Le potentiel de la data à l’ère numérique : opportunités et risques pour les entreprises

A l’ère numérique, comment gérer la data (recueil, exploitation, distribution) en entreprise ?

A l’occasion du Forum ROOMn organisé à Deauville, trois experts ont apporté leur témoignage sur l’exploitation des données qu’il est nécessaire d’encadrer. Mais les flux deviennent de plus en plus difficiles à maîtriser avec l’essor du big data.

Juridique : vers la patrimonialisation des données ?

Alors que le nouveau règlement européen sur la protection des données personnelles pourrait apparaître d’ici fin 2015 / début 2016, ce « pétrole du XXième siècle » est en tout cas une mine d’or pour les cabinets d’avocats spécialisés : patrimonialisation des données, droit à l’oubli, encadrement de l’usage des données…

En France, la CNIL joue un rôle central dans les autorisations d’exploitation des données. Diane Mullenex, avocate du cabinet Ichay & Mullenex, considère qu’il faut compter « entre 7 et 8 mois » pour obtenir un avis informel à partir d’une requête personnalisée…Ce qui peut se révéler long pour enclencher des projets innovants en entreprise voire désastreux pour des start-up qui cherchent à prendre position rapidement sur le marché…

« Il existe différentes façons de travailler le dossier. Avec un regard sur une dizaine de pays en Europe, [le passage à la CNIL] n’est pas le plus simple », considère l’avocate. Sachant que l’enjeu majeur pour l’entreprise est de « rester compétitif ».

Dans sa prise de parole, Diane Mullenex considère néanmoins que l’arsenal juridique en France est « très claire pour un traitement juste et proportionnel des données personnelles ». Mais de nouveaux angles sont explorés comme le droit à l’oubli (« quel équilibre entre le droit à l’info et l’effacement de données sur le Web ? »).

Diane Mullenex évoque le cas de Max Mosley vs Google. Depuis 2008, l’ancien patron de la fédération mondiale de Formule 1 cherche à effacer toutes les traces de ses orgies particulières diffusées sur le Web dévoilées par la presse à scandale britannique et multiplie les actions contre le groupe Internet pour parvenir à ses fins (y compris en France).

En janvier dernier, Max Mosley serait parvenu à transiger avec Google la veille d’une audience décisive au Royaume-Uni. Un premier bras de fer judiciaire avait été gagné en 2008 contre le journal News of the World à l’origine des révélations sulfureuses.

Une autre décision plus récente qui a fait jurisprudence au Royaume-Uni a attiré l’attention de l’avocate spécialisée dans les questions numériques : le droit à la réparation d’un préjudice non pécuniaire pour exploitation de data (dont du celles du Web surfing) a été entériné. « Si on reconnait la patrimonialisation des données, on peut la commercer« , considère Diane Mullenex.

C’est un nouveau risque juridique à peser pour les start-up tentées de monter un business autour de l’exploitation des données individuelles.

Stéphane Omnes (Adeo Services) : « Non aux prestataires incapables de géolocaliser les données en Europe »

Il y a un an, Stéphane Omnes prenait les fonctions de DPO (data protection officer) chez Adeo Services.

Cette holding de gestion d’un quinzaine d’enseignes (dont Leroy Merlin, Bricoman ou Zodio) appartient à la famille Mulliez  (propriétaire d’Auchan) : 70 personnes intégrées dans la structure mais 80 000 collaborateurs en prenant l’ensemble des 30 entreprises autonomes présentes dans 12 pays.

Cet ancien RSSI explique au forum ROOMn qu’il a rencontré un incident sécurité de type intrusion sur un site e-commerce. « Cet élément a déclenché une discussion en interne vis-à-vis de la CNIL : fallait-il émettre un data breach car il y avait un risque de propagation de données ? »

Stéphane Omnes se montre finalement rassurant : « Nous avons été assez réactif dans le traitement de l’incident qui a été contingenté rapidement et efficacement. »

Une leçon pour la suite ? « On a discuté avec la direction marketing. Ils sont maintenant pro-actifs. Ils m’ont même demandé un rapport pour établir les conditions d’exploitation des données dans le cadre d’un partenariat avec Facebook Connect. »

A propos de la gestion des traitements des données, le DPO considère qu’il faut « délimiter la gouvernance et établir la notion de transparence » vis-à-vis des clients mais aussi vis-à-vis des partenaires extérieurs. « J’ai participé à la refonte des CGU des sites institutionnels en intégrant davantage de transparence. »

Avec le nouveau cadre règlementaire sur les données personnelles, Adeo Services compte se désengager d’Amazon Web Services avec deux sites e-commerce, « faute de confiance dans le traitement des données ».

« Dorénavant, on éliminera tout prestataire incapable de géolocaliser les données dans l’espace européen », précise notre interlocuteur.

De plus, le groupe Internet de Jeff Bezos est clairement identifié comme un concurrent frontal de certaines enseignes.

Bernard Dupré : la RATP va accélérer sur l’open data

C’est un acteur de poids dans le secteur du transport public : la RATP doit préserver la confiance vis-à-vis des 12 millions de passagers au quotidien, tout en maintenant son statut de leader sur l’information relative aux réseaux de transport public en région parisienne.

« La confiance, c’est la nouvelle monnaie du XXIème siècle« , estime Bernard Dupré, Délégué Research & Innovation du groupe RATP. « Il existe une rumeur urbaine selon laquelle la RATP sait tout de vos transports. »

Elle s’est amplifiée avec la sortie du passe Navigo, dont la première version remonte à 2001. Et elle a été en partie réactivée par une décision de la CNIL.

En 2009, l’autorité en charge de la protection des données personnelles était intervenue pour rectifier le tir à propos d’une déclinaison commercialisée du passe (Navigo Découverte) qui ne garantissait pas complètement la confidentialité de l’usager.

Les autorisations d’exploitation des données voyageurs sont données au compte-goutte. Quitte à essuyer un refus.

« Nous avions demandé une utilisation des caméras de surveillance [déployés dans les métros] pour gérer les flux de voyageurs mais la Préfecture de police de Paris a bloqué cette initiative car il fallait respecter le principe de finalité absolue des caméras [la vidéo surveillance, ndlr]. »

Selon la RATP, une ouverture dans ce sens aurait permis d’aboutir à « un traitement anonyme des données pour des besoins analytiques mais agrégés pour mieux connaître les fonctionnements des transports urbains » (utile dans le cas de projet d’extension d’une ligne de métro).

A l’ère du big data, la RATP perçoit le potentiel de données susceptibles d’être exploitées par elle-même mais aussi des par tiers. « Pourquoi pas établir un partenariat avec les opérateurs télécoms pour établir des modèles statistiques pertinents », suggère Bernard Dupré.

Dans un cadre de gestion de flux de passagers, il existe un business de prestations commercialisées auprès des collectivités. « Mais ce n’est pas du trading de données personnelles », argue le représentant de la RATP.

En matière d’open data, le mouvement est enclenché. « La plupart des données en notre possession pour reconstruire une politique de parcours devront être libéralisées d’ici fin 2015, sauf les données en temps réel », évalue Bernard Dupré.

Ce qui devrait ravir les start-up mais aussi…Google. Ce dernier cas montre un déséquilibre flagrant en termes d’exploitation des données.

Si Google accède gratuitement aux données RATP pour alimenter Google Maps (signalement des stations de métro sur la cartographie interactive de Paris par exemple), le groupe public de transport doit verser plusieurs centaines de milliers d’euros au groupe Internet pour exploiter Google Maps sur ses applications (même s’il exploite en parallèle des données en provenance d’OnYourMap).

Cela va changer. « On va passer sur OpenStreetMap », révèle Bernard Dupré. Du nom de ce projet de cartographie collaboratif, à l’instar d’un Wikipedia pour les connaissances encyclopédiques.

(Crédit photo : Shutterstock.com – Droit d’auteur : watcharakun)