Académique Documents
Professionnel Documents
Culture Documents
La Découverte | « Réseaux »
Alexandra BENSAMOUN
Célia ZOLYNSKI
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)
DOI: 10.3917/res.189.0103
C
loud computing, big data : une révolution est en marche ! (Mayer-
Schönberger et Cukier, 2014)1 Notre société serait entrée dans une
nouvelle phase d’industrialisation comparable à celle qui a suivi la
fourniture d’électricité par les centrales et les data seraient l’uranium de cette
nouvelle ère économique. Les enjeux sont colossaux et les perspectives de
croissance phénoménales si l’on en croit les chiffres annoncés par la Com-
mission européenne. Le développement de ces nouveaux services permettrait
de consacrer un grand marché du numérique grâce aux gains de productivité
possibles pour les acteurs privés et publics. Le cloud computing, cette tech-
nologie renvoyant « au stockage, au traitement et à l’utilisation de données
contenues dans des ordinateurs distants et auxquelles on accède par inter-
net » (Communication de la Commission européenne, Exploiter le potentiel
de l’informatique en nuage en Europe, 2012) permet en effet aux entreprises
d’accroître considérablement leur capacité de stockage d’informations et de
données ; l’externalisation de ces services leur assurerait une plus grande
élasticité grâce à un système de paiement à la demande garantissant une
meilleure adéquation de l’usage de leur outil informatique avec leur modèle
d’affaires, sans compter la perspective de développement de nouveaux ser-
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)
1. Les auteurs remercient Alain Rallet pour les échanges constants tout au long de la rédaction
de cet article qui ont contribué à en améliorer la version finale.
106 Réseaux n° 189/2015
Toutes ces questions ne sont pas encore tranchées, alors que nombreux sont
ceux qui plaident en faveur de l’adoption du texte en 2015. Aussi, le caractère
dynamique et ubiquitaire de ces nouveaux usages, autrement dit la disjonction
temporelle et spatiale qui est de leur essence, impose-t-il de s’interroger sur la
nécessité de repenser la législation encadrant actuellement l’exploitation des
données à caractère personnel, afin de mieux appréhender la valeur d’usage
de la donnée qui en résulte.
REPENSER LA LÉGISLATION
La définition et les enjeux du big data sont facilement résumés grâce à for-
mule des « 5 V » : volume, variété, vélocité, véracité, valeur.
La difficulté, s’agissant des big data, tient au fait que ses caractères inhérents
semblent difficiles à concilier avec les exigences légales. Cette inadéquation
se révèle avec force dès lors qu’on tente une caractérisation fonctionnelle des
big data, lesquelles constituent, d’une part, une technique de concentration
dynamique et, d’autre part, une technique de recyclage de l’information.
Cette évolutivité empêche une prévisibilité du traitement big data et donc une
détermination de sa finalité dès la collecte. Comment anticiper une finalité pour
un traitement par définition toujours en mouvement, toujours changeant, et en
réalité fondé sur la masse ? La collecte devient automatique, déliée du traitement,
110 Réseaux n° 189/2015
lequel est encore inconnu. Dans ce cadre, les big data imposent de réfléchir
non plus au stade de la divulgation des données, mais à celui de leur exploita-
tion. En effet, il repose sur une utilisation secondaire des données : les données
sont exploitées à d’autres fins que celles pour lesquelles elles ont été produites.
La valeur des big data repose justement sur ces utilisations secondaires, sur la
multitude d’exploitations possibles de cet uranium de l’économie numérique,
sur le réemploi potentiel des données à l’avenir à des fins que l’on a pu ne pas
envisager lors de leur collecte (Mayer-Schönberger et Cukier, 2014). Aussi, en
pratique, la définition préalable des finalités spécifiques telle qu’exigée par la
législation est la plupart du temps impossible au moment où les données sont
recueillies. Le critère légal semble bien impraticable s’agissant des big data.
En définitive, la problématique juridique majeure posée par les big data tient
au fait que les données collectées vont être traitées pour des finalités qui n’au-
ront pas été – pas pu être – déterminées au moment de la collecte.
C’est sans doute l’une des voies à explorer pour la prise en compte efficace
du big data, mais elle sera compliquée à mettre en œuvre. Surtout lorsque la
donnée ne devient une donnée personnelle qu’à l’issue du traitement…
que l’exploitation des données en résultant ne serait pas risquée pour l’utili-
sateur. La réponse n’est pas d’évidence et elle dépend beaucoup des intérêts
qu’on souhaite privilégier. Mais le débat doit très certainement être tranché,
alors que la proposition de règlement en cours de discussion ne semble pas
prendre parti. Une solution consisterait certainement à distinguer selon la
nature des données appréhendées par le traitement des big data pour prendre
en compte leur caractère plus ou moins sensible et plus ou moins identifiant
pour l’utilisateur et ce, afin d’appliquer avec plus ou moins de rigueur un
principe de « finalité compatible avec le traitement initial » (Bensamoun et
Zolynski, 2013) qui devrait donc demeurer une notion à géométrie variable.
Un test d’évaluation de la compatibilité de l’usage pourrait consister en
l’examen d’un faisceau d’indices tels que la proximité de la finalité initiale
avec la finalité envisagée, le contexte de la collecte, la nature de la donnée et
les conséquences de son traitement pour l’individu, ou encore les garanties
mises en œuvre par l’opérateur comme l’anonymisation ou la pseudonymisa-
tion (avis du G29, 2013).
En définitive, il apparaît que le caractère dynamique des big data rend toute
définition trop figée inadéquate. Pour autant, une approche générale et très
souple pourrait quant à elle être source d’une importante insécurité pour les
opérateurs économiques, qui par ailleurs doivent réaliser de lourds investis-
sements pour bénéficier des potentialités qu’offrent les big data. Par consé-
quent, la réglementation ne saurait suffire à encadrer de tels usages et elle doit
être complétée par d’autres modes de régulation plus adaptés à la flexibilité de
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)
Cette diversité des pratiques se répercute sur le rôle des acteurs. En effet, les
nouveaux modèles tendent à brouiller les frontières, en particulier quant à
la qualité de responsable de traitement et à celle de sous-traitant (Albrieux,
2014). Le prestataire de cloud peut-il être considéré comme un responsable
(conjoint) de traitement ? La question n’est pas que théorique : elle condi-
tionne des obligations légales et un régime de responsabilité précis. Le projet
de règlement propose une telle qualification, mais sous réserve d’un accord
répartissant les obligations respectives des responsables (article 24), afin de
renforcer les obligations du prestataire en matière de protection des données
personnelles. Or la pratique contractuelle montre que la qualification est com-
plexe et bien souvent sujette à débat, notamment compte tenu du niveau, plus
ou moins élevé, d’intervention de l’opérateur de cloud dans le contrôle des
données de son client (Albrieux, Bensamoun, Perray, 2014).
D’ailleurs, les données circulent souvent dans plusieurs pays, par des trans-
ferts successifs d’un data center à un autre, sans que le client puisse nécessai-
rement en connaître le parcours. En outre, le lieu d’hébergement du cloud est
généralement multiple, et réparti sur plusieurs data centers, en France et/ou à
l’étranger, les contenus étant scindés et répliqués. Dans le cas du cloud public,
le client ne connaît donc pas avec précision le ou les lieux d’hébergement de
ses données. Ces caractéristiques, gages de disponibilité du cloud, soulèvent
la question du droit applicable aux données personnelles (sur les transferts
de données, voir Albrieux, Bensamoun et Perray 2014) et ce, d’autant plus
114 Réseaux n° 189/2015
Enfin, le cloud pose la question de la libre disposition des données mises dans
le nuage. Le client doit en effet pouvoir conserver la maîtrise des données
stockées. Il doit également pouvoir les récupérer sans contrainte, y compris
s’il change d’opérateur. Or il apparaît que le droit à la portabilité de l’article 18
de la proposition de règlement ne saisit pas tous les enjeux de la question.
La disposition « confère à la personne concernée un nouveau droit, le droit
à la portabilité des données, c’est-à-dire celui de transmettre des données
d’un système de traitement automatisé à un autre, sans que le responsable du
traitement ne puisse y faire obstacle. À titre de condition préalable et pour
améliorer l’accès des personnes physiques aux données à caractère person-
nel les concernant, il prévoit le droit d’obtenir ces données du responsable
du traitement dans un format électronique structuré et couramment utilisé. »
Non seulement il conviendrait d’imposer la restitution des données en l’état,
mais aussi l’interopérabilité entre les services, sur le modèle de la propriété
intellectuelle, pour éviter tout risque de dépendance technologique à l’égard
de son prestataire et, partant, de perte de contrôle sur ses données. Pour autant,
il n’est pas certain que la loi soit le vecteur idoine pour livrer de telles préci-
sions, compte tenu de l’hétérogénéité des pratiques de cloud computing.
© La Découverte | Téléchargé le 09/12/2022 sur www.cairn.info (IP: 41.82.168.24)
tout en respectant les cycles courts d’innovation qui caractérisent ces nou-
veaux services.
Les risques générés par les traitements massifs de data, ainsi que par la perte
de contrôle des données en cas d’externalisation des services impliquent de
réfléchir à des moyens techniques visant à responsabiliser les opérateurs et à
asseoir la confiance des utilisateurs dans ces nouveaux services. Le recours
à la norme technique est une des voies permettant d’assurer la promotion de
cette autorégulation. Pour ce faire, la norme technique peut intervenir à diffé-
rents niveaux.
S’agissant des offres de cloud standardisées en effet, les contrats sont bien
souvent en réalité imposés à l’utilisateur par l’opérateur en position de domi-
nation économique et technologique (Dubois et Hellendorff, 2013). Les auto-
rités de régulation ont rapidement stigmatisé le risque suscité par ces contrats
qualifiés alors de contrats d’adhésion, tant en ce qui concerne l’utilisateur,
petite ou moyenne entreprise (contrat B to B), que pour l’utilisateur consom-
mateur (B to C). Afin de résoudre cette asymétrie préjudiciable à l’utilisateur,
la CNIL et la Commission européenne ont encouragé la rédaction de modèles
118 Réseaux n° 189/2015
RÉFÉRENCES