chronique

Big data, entre menace et opportunité pour la banque

Avocat, De Gaulle Fleurance & Associés

Demain, Google pourrait proposer un crédit auto adapté au profil d'un internaute ayant effectué une recherche concernant l'achat d'un véhicule.

Il n’existe pas de définition officielle, et encore moins juridique, du big data. Pour tenter de faire simple, il s’agit de la collecte massive, et en temps réel, de données provenant de sources différenciées, et de leur analyse par des algorithmes dans le but d’en tirer des informations utiles et économiquement exploitables.

Ces données peuvent être structurées ou non structurées: lieux fréquentés, sites visités, messages postés sur des réseaux sociaux, transactions en ligne, données générées par des objets connectés, etc.

La bataille est lancée

Pour les acteurs du monde financier, la bataille du big data est lancée.

D’un côté, les banques sont assises sur un véritable trésor de guerre, que, par tradition et contraintes réglementaires, elles osent à peine exploiter. En effet, les banques savent tout de leurs clients et de leurs habitudes de consommation: retraits en distributeurs, achats par carte bancaire, transactions sur Internet, consultations de compte en ligne, ces opérations retracent les allées et venues de tout un chacun.

D’un autre côté, les nouveaux entrants font de l’usage du big data une arme de destruction massive, à commencer par les géants américains de l’internet, les fameux GAFA (Google, Apple, Facebook, Amazon), capables de désintermédier le secteur bancaire grâce à une meilleure connaissance client.

Demain, Google pourrait proposer un crédit auto adapté au profil d’un internaute ayant effectué une recherche concernant l’achat d’un véhicule. Déjà, Amazon commence à expérimenter le prêt aux PME, en tirant parti de sa base de données clients pour déterminer les entreprises éligibles.

©Jonas Roosens

Si le big data est vital dans notre économie numérique, il pose des problèmes juridiques fondamentaux qui pourraient en limiter significativement l’usage.

De nombreuses données agrégées dans le cadre du big data sont des données personnelles au sens du règlement général sur la protection des données du 27 avril 2016 ("RGPD", en vigueur à compter du 25 mai 2018). Les données seront qualifiables de personnelles, et donc sujettes à protection, dès lors que les personnes physiques concernées seront "identifiables".

Principe de finalité

La première difficulté liée au big data réside dans le respect du principe de finalité: un traitement ultérieur de données personnelles incompatible avec la finalité initiale de la collecte est illégal. À titre d’exception à cette règle, les traitements des données à des fins statistiques, historiques ou de recherche ne sont pas incompatibles avec la ou les finalité(s) initiale(s).

En général, la collecte et le stockage de données dans le big data ne répond à l’origine à aucune finalité particulière: c’est le croisement et l’analyse a posteriori des données qui leur donnent du "sens" et donc de la valeur.

Demain, Google pourrait proposer un crédit auto adapté au profil d'un internaute ayant effectué une recherche concernant l'achat d'un véhicule.

En pratique, les autorités de contrôle seront surtout attentives à la prévisibilité de la collecte: le traitement ultérieur dans le cadre du big data sera d’autant plus "compatible" avec la finalité initiale qu’il sera "prévisible" lors de la collecte initiale.

Toutefois, le RGPD semble autoriser les traitements ultérieurs incompatibles avec la finalité initiale dans l’hypothèse où l’intérêt légitime du responsable de traitement serait prépondérant sur les intérêts et les droits et libertés fondamentaux des personnes concernées.

Cet arbitrage devra être motivé dans une étude d’impact, que le RGPD rend obligatoire dans le cas de traitements "à risques" (notamment traitement de données "à grande échelle").

Le RGPD impose, dans tous les cas, que les données soient collectées et traitées de manière loyale et licite.

Or, dans le cadre d’un projet big data la vérification de la légalité de la collecte est une entreprise délicate, compte tenu de la multiplicité des sources des données et, par conséquent, des textes applicables, qui relèvent de régimes juridiques différents (surtout dans le domaine bancaire où les contraintes légales sont légions).

La licéité de la collecte suppose également le respect des contrats, des conditions générales et des droits de propriété intellectuelle attachés aux bases de données.

Du reste, les données ne peuvent être excessives au regard des finalités pour lesquelles elles sont collectées et traitées. Or, c’est précisément l’objet du big data que de collecter un maximum de données, qui pourraient souvent être qualifiées d’excessives.

Par Thibault Verbiest
Avocat associé - Partner de Gaulle Fleurance & Associés

Lire également

Messages sponsorisés