carte blanche

L'innovation technologique dans le respect de la vie privée

L’actualité de l’épidémie Covid-19 met en lumière à quel point les conditions économiques peuvent changer rapidement. De nombreux secteurs auront besoin de se réinventer. L’innovation technologique jouera un rôle crucial pour créer de nouveaux modèles plus efficients.

Olivia Guerguinov est avocate au barreau de Bruxelles; Olivier Delangre est le CEO d'Amoobi. 

 

Intelligence artificielle, robotisation et données clients peuvent-ils révolutionner notre économie sans empiéter sur nos droits fondamentaux et libertés individuelles? Nous pensons que oui. Ces intérêts divergents mais légitimes de part et d’autre, à la fois économiques mais aussi sociétaux, peuvent être combinés de manière vertueuse à condition de mettre en balance les intérêts de l’entreprise avec ceux des individus dès le début et non à la fin (en réaction à des règlements).

L’utilisation de données anonymes ou anonymisées

Le Règlement sur la protection des données (RGPD) n’a pas d’autre vocation que l’instauration d’un climat de confiance. Précisons que le RGPD ne s’applique que s’il y a un traitement de données à caractère personnel. Les données anonymes ou rendues anonymes de telle manière que la personne concernée n’est pas ou plus identifiable ne sont donc pas concernées par le RGPD. D’où la tentation de "rendre les données anonymes" pour se soustraire aux règles de protection.

Intuitivement, une donnée devrait être considérée comme "anonyme" ou "anonymisée" lorsque tous les éléments identifiants ont été effacés, de telle manière qu’il n’est plus possible de la rattacher (directement ou indirectement) à une personne. Cependant la notion d’"anonymisation" est interprétée de manière plus souple dans le RGPD: sont considérées comme "anonymes" les informations qui ne contiennent plus aucun élément susceptible, au moyen d’un effort raisonnable, de servir à ré-identifier la ou les personnes concernées. Il précise que "pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés (que ce soit en coût, en temps ou en technologie disponible) par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement".

Définition sujette à interprétation

Cette définition "plus souple" de donnée "anonyme" ou "anonymisée" par le RGPD est cependant sujette à interprétation dans la pratique et pose question: est-ce qu’une donnée au départ à caractère personnel qui est collectée pour un laps de temps limité et ensuite automatiquement détruite à l’intérieur d’un système sans intervention humaine ni possibilité de l’intercepter tombe sous le champ d’application du RGPD? Est-il d’ailleurs même nécessaire d’appliquer dans un cas comme celui-ci l’ensemble des règles protectionnistes et garanties prévues par le RGPD? Comment déterminer concrètement si les moyens en place sont raisonnablement ou non susceptibles d'être utilisés pour identifier une personne?

Privacy by design ou comment concilier innovation technologique et vie privée

"Le RGPD offre l’occasion de démontrer que le droit et l’innovation sont deux choses compatibles."

Les acteurs technologiques doivent regagner la confiance du consommateur. Ceci implique que la protection des données du consommateur ne peut avoir une place de seconde zone mais doit guider les acteurs tout au long du développement de leurs produits ou services (de leur création à leur disparition).

Le RGPD offre l’occasion de démontrer que le droit et l’innovation sont deux choses compatibles. Ainsi, le RGPD adopte une nouvelle approche en termes de "privacy by design", soit la protection de la vie privée dès la conception. Ce principe vise à prendre en compte le respect de la vie privée et la protection des données dès le stade de la conception des produits ou services.

Le RGPD impose au responsable du traitement de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures appropriées (réduire à un minimum le traitement des données à caractère personnel, pseudonymiser les données à caractère personnel dès que possible, etc.), en tenant compte de la nature et des risques liés au traitement ainsi que de ses objectifs.

Raisonner en amont

Ceci implique pour les acteurs technologiques de raisonner en amont de la création du projet: si des données anonymes suffisent pour atteindre l’objectif (par exemple, élaborer des statistiques), cette approche doit être privilégiée (par exemple, utiliser une silhouette plutôt qu’une image). Si ce n’est pas possible, il convient de réfléchir dès le départ aux solutions techniques qui permettent d’anonymiser les données au stade de leur collecte.

Une approche à éviter au maximum est de concevoir le produit ou service et de réfléchir ensuite à la mise en place de solutions qui permettront d’anonymiser les données une fois collectées. Force est de constater que le législateur européen s’est contenté d’édicter des principes généraux plutôt que de s’adonner à l’élaboration de règles techniques, sans doute pour éviter de se voir confronté à "l’obsolescence de la norme juridique".

Les acteurs de l’innovation technologique doivent concilier leurs choix technologiques avec des principes qui sont aujourd’hui parfois encore mal compris et intégrés. Or, leur observation par ces derniers est essentielle pour réinstaurer un climat de confiance et peut constituer un vrai avantage compétitif: voilà un élément clé dans la création d’un cercle vertueux duquel, tant les entreprises et les consommateurs, sortiront gagnants.

Lire également