Recenser. Réutiliser. Valoriser.



Open Personal Data

Données individuelles : des hypothèses d’Open Personal Data

Quelques mois après l’ouverture de data.gouv.fr, on observe un déplacement du centre de gravité de la problématique Open Data vers les données générées par les utilisateurs.

Des données agrégées et globalisées peuvent être redistribuées sous les licences les plus permissives de l’Open Data alors même qu’elles ont été générées par des utilisateurs. Nous pensons par exemple aux données de paiement des CB, déjà valorisées par les principaux opérateurs du secteur eux-mêmes… Mais il s’agit de données qui ne peuvent être rattachées directement à des utilisateurs. Il existe néanmoins des hypothèses de données individuelles susceptibles de faire l’objet d’une démarche d’ouverture.

Licence « Open Personal Data » de Stock comprenant des Données Personnelles Anonymisées (LOPD-SA)

Licence « Open Personal Data » de Stock comprenant des Données Personnelles Anonymisées (LOPD-SA)

Open Personal Data : des données individuelles ouvertes anonymisées de manière irréversible

On peut définir une donnée individuelle ouverte comme une donnée générée par une personne physique rendue anonyme de manière irréversible et dont le recoupement avec d’autres données disponibles n’est pas susceptible de permettre l’identification de la personne à l’origine.

Il est donc possible de prévoir un enrichissement des données ouvertes de données individuelles objet d’une anonymisation irréversible. A titre d’exemple, on peut recenser les données de connexion remises par les opérateurs à Médiamétrie pour le calcul de l’audience de l’Internet mobile, objet d’un procédé d’anonymisation irréversible opéré sous le contrôle d’un tiers de confiance et validé par la CNIL.

Des données individuelles anonymisées de manière inversible soumises à un PRIVACY-LEFT

Pour se conformer au projet de règlement européen, il faudra également veiller à l’impossibilité de ré identification de la personne au gré des différents croisements réalisés sur les données. Le texte prévoit de prendre en compte l’ensemble ‘’des personnes susceptibles d’utiliser différents moyens pour identifier la personne à l’origine des traces collectées. ‘’

Il faudra donc distinguer au moins 2 régimes dans les données individuelles anonymes susceptibles d’être ouvertes, en fonction de la granularité (exemple échelle de localisation, existence de données socio-économiques sur les personnes) des informations disponibles et des possibilités de recoupement. Par exemple, l’association de données de localisation avec ses données individuelles (centres d’intérêt notamment) est susceptible de permettre l’identification de l’abonné.

Il y a donc des données individuelles susceptibles d’être ouvertes partiellement et qui sont soumises à un PRIVACY-LEFT.  Ces données conservent alors leur statut de données personnelles. La personne concernée dispose d’un droit de suppression des données et pourra exercer son Opt-Out : la demande d’opposition peut se faire à n’importe quel moment y compris lorsque le traitement a déjà été effectué. Le responsable du traitement doit donc être en mesure de retirer les données et les rendre inaccessible.

A l’inverse, conformément au projet considérant 23 du projet de règlement européen, il n’y a pas lieu d’appliquer les principes de la protection si les données ‘’ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable’’.  Les données à forte valeur ajoutée soumises à ce régime pourront enrichir l’Open Data et être distribuées sous les licences les plus permissives.

Mais la problématique de l’Open Data ne concerne pas uniquement les données personnelles comprises dans des données publiques ou des donnés individuelles anonymisées : elle peut parfois aussi concerner des données directement nominatives.

 Les données rendues volontairement publiques par les personnes concernées : un autre cas d’Open Personal Data

Dans une autre acceptation, on peut qualifier d’Open Personal Data l’ensemble des données des réseaux sociaux  que les personnes publient volontairement en accès libre sur Internet.

Que ce soit pour des raisons d’E-Réputation, de manque de maîtrise technique ou tout simplement, une nouvelle conséquence du paradoxe de la vie privée,  il faut constater à l’analyse des CGU de certaines plateformes d’hébergement, de partage et de publication de données personnelles que certaines données nominatives, parfois très précises, se retrouvent réutilisables sous un régime proche des données les plus ouvertes !

Le cas de réutilisation de ces sources de données externes par les Pages jaunes n’est pas isolé : de nombreux acteurs développent des agrégateurs de données personnelles afin de collecter et d’exploiter (directement ou indirectement) ces informations publiques sur les personnes.

Pour justifier leur démarche, les juristes des Pages Jaunes s’appuyaient sur une argumentation fondée sur la définition des informations publiques retenue dans les CGU des réseaux sociaux concernés par la collecte.

On peut déduire a contrario de l’avertissement de la CNIL aux Pages Jaunes  l’esquisse d’un cadre juridique pour le ’’ web crawl’’ et l’agrégation de ‘’données personnelles publiques’’ des internautes :

-          cette pratique semble réserver aux moteurs de recherche

-          il faut pouvoir garantir le droit d’opposition et récupérer les mises à jour (opt-out) effectuées sur le réseau social à l’origine de la collecte des données

-          les internautes n’étaient pas expressément informés de l’agrégation réalisée à partir de leur profil : il faut collecter un opt-in spécifique

 

Ici encore, pour les producteurs de bases de données CRM qui souhaitent enrichir la segmentation à partir des ’’informations publiques’’ de leurs clients publiées sur les réseaux sociaux, il semble plus pertinent d’utiliser des systèmes automatisés de collecte et de mise à jour des données personnelles et surtout de lever l’opt-in du client pour collecter ses informations publiques.

Par exemple, Facebook autorise la collecte des ‘’informations publiques’’ par un tiers pour les données collectées par une application ou via son programme de ''personnalisation instantanée '' proposé aux partenaires.

Ces données sont donc soumises au PRIVACY-LEFT à la personne concernée et de facto, à une licence de flux vis-à-vis de la plateforme à l’origine de la mise à disposition. Il semble que l’ensemble des acteurs de cette chaîne seront expressément concernés par la consécration du droit à l’oubli numérique dans l’article 17 du projet de règlement européen :

la personne responsable du traitement doit être en mesure d’informer les tiers de la demande de la personne concernée d’effacer tout lien/ ou copies/ reproductions si les informations ont été rendues publiques.

Comme pour les données individuelles objet d’une anonymisation irréversible, ces données personnelles rendues volontairement publiques dépendent donc largement de la politique d’ouverture déterminée par l’entreprise à l’égard de ses clients.

En matière de personal data ou d’open data, c’est donc finalement le secteur privé le principal concerné

 

 

Licence Creative Commons
Données individuelles : des hypothèses d’Open Personal Data de Thomas Saint-Aubin est mis à disposition selon les termes de la licence Creative Commons Attribution 4.0 International.
Les autorisations au-delà du champ de cette licence peuvent être obtenues à www.patrimoine-immateriel.fr.



Les commentaires sont fermés.