 2012, COM(2012) 11 final), soumet la
qualité des données à un certain nombre de principes : un traitement loyal et
licite, un principe de finalité, un principe de proportionnalité, de pertinence et
d’exactitude, une durée n’excédant pas le temps nécessaire à la réalisation des
finalités. Or le principe de finalité revêt une importance fondamentale (avis
G29, 2013), dans la mesure où il conditionne l’application des autres critères.
Il impose que les données soient collectées pour des finalités déterminées,
explicites et légitimes. À ce titre, l’utilisation d’une finalité vague ou trop
générale (amélioration des usages à des fins de marketing, de sécurité infor-
matique, etc.) ne répond pas à l’obligation.

La difficulté, s’agissant des big data, tient au fait que ses caractères inhérents
semblent difficiles à concilier avec les exigences légales. Cette inadéquation
se révèle avec force dès lors qu’on tente une caractérisation fonctionnelle des
big data, lesquelles constituent, d’une part, une technique de concentration
dynamique et, d’autre part, une technique de recyclage de l’information.

Le big data s’identifie d’abord à une technique de concentration dynamique.

Si les données numériques sont par essence reproductibles, disponibles par-
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

tout et tout le temps, presque fuyantes, le phénomène big data a accentué
encore ces traits. L’intérêt n’est d’ailleurs plus réellement la donnée, prise en
tant qu’unité, multiple et isolée, mais la concentration, la masse de données,
mises en réseau, appréhendées de manière unitaire et non granulaire.

En outre, le big data est un procédé dynamique, alimenté en flux continu, ce

qui rend le traitement envisagé en mouvement, toujours changeant. L’analyse
n’est plus tant qualitative que quantitative. Or la législation tant positive que
prospective semble pensée pour un traitement « figé » des données, alors que
l’objet même du traitement en matière de big data est par nature évolutif.

Cette évolutivité empêche une prévisibilité du traitement big data et donc une
détermination de sa finalité dès la collecte. Comment anticiper une finalité pour
un traitement par définition toujours en mouvement, toujours changeant, et en
réalité fondé sur la masse ? La collecte devient automatique, déliée du traitement,
 110 Réseaux n° 189/2015

lequel est encore inconnu. Dans ce cadre, les big data imposent de réfléchir
non plus au stade de la divulgation des données, mais à celui de leur exploita-
tion. En effet, il repose sur une utilisation secondaire des données : les données
sont exploitées à d’autres fins que celles pour lesquelles elles ont été produites.
La valeur des big data repose justement sur ces utilisations secondaires, sur la
multitude d’exploitations possibles de cet uranium de l’économie numérique,
sur le réemploi potentiel des données à l’avenir à des fins que l’on a pu ne pas
envisager lors de leur collecte (Mayer-Schönberger et Cukier, 2014). Aussi, en
pratique, la définition préalable des finalités spécifiques telle qu’exigée par la
législation est la plupart du temps impossible au moment où les données sont
recueillies. Le critère légal semble bien impraticable s’agissant des big data.

Ensuite, les big data sont une technique de recyclage de l’information. La

difficulté à mettre en œuvre le principe de finalité est encore plus prégnante
si l’on considère que la soumission au droit des données personnelles est sou-
vent, dans l’échelle du temps, postérieure au recueil des données. En effet,
ce n’est parfois que le recoupement réalisé grâce au traitement secondaire de
données brutes, « neutres », qui pourra les transformer en données person-
nelles. Cette corrélation des données n’est pas sans conséquences. Mais com-
ment respecter le principe de finalités alors même que c’est bien le traitement,
par la multiplication des opérations de recoupement, parfois même échelon-
nées dans le temps, qui aura permis l’émergence de données personnelles ?

En outre, le big data impose un véritable changement de paradigme : l’idée

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

est en effet de faire parler des données ; on parle d’exploration de données, de
forage de données, de data mining. Or la législation européenne appréhende la
collecte, le transfert, la modification…, mais pas la signification nouvelle des
données grâce à leur agrégation. Ici, ce qui importe, c’est la transformation
de la donnée par recoupements (Mayer-Schönberger et Cukier, 2014). Certes,
la définition donnée du traitement de données personnelles à l’article 4 (3) de
la proposition de règlement évoque le rapprochement et l’interconnexion de
données. Mais les conséquences d’une telle opération à grande échelle sont
ignorées par la réglementation (excepté la disposition relative au profilage
spécifiquement, art. 20 de la proposition de règlement).

Ce recyclage de la donnée pose encore problème quant à la durée de conser-

vation, car la finalité du traitement est liée à cette durée. Or les big data,
parce qu’ils sont fondés sur la masse, impliquent par nature un maintien des
données dans le système d’information et ce, au-delà de la durée initialement
prévue. La durée initiale ne sera en fait plus pertinente.
 Cloud computing et big data111

En définitive, la problématique juridique majeure posée par les big data tient
au fait que les données collectées vont être traitées pour des finalités qui n’au-
ront pas été – pas pu être – déterminées au moment de la collecte.

Le rapport du Conseil d’État de 2014, Le numérique et les droits fondamen-

taux, semblent trouver une solution à cette incapacité « congénitale » à respec-
ter le texte dans la liberté de réutilisation statistique des données personnelles,
quelle que soit la finalité initiale du traitement. En effet, la loi n’interdit pas,
par principe, les traitements ultérieurs, mais elle impose une compatibilité
avec les finalités premières. Or un traitement ultérieur à des fins historiques,
statistiques ou scientifiques n’est pas réputé incompatible. La Haute Autorité
recommande alors de maintenir la règle (qui se retrouve dans la proposition
de règlement à l’article 83), en prévoyant pour seule condition que cette réuti-
lisation soit entourée de garanties quant à l’anonymat.

C’est sans doute l’une des voies à explorer pour la prise en compte efficace
du big data, mais elle sera compliquée à mettre en œuvre. Surtout lorsque la
donnée ne devient une donnée personnelle qu’à l’issue du traitement…

Il en ressort que la réglementation actuelle saisit difficilement la pratique

du big data. Et aucune solution ne paraît pouvoir être apportée a priori, car
l’extrême diversité des pratiques big data incite à procéder en la matière à
un examen pragmatique de l’usage en cause. Dans ce cadre, l’étude, menée
au cas par cas, doit conduire à se demander tout d’abord si la pratique big
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

data considérée est effectivement un traitement de données personnelles. Il
s’agit ici de vérifier que la donnée traitée initialement relève bien de cette
catégorie ou que le résultat du big data a pour objet ou pour effet de conduire
à identifier la personne. La pratique tomberait alors dans le champ d’appli-
cation de la réglementation et ce, même a posteriori, c’est-à-dire même dans
l’hypothèse où le traitement initial ne porte pas sur des données personnelles,
ce qui impose de mener une analyse diachronique du traitement (Latreille
et Zolynski, 2014). Si cette qualification est retenue, une seconde question
devra alors porter sur la licéité d’un tel traitement. Or la réponse à pareille
interrogation demeure encore incertaine, puisque la législation actuelle appa-
raît, comme on l’a vu, inadaptée en la matière. En l’état actuel de la réflexion,
plusieurs postures peuvent être adoptées : on pourrait considérer que tout
devient donnée personnelle, compte-tenu de la possibilité d’identification
a posteriori résultant des big data ; on pourrait au rebours avancer que le
principe d’innovation impose d’écarter une telle qualification toutes les fois
 112 Réseaux n° 189/2015

que l’exploitation des données en résultant ne serait pas risquée pour l’utili-
sateur. La réponse n’est pas d’évidence et elle dépend beaucoup des intérêts
qu’on souhaite privilégier. Mais le débat doit très certainement être tranché,
alors que la proposition de règlement en cours de discussion ne semble pas
prendre parti. Une solution consisterait certainement à distinguer selon la
nature des données appréhendées par le traitement des big data pour prendre
en compte leur caractère plus ou moins sensible et plus ou moins identifiant
pour l’utilisateur et ce, afin d’appliquer avec plus ou moins de rigueur un
principe de « finalité compatible avec le traitement initial » (Bensamoun et
Zolynski, 2013) qui devrait donc demeurer une notion à géométrie variable.
Un test d’évaluation de la compatibilité de l’usage pourrait consister en
l’examen d’un faisceau d’indices tels que la proximité de la finalité initiale
avec la finalité envisagée, le contexte de la collecte, la nature de la donnée et
les conséquences de son traitement pour l’individu, ou encore les garanties
mises en œuvre par l’opérateur comme l’anonymisation ou la pseudonymisa-
tion (avis du G29, 2013).

En définitive, il apparaît que le caractère dynamique des big data rend toute
définition trop figée inadéquate. Pour autant, une approche générale et très
souple pourrait quant à elle être source d’une importante insécurité pour les
opérateurs économiques, qui par ailleurs doivent réaliser de lourds investis-
sements pour bénéficier des potentialités qu’offrent les big data. Par consé-
quent, la réglementation ne saurait suffire à encadrer de tels usages et elle doit
être complétée par d’autres modes de régulation plus adaptés à la flexibilité de
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

la pratique et aux cycles courts d’innovation qui la caractérisent. L’affirmation
est d’autant plus pertinente lorsqu’il s’agit d’appréhender l’utilisation d’un
autre usage de la donnée, parfois complémentaire, résultant des services de
cloud computing.

Adapter la loi à la diversité et à l’ubiquité du cloud computing

Le cloud computing met également la législation à rude épreuve sur plu-

sieurs points. La technique permet en effet une « mise en réseau généralisée »
(Conseil d’État, 2014), à tel point que la propriété et l’utilisation des moyens
informatiques peuvent être dissociées. Elle repose sur une mutualisation des
ressources informatiques, lesquelles peuvent être mobilisées et configurées à
la demande.
 Cloud computing et big data113

Encore faut-il savoir de quoi l’on parle, car en matière d’informatique en

nuage, les modèles sont divers (v. Livre Blanc Syntec Numérique, Cloud
computing, nouveaux modèles) : cloud privé, public, hybride, cloud payant,
gratuit. Sans compter que les services peuvent être très différents : espace
de stockage externalisé, mise à disposition de logiciels, de plates-formes de
développement…

Cette diversité des pratiques se répercute sur le rôle des acteurs. En effet, les
nouveaux modèles tendent à brouiller les frontières, en particulier quant à
la qualité de responsable de traitement et à celle de sous-traitant (Albrieux,
2014). Le prestataire de cloud peut-il être considéré comme un responsable
(conjoint) de traitement ? La question n’est pas que théorique : elle condi-
tionne des obligations légales et un régime de responsabilité précis. Le projet
de règlement propose une telle qualification, mais sous réserve d’un accord
répartissant les obligations respectives des responsables (article 24), afin de
renforcer les obligations du prestataire en matière de protection des données
personnelles. Or la pratique contractuelle montre que la qualification est com-
plexe et bien souvent sujette à débat, notamment compte tenu du niveau, plus
ou moins élevé, d’intervention de l’opérateur de cloud dans le contrôle des
données de son client (Albrieux, Bensamoun, Perray, 2014).

Par ailleurs, le cloud pose également la question de la localisation des don-

nées. En effet, les données mises dans le nuage traversent souvent de nom-
breuses frontières et deviennent difficilement localisables, y compris parfois
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

aussi pour le prestataire de cloud, lorsqu’il a lui-même recours à la sous-trai-
tance. L’usage de tels services peut incontestablement entraîner une perte de
contrôle du client sur ses données, s’il est mal informé. Il n’existe pourtant,
en l’état du droit applicable, aucune obligation d’information quant à la loca-
lisation des données.

D’ailleurs, les données circulent souvent dans plusieurs pays, par des trans-
ferts successifs d’un data center à un autre, sans que le client puisse nécessai-
rement en connaître le parcours. En outre, le lieu d’hébergement du cloud est
généralement multiple, et réparti sur plusieurs data centers, en France et/ou à
l’étranger, les contenus étant scindés et répliqués. Dans le cas du cloud public,
le client ne connaît donc pas avec précision le ou les lieux d’hébergement de
ses données. Ces caractéristiques, gages de disponibilité du cloud, soulèvent
la question du droit applicable aux données personnelles (sur les transferts
de données, voir Albrieux, Bensamoun et Perray 2014) et ce, d’autant plus
 114 Réseaux n° 189/2015

que l’affaire PRISM a renouvelé la réflexion sur les législations spéciales de

lutte contre le terrorisme (qui font exception aux libertés publiques), comme
le PATRIOT Act aux États-Unis (Delmas-Linel, 2014) et celle sur la création
d’un cloud souverain européen.

Enfin, le cloud pose la question de la libre disposition des données mises dans
le nuage. Le client doit en effet pouvoir conserver la maîtrise des données
stockées. Il doit également pouvoir les récupérer sans contrainte, y compris
s’il change d’opérateur. Or il apparaît que le droit à la portabilité de l’article 18
de la proposition de règlement ne saisit pas tous les enjeux de la question.
La disposition « confère à la personne concernée un nouveau droit, le droit
à la portabilité des données, c’est-à-dire celui de transmettre des données
d’un système de traitement automatisé à un autre, sans que le responsable du
traitement ne puisse y faire obstacle. À titre de condition préalable et pour
améliorer l’accès des personnes physiques aux données à caractère person-
nel les concernant, il prévoit le droit d’obtenir ces données du responsable
du traitement dans un format électronique structuré et couramment utilisé. »
Non seulement il conviendrait d’imposer la restitution des données en l’état,
mais aussi l’interopérabilité entre les services, sur le modèle de la propriété
intellectuelle, pour éviter tout risque de dépendance technologique à l’égard
de son prestataire et, partant, de perte de contrôle sur ses données. Pour autant,
il n’est pas certain que la loi soit le vecteur idoine pour livrer de telles préci-
sions, compte tenu de l’hétérogénéité des pratiques de cloud computing.
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

La législation peine, on le constate, à appréhender ces nouveaux usages qui
mettent à l’épreuve ses principes fondamentaux tant pour ce qui concerne les
fondements de la législation protectrice des données personnelles que pour les
techniques de légistique, c’est-à-dire l’art de fabriquer la loi. La diversité et la
profusion des pratiques et des opérateurs, le caractère techniquement évolutif
et transnational de ces services imposent de mobiliser d’autres instruments, de
diversifier les modes de régulation.

DIVERSIFIER LES MODES DE RÉGULATION

Il est désormais recommandé de développer des modèles de comportement

respectueux de la protection des données à caractère personnel en encoura-
geant le recours à la norme technique, ainsi que la diffusion de bonnes pra-
tiques, qui vont dans le sens d’une responsabilisation des différents opérateurs.
 Cloud computing et big data115

tout en respectant les cycles courts d’innovation qui caractérisent ces nou-
veaux services.

Développer le recours à la norme technique

Les risques générés par les traitements massifs de data, ainsi que par la perte
de contrôle des données en cas d’externalisation des services impliquent de
réfléchir à des moyens techniques visant à responsabiliser les opérateurs et à
asseoir la confiance des utilisateurs dans ces nouveaux services. Le recours
à la norme technique est une des voies permettant d’assurer la promotion de
cette autorégulation. Pour ce faire, la norme technique peut intervenir à diffé-
rents niveaux.

Le premier axe consiste à inciter l’opérateur à agir ex ante, en encourageant

le recours au principe du Privacy by Design (PbD). Ce principe promeut le
respect de la vie privée dès la conception et tout au long du cycle de vie des
logiciels et des services (Loiseau, 2012), en intégrant la norme juridique dans
la norme technique. Cette solution est particulièrement encouragée par les
autorités de régulation (Falque-Pierrotin, Griguer et Mossé, 2014), à l’image
des autorités européennes qui font du privacy by design un « principe fonda-
mental de la protection des données » qu’elles consacrent dans leur projet de
réforme du droit européen relatif à l’échange et à la protection des données à
caractère personnel. Ainsi, l’article 23 de la proposition de règlement dispose
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

que « 1. Compte étant tenu des techniques les plus récentes, des connaissances
techniques actuelles, des meilleures pratiques internationales et des risques
représentés par le traitement des données, le responsable du traitement et le
sous-traitant éventuel appliquent, tant lors de la définition des objectifs et des
moyens de traitement que lors du traitement proprement dit, des mesures et
procédures techniques et organisationnelles appropriées et proportionnées,
de manière à ce que le traitement soit conforme aux prescriptions du présent
règlement et garantisse la protection des droits de la personne concernée,
notamment en ce qui concerne les principes établis à l’article 5. La protec-
tion des données dès la conception tient compte en particulier de la gestion
du cycle de vie complet des données à caractère personnel, depuis la col-
lecte jusqu’à la suppression en passant par le traitement. Elle est systéma-
tiquement axée sur l’existence de garanties procédurales globales en ce qui
concerne l’exactitude, la confidentialité, l’intégrité, la sécurité physique et la
suppression des données à caractère personnel. Une fois que le responsable
 116 Réseaux n° 189/2015

du traitement a procédé à une analyse d’impact relative à la protection des

données, conformément à l’article 33, les résultats sont pris en compte lors de
l’élaboration desdites mesures et procédures. »

Ce principe est particulièrement encouragé dans le cadre des traitements big

data, comme en atteste la déclaration de la 36e conférence internationale des
délégués à la protection des données personnelles de juillet 2014, laquelle
prévoit que les entreprises s’engagent à développer et à utiliser les technolo-
gies big data conformément aux principes du PbD. Il s’agirait ainsi d’offrir
un avantage concurrentiel aux entreprises ayant recours au big data en éta-
blissant par là même une relation de confiance avec les utilisateurs de leurs
services. Les critiques sont toutefois nombreuses concernant ce procédé. On
s’interroge notamment sur les critères à retenir pour définir la protection des
données  : comment définir la privacy ? Quelle serait l’autorité compétente
en la matière ? Ou encore à propos de la force normative de ce principe :
quelle garantie ? Quelle sanction ? Sans évoquer les doutes qui existent quant
à l’effectivité d’un tel instrument – que l’on peut qualifier pour l’heure de
« marketing » – concernant la protection réelle des usagers (sur la promotion
d’un Privacy by Using, voir Rallet, Rochelandet et Zolynski, 2015).

Face au risque important de ré-identification possible grâce aux techniques de

big data, une seconde voie technique consisterait à promouvoir une solution
ex post grâce à une anonymisation des données garantie par l’intervention
d’un tiers certificateur. Dans la mesure où les procédures d’anonymisation
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

ne sont pas infaillibles, ce tiers de confiance serait alors chargé de vérifier
qu’aucun traitement n’est contraire aux obligations légales. Tel est également
le sens de certaines propositions formulées pour encourager la mise en place
de réseaux de contrôle quant à la garantie de protection des données person-
nelles dans le cadre du développement de ces nouveaux services (CNNum,
rapport sur la neutralité des plates-formes, 2014).

Plus généralement, certains envisagent d’imposer la réalisation d’une « étude

d’impact de vie privée » lors de la mise en place de ces différents services
(Alix, 2014), étude dont on pourrait demander la diffusion à l’image des obli-
gations existant en matière de responsabilité sociale et environnementale à la
charge de certaines sociétés. Il s’agirait de promouvoir un principe de transpa-
rence et de fiabilité que nombreux appellent désormais de leurs vœux. La dif-
fusion d’une telle information permettrait de comparer les différents services
quant à leur impact en termes de protection des données personnelles et, ainsi,
 Cloud computing et big data117

de faire jouer la concurrence entre eux à partir de cet input, ce qu’encouragent

les autorités de régulation des données personnelles européennes comme la
CNIL française ou le groupe de l’article 29 au niveau européen. Cela rejoint
une deuxième démarche recherchant également à responsabiliser les opéra-
teurs et à assurer la confiance des utilisateurs de leurs services qui consiste,
plus globalement, à encourager la diffusion de bonnes pratiques.

Promouvoir la diffusion de bonnes pratiques

La diversité des pratiques et l’évolutivité des services et des modèles d’af-

faires, le caractère ubiquitaire des données échangées et les interrogations
sur la loi applicable que suscite la localisation des données, les doutes quant
au statut de la donnée et à son contrôle que ces nouveaux usages soulèvent
conduisent à encourager le recours à la co-régulation. On assiste désormais à
la promotion de bonnes pratiques pensées par les acteurs du secteur en asso-
ciation avec les autorités de régulation, afin d’assurer un encadrement idoine
des services concernant leur impact sur la protection des données à caractère
personnel.

On pourrait a priori penser que le contrat, grâce à sa souplesse et à son adap-

tabilité aux besoins de la pratique, serait un instrument adapté pour définir ces
règles du jeu entre opérateurs et utilisateurs. Il s’agirait ainsi de prévoir les
conditions spécifiques relatives au traitement des données lors de la formation
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

de l’accord et celles encadrant la restitution des données à la fin de la relation
contractuelle. Si tel peut être le cas pour les offres de cloud négociées entre
deux parties en situation d’égalité (Seligmann, 2013) – ce qui semble être en
pratique très peu fréquent pour l’heure, compte tenu de la domination de cer-
tains acteurs sur le marché –, la difficulté se pose en revanche pour les offres
de cloud standardisées ainsi que pour les traitements big data.

S’agissant des offres de cloud standardisées en effet, les contrats sont bien
souvent en réalité imposés à l’utilisateur par l’opérateur en position de domi-
nation économique et technologique (Dubois et Hellendorff, 2013). Les auto-
rités de régulation ont rapidement stigmatisé le risque suscité par ces contrats
qualifiés alors de contrats d’adhésion, tant en ce qui concerne l’utilisateur,
petite ou moyenne entreprise (contrat B to B), que pour l’utilisateur consom-
mateur (B to C). Afin de résoudre cette asymétrie préjudiciable à l’utilisateur,
la CNIL et la Commission européenne ont encouragé la rédaction de modèles
 118 Réseaux n° 189/2015

de contrat-type, élaborés en collaboration avec les parties prenantes, afin de

garantir l’adoption de solutions contractuelles sûres et équitables pour l’utili-
sateur, notamment en ce qui concerne l’encadrement du traitement des don-
nées personnelles. La politique de la CNIL française va clairement dans ce
sens, comme en atteste sa recommandation pour les entreprises ayant recours
à ces services (CNIL, 2012). Quant à la Commission européenne, qui cherche
à exploiter « le potentiel de l’informatique en nuage » dans le cadre de son
agenda numérique pour l’Europe, elle entend désormais assurer la confiance
de ces utilisateurs dans les services de cloud computing. Elle part du constat
selon lequel le questionnement relatif à la protection de leurs données est sou-
vent le principal frein à l’utilisation de ces services (ce qui justifie pour partie
le projet de réforme actuel ?). Elle considère en outre qu’une standardisa-
tion des clauses des contrats de service de cloud computing faciliterait dans
le même temps les échanges au sein de l’Union européenne en permettant à
un prestataire d’utiliser les mêmes clauses dans les différents États membres.
La Commission entend donc promouvoir des mécanismes de certification,
l’élaboration d’un code de conduite et l’élaboration d’un référentiel pour les
SLA, à l’image des lignes directrices sur les accords de niveau de service dans
les contrats d’informatique en nuage publiés en juillet 2014 (Cloud Service
Level Agreement standardisation guidelines) qui permettent d’appréhender le
niveau de service concernant la gestion des données, notamment personnelles
(Fauvarque-Cosson, 2014). Les autorités de régulation cherchent ainsi à pro-
mouvoir une nouvelle approche régulatoire en associant la concertation et les
outils de mise en conformité (Falque-Pierrotin, 2014).
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

Les mêmes difficultés se posent également s’agissant de l’encadrement
contractuel des services big data qui présente les mêmes risques d’asymétrie
entre le responsable du projet big data et les organismes de collecte et de trai-
tement des données ( Alix, 2014). Dès lors, le recours aux bonnes pratiques
devrait être ici encore encouragé. Compte tenu des risques accrus suscités par
ces traitements massifs quant à la protection des données personnelles, divers
principes devraient être consacrés pour garantir la loyauté des pratiques dans
le respect des droits des divers acteurs, tout en assurant l’adéquation de ce
type de norme avec la forte évolutivité des outils proposés. Tel est le sens des
recommandations émises par le Conseil National du numérique dans son rap-
port sur la neutralité des plates-formes (CNNum, 2014). La promotion de ces
bonnes pratiques permettrait d’imposer l’adoption de standards minimums
d’information relatifs aux pratiques des opérateurs et au fonctionnement de
leurs services (notamment concernant leur algorithme prédictif), ainsi que
 Cloud computing et big data119

pour ce qui relève des garanties offertes à l’usager concernant la maîtrise de

ses données (information sur les usages secondaires de données, recours aux
Dashboard, existence d’un droit de contrôle de l’usager, transparence accrue
des marchés d’échanges d’information). De surcroît, il serait souhaitable de
promouvoir une obligation de loyauté des opérateurs ayant recours au trai-
tement big data, tel que le préconise le rapport du Conseil d’État (Conseil
d’État, 2014, proposition n° 3) ; la violation de cette obligation, du fait d’un
comportement contraire à la diligence du professionnel du secteur et visant à
vicier le comportement de l’utilisateur, conduirait à la sanction de l’opérateur.
La transparence et la loyauté des pratiques seraient garanties par le recours à
la réglementation précisée par la soft law, permettant ainsi son adaptabilité à
la diversité et à l’évolutivité des usages en la matière.

Le constat est désormais unanime : il est indispensable de promouvoir une

éthique des données, en associant principes d’innovation et de précaution
(Fauvarque-Cosson, 2014), afin de garantir la pérennité de ces nouveaux
usages et marchés qui reposent sur la confiance des utilisateurs (Alix, 2014 ;
Mayer-Schönberger et Cukier, 2014). Même si les différents modes de
régulation peuvent présenter des limites importantes en termes d’efficacité
(Rochelandet, 2010), il faut désormais promouvoir un maillage de plusieurs
instruments pour associer, conjointement et non de façon alternative, autoré-
gulation, corégulation et réglementation conformément aux préceptes de la
« Smart regulation » promue depuis quelques années par les autorités euro-
péennes (Commission européenne, 2010). L’encadrement de l’exploitation
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

des données dans le cadre de pratiques big data et de cloud computing pourra
ainsi se bâtir sous une forme réflexive. Ce droit agile devrait permettre de
garantir la confiance des utilisateurs et la loyauté des opérateurs, propres à
stimuler la saine concurrence entre les différentes formes de services, sources
d’innovation.
 120 Réseaux n° 189/2015

RÉFÉRENCES

ALBRIEUX S., BENSAMOUN A., PERRAY R. (2014), « Cloud computing et don-

nées personnelles », in N. MARTIAL-BRAZ (dir.), La proposition de règlement euro-
péen relatif aux données à caractère personnel : propositions du réseau Trans Europe
Experts, Paris, Société de Législation Comparée-Trans Europe Experts, p. 237.
ALBRIEUX S. (2014), « Réflexions autour de la réversibilité et de la qualification
du prestataire de cloud », in B. FAUVARQUE-COSSON, C. ZOLYNSKI (dir.), Le
cloud computing, l’informatique en nuage, Paris, Société de Législation Comparée,
vol. 22, p. 117.
ALIX P. (2015), « Le big data à l’épreuve du droit », in Livre collectif pour les 10 ans
de l’Association française des correspondants à la protection des données person-
nelle, AFCDP, forthcoming 2015.
BENSAMOUN A., ZOLYNSKI C. (2014), « Big data et privacy : comment concilier nou-
veaux modèles d’affaires et droits des utilisateurs », Les Petites Affiches, n° 162-164, p. 8.
CNIL (2012), Recommandation pour les entreprises qui envisagent de recourir à des
services de Cloud computing, en ligne : http://www.cnil.fr/fileadmin/images/la_cnil/
actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_
des_services_de_Cloud.pdf.
Commission européenne (2010), Une réglementation intelligente au sein de l’Union
européenne, COM(2010) 543 final.
Communication de la Commission au Parlement européen, au Conseil, au Comité
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

économique et social européen et au Comité des régions (2012), Exploiter le potentiel
de l’informatique en nuage en Europe, COM(2012) 529 final.
Conseil d’État (2014), Numérique et droits fondamentaux, Paris, La Documentation
française.
Conseil national du numérique (2014), Avis sur la neutralité des plates-formes, réunir
les conditions d’un environnement numérique ouvert et soutenable, en ligne : http://
www.cnnumerique.fr/wp-content/uploads/2014/06/CNNum_Rapport_Neutralite_
des_plateformes.pdf.
DELMAS-LINEL B. (2014), « Enjeux sociétaux : cloud computing, nouveau prisme
des libertés publiques et des souverainetés nationales ? », in Le cloud computing,
l’informatique en nuage, Paris, Société de Législation Comparée, vol. 22, p. 97.
DUBOIS N., HELLENDORFF C. (2013), «  La protection des données et le cloud
computing », Revue Lamy Droit de l’Immatériel, n° 98, p. 12.
FALQUE-PIERROTIN I. (2014), « Introduction », in Le cloud computing, l’informa-
tique en nuage, op. cit., Paris, Société de Législation Comparée, vol. 22, p. 25.
 Cloud computing et big data121

FALQUE-PIERROTIN I., GRIGUER M. et MOSSÉ M. (2014), « Comment gagner

la confiance des individus à l’ère du Big data ? », Cahiers de droit de l’entreprise,
n° 6, novembre, entretien n° 6.
FAUVARQUE-COSSON B. (2014), « Cloud computing, protection des données per-
sonnelles et nouvelles pratiques contractuelles », Les Petites Affiches, n° 162-164, p. 41.
FOREST D. (2014), « Le Big data, 3 questions », Semaine juridique éd. Entreprises, 138.
Groupe de l’article 29 (2013), « Opinion 03/2013 on purpose limitation », 00569/13/EN.
Groupe de l’article 29, « Déclaration commune des autorités européennes 
de protec-
tion des données 
réunies au sein du groupe de l’article 29 », 16 décembre 2014, en
ligne : http://europeandatagovernance-forum.com/pro/fiche/quest.jsp;jsessionid=OBs
dNUoy0HFjFiN5UFR6txKQ.gl1.
KROES N. (2013), « Big data for Europe », Speech/13/893, en ligne : http://europa.
eu/rapid/press-release_SPEECH-13-893_en.htm.
MARINO L. (2013), « Le big data bouscule le droit », Revue Lamy Droit de l’Imma-
tériel, n° 99, p. 13.
LATREILLE A., ZOLYNSKI C., « Big data et protection des données à caractère
personnel », in La proposition de règlement européen relatif aux données à caractère
personnel, Paris, Société de Législation Comparée-Trans Europe Experts, p. 262.
LOISEAU G. (2012), « De la protection intégrée de la vie privée (Privacy by design)
à l’intégration d’une culture de vie privée », Légipresse, p. 712.
MAYER-SCHÖNBERGER V., CUKIER K. (2014), Big data. La révolution des don-
nées est en marche !, Paris, Robert Laffont.
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)

RALLET A., ROCHELANDET F., ZOLYNSKI C. (2015), « De la Privacy by Design
à la Privacy by Using : regards croisés droit/économie », ce numéro.
ROCHELANDET F. (2010), Économie des données personnelles et de la vie privée,
Paris, La Découverte, coll. « Repères ».
SAUVÉ J.-M. (2014), « Ouverture », in Le cloud computing, l’informatique en nuage,
Paris, Société de Législation Comparée, vol. 22, p. 9.
SELIGMANN G. (2013), « Cloud computing, big data : nouveaux risques, nouvelles
réponses », Expertises, p. 329.
Vocabulaire de l’informatique (2014), avis, JORF 22 août 2014, p. 13972.
THE WHITE HOUSE (2014), « Big data: seizing opportunities, preserving value »,
Washington, en ligne  : whitehouse.gov/sites/default/files/docs/big_data_privacy_
report_may_1_2014.pdf.