Big Data et RGPD pour les entreprises
Le phénomène Big Data révolutionne le fonctionnement des entreprises qui disposent désormais d’une multitude de données leur permettant d’optimiser leurs stratégies. Il est toutefois obligatoire de veiller à la sécurité des données collectées et traitées, ce qui implique le respect rigoureux du RGPD. Quels sont les enjeux et comment concilier ces deux notions ?
Si comme moi, vous êtes passionnés par la question, je vous invite grandement à participer à l’édition 2022 de Big Data Paris. Un salon durant lequel les acteurs les plus influents discutent des innovations et des tendances de tout l’écosystème Big Data et IA.
Définition : Qu’est-ce que le Big Data ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) définit le Big Data comme un volume colossal de données numériques générées par les nouvelles technologies, associé à des capacités de stockage continuellement étendues, ainsi que des outils d’analyse en temps réel innovants.
A l’échelle universelle, le Big Data est reconnu comme tel dès lors qu’il regroupe les 3V, à savoir : volume, vélocité et variété des données. Le traitement de ces dernières nécessite des approches technologiques sophistiquées afin qu’elles desservent les entreprises qui les exploitent dans le but de profiter d’un positionnement concurrentiel sur le marché auquel elles appartiennent.
Big data : l’explosion du volume des données
La démocratisation des nouvelles technologies occasionne une explosion sans précédent du volume de données informatiques générées. On parle parfois de “big bang de la donnée” dans la mesure où près de 90% des données existant à l’échelle mondiale ont été générées à partir des années 2010. Les statistiques font d’ailleurs état de 1 zettaoctet (Zo) de données en 2017, avant de passer à 64 Zo en 2020. On estime que ce volume devrait atteindre, voire franchir la barre des 180 Zo d’ici 2025.
La croissance exponentielle des données ne concerne pas uniquement leur volume. En effet, la nature-même des données brutes ne cesse de se diversifier, élargissant les perspectives d’exploiter des informations plus précises et plus riches au niveau des entreprises.
RGPD : définition et enjeux
Il faut déjà savoir que la notion de données personnelles englobe les informations relatives à une personne physique. Elles permettent de l’identifier directement (nom et prénoms) ou indirectement (numéro de téléphone, numéro client, voix…). On parle ensuite de traitement de ces données personnelles pour faire référence à toutes les opérations réalisées : collecte, extraction, modification, transmission, etc.
Malgré les opportunités de développement que le Big Data met à la disposition des entreprises, il génère également des risques. La protection des données doit de ce fait être considérée en priorité. C’est dans ce contexte que le Règlement Général pour la Protection des Données (RGPD) a été élaboré. Il définit le cadre juridique du traitement des données personnelles au sein de l’Union Européenne, en renforçant la Loi française Informatique et Libertés de 1978.
Le RGPD s’articule autour de cinq grands principes :
– La finalité : les informations ne peuvent être collectées que dans un but précis et légitime,
– La proportionnalité et la pertinence au regard de la finalité,
– La durée de conservation des données personnelles qui doit être définie,
– La sécurité et la confidentialité des données,
– Les droits des personnes.
Le recueil du consentement préalable de la personne n’est pas requis lorsque la collecte est effectuée pour un intérêt légitime, pour l’exécution d’un contrat ou d’une mission d’intérêt public, mais également lorsque les données sont rendues obligatoires par un texte légal. En-dehors de ces contextes ou et d’une situation d’urgence nécessitant de sauvegarder les intérêts vitaux d’une personne, il est obligatoire d’obtenir le consentement préalable.
Le non-respect des dispositions prévues dans le RGPD sont passibles de sanction. Selon la nature et la durée de la violation, l’entreprise risque une amende pouvant équivaloir à 4% de son chiffre d’affaires annuel mondial total de l’exercice précédent.
Big Data et RGPD : de nouveaux risques liés à la sécurité des données
Les entreprises fonctionnent en circuit ouvert dans la mesure où elles sont interconnectées avec des entités externes. La circulation des données entre différents serveurs les rend vulnérables aux piratages. Il y a des risques que les informations soient détournées puis exploitées à des finalités différentes de celles prévues lors de leur collecte. Cela porte naturellement préjudice aux personnes physiques propriétaires des données, mais aussi aux entreprises officiellement responsables de la collecte et du traitement des données en question.
RGPD : les nouvelles réglementations de l’UE
La Commission européenne ajuste les mesures communes afin de renforcer la cybersécurité. Les nouvelles dispositions prévoient la mise en place d’un conseil interinstitutionnel de cybersécurité afin d’optimiser la réactivité et la résilience des entreprises face aux risques informatiques.
En parallèle, il deviendra obligatoire pour les entreprises de définir un cadre de gouvernance rigoureux, d’établir une base de référence optimisant l’identification des risques et des mesures de riposte correspondantes. Tout incident devra être rapporté au Centre de cybersécurité (CERT-UE) jusqu’ici dénommé équipe d’intervention en cas d’urgence informatique.
Les nouvelles dispositions n’annulent pas les précédentes. Elles viennent plutôt les renforcer afin que les données traitées soient davantage protégées.
Big Data et RGPD : « Privacy By design »
L’application des principes prévus par le RGPD favorise automatiquement une gouvernance stratégique et conforme aux exigences légales. Le RGPD instaure d’ailleurs le principe de protection des données à caractère personnel dès la conception. On parle de Privacy by Design dont la mise en œuvre commence en amont de la collecte des données. Dans les faits, toute entreprise projetant d’intégrer le Big Data à sa stratégie de fonctionnement doit prévoir la sécurité des données qui seront collectées, stockées et traitées grâce à des dispositions techniques et logistiques compatibles avec les finalités prévues.
Les mesures préventives induites par le Privacy by Design visent à empêcher les collectes de données lorsqu’elles ne sont pas justifiées par des intérêts légitimes. Elles obligent également les entreprises à supprimer les données enregistrées dès qu’il n’y a plus de raison valable de les conserver dans les bases de données. Il est notamment important qu’aucun des algorithmes ne puisse automatiquement traiter les données si cela peut porter préjudice à la personne concernée.
En adoptant ces mesures, les entreprises réduisent considérablement les risques d’amende et les propriétaires des informations personnelles sont rassurés sur leur sécurité.
A l’ère du Big Data, il est de ce fait primordial que les entreprises veillent à la sécurité des données brutes mais également à celle des données traitées qu’elles collectent et stockent en continu. Le RGPD fixe justement un cadre réglementaire qui ne cesse d’évoluer.