Sur quelle meilleure base de données travailler qu’Internet, pour faire du Big Data ? Forums, réseaux sociaux, sites Internet, coffres-forts virtuels ouverts à tous les vents…
En matière de santé, le volume de données est considérable. La tentation est à la mesure.
En l’état du droit, exploiter des bases de données à des fins autres que celles pour lesquelles elles ont été constituées s’avère délicat. D’autres obstacles se dressent sur le chemin du responsable de traitement.
Et en matière de données de santé, ne se muent-ils pas en interdiction pure et simple ?
L’article 8 de la loi Informatique et Libertés classe les données de santé dans la catégorie des données sensibles, dont le traitement est interdit. Pour déroger à ce principe, deux solutions : répondre aux conditions prévues pour les sept dérogations prévues par la loi ou recueillir le consentement préalable de la personne concernée.
La loi permet en effet de déroger au principe d’interdiction, lorsque les données à caractère personnel ont été rendues publiques par la personne concernée. Heureusement, car la seconde hypothèse parait presque obligatoirement exclue. Comment envisager sérieusement que le responsable d’un traitement de Big Data contacte individuellement chaque personne ?
L’affaire est réglée, me direz-vous.
Mais il n’en est rien.
Par délibération en date du 21 septembre 2011, la CNIL a en effet sanctionné d’un avertissement la société Pages Jaunes collectait des données à caractère personnel sur les réseaux sociaux, tels que Facebook, Twitter, Viadeo, LinkedIn, etc.
La Commission a considéré que l’information des personnes concernées n’exigeait pas « des efforts disproportionnés par rapport à l’intérêt de la démarche, compte tenu du nombre très important de personnes concernées et du coût disproportionné que supposerait une telle action« .
Faire du Big Data ne justifie pas, en soi, le non-respect de l’information préalable de l’intéressé
Quid alors du fait que les données ont été volontairement publiées ? L’article 8-II-4°, qui vise spécifiquement les données sensibles, ne trouvait pas à s’appliquer à l’espèce. Néanmoins, la délibération est précieuse pour l’interpréter :
« Dès lors, la société a été malavisée de présumer que les utilisateurs de réseaux sociaux sauraient faire une interprétation extensive [du terme indexation] pour y englober le prestataire d’un service d’annuaire.«
En clair, même si la politique de confidentialité du réseau social prévoit expressément l’indexation des données, cela ne signifie pas qu’elles peuvent être librement indexées et réutilisées par un tiers.
Comment faire alors ?
Une clause générale, un terme dont l’interprétation prête à confusion, une zone d’ombre sur un des éléments d’information prévus par la loi Informatique et Libertés et l’on s’approche de la faute et, corrélativement, de la sanction.
Une seule solution est envisageable, rédiger des documents contractuels clairs et précis à destination des utilisateurs, établir des partenariats avec les éditeurs de publication, de forum, de réseaux sociaux, démontrer que les conditions légales sont remplies et s’interdire toute réutilisation « sauvage« .