Algorithmes prédictifs & protection des données personnelles

Les algorithmes prédictifs constituent désormais une technologie incontournable qui soulève toutefois des questions.

Les enjeux en termes de protection des données à caractère personnel en sont la parfaite illustration. En effet, l’utilisation de technologies reposant sur des algorithmes prédictifs nécessite une exploitation de données, en vue d’effectuer des calculs statistiques et probabilistes permettant de prédire un comportement, d’émettre un diagnostic, d’anticiper une situation, etc. Or, seuls un recueil et une exploitation massive de données peuvent permettre d’obtenir des résultats concluants.

Si tout type de données peut avoir vocation à être traité dans ce cadre, en fonction du secteur économique concerné et de la finalité recherchée, les analyses prédictives faites à partir d’algorithmes nécessitent bien souvent l’utilisation de données à caractère personnel.

Or, diverses thématiques doivent être appréhendées et anticipées avant le déploiement d’une solution d’algorithmes prédictifs fondée sur l’analyse de données à caractère personnel ; une telle solution devant s’inscrire dans le respect des dispositions de la loi Informatique et libertés (1).

En premier lieu, le principe de finalité revêt une importance particulière. En effet, un traitement de données à caractère personnel ne peut être mis en œuvre que pour des finalités déterminées, explicites et légitimes, les données ne pouvant être utilisées pour des finalités ultérieures incompatibles avec la finalité initiale de collecte. Sur ce point, l’attention des éditeurs de solutions utilisant des algorithmes prédictifs doit donc être attirée sur la nécessaire vérification de la finalité de la collecte initiale des données ayant vocation à être utilisées dans le cadre desdites solutions prédictives, sous peine de pratiques constitutives d’un détournement de finalité.

En deuxième lieu, s’agissant du corollaire direct de ce qui précède, la collecte des données doit être loyale et licite, ce dont il résulte une nécessaire information préalable des personnes concernées sur les traitements de données à caractère personnel les concernant et pouvant être mis en œuvre, cette information devant comporter diverses mentions détaillées au sein de la loi Informatique et libertés, telles que la finalité du traitement, les destinataires des données, etc.

En effet, tout traitement de données doit par principe faire l’objet d’une information préalable des personnes concernées, voire d’un consentement de ces dernières, qui doivent par ailleurs disposer d’une possibilité d’exercer leurs droits d’interrogation, d’accès, de rectification et d’opposition au traitement de leurs données.

En troisième lieu, le principe de proportionnalité nécessite la vérification des points suivants :

• les données collectées doivent être pertinentes, adéquates et non excessives au regard de la finalité poursuivie. Aussi, seules les variables dont il peut être démontré, si besoin au moyen de calculs mathématiques et statistiques, qu’elles sont strictement nécessaires au modèle prédictif utilisé et à l’objectif recherché peuvent être collectées : une démarche de sélection et de rationalisation des données utilisées doit donc être menée ;
• la durée de conservation des données doit être proportionnée à la finalité poursuivie. En effet, le droit à l’oubli étant une préoccupation majeure, un juste équilibre doit être recherché entre la durée nécessaire de conservation des données et le délai à l’issu duquel elles doivent être supprimées, une conservation illimitée étant interdite ;
• les destinataires des données, c’est-à-dire les personnes pouvant y accéder, doivent être strictement justifiés. Les habilitations aux systèmes d’information et bases de données doivent donc faire l’objet d’une attention particulière afin de s’assurer que seules les personnes en ayant strictement besoin dans le cadre de leurs missions et fonctions peuvent effectivement accéder aux données traitées.

En quatrième lieu, l’utilisation de ces données à des fins d’analyse prédictive ne doit en aucun cas mener à une prise de décision produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité, sans intervention humaine et sans que la personne concernée ne soit mise à même de présenter ses observations.

En cinquième lieu, des formalités auprès de la Cnil devront être effectuées, le régime de formalités applicable dépendant notamment de la finalité poursuivie par le traitement mais également des données collectées à cette fin.

En sixième lieu, outre les aspects relatifs à la protection des données à caractère personnel, en fonction des secteurs d’activité concernés, la problématique du secret professionnel peut également se poser et devra être gérée (à titre d’exemple, la nécessité de tenir compte des impératifs liés au secret médical en matière de médecine prédictive).

En dernier lieu, il convient d’adopter une approche par les risques pour s’assurer que les principes de la loi sont respectés et que les mesures techniques et organisationnelles appropriées ont été prises pour protéger la sécurité et la confidentialité des données à caractère personnel. A cette fin, une étude d’impact sur la vie privée de tout nouveau projet doit être menée, la Cnil ayant utilement publié un guide à cet effet à l’attention des responsables de traitement.

C’est donc l’ensemble de ces principes et contraintes qu’il convient d’anticiper et de gérer, en amont de tout projet de déploiement de technologie fondée sur les algorithmes prédictifs, dès la conception de la solution, dans une approche dite de « privacy by design ».

Alain Bensoussan
Lexing Droit Marketing électronique

(1) Loi 78-17 du 6-1-1978.