Data : Risques éthiques et droit

Les risques éthiques découlant de l'utilisation de données sont nombreux : atteintes à la vie privée des personnes, discriminations dans l'accès à un produit ou un service ou encore biais statistique. Une approche assez simple de ces risques éthiques pourrait être de les analyser comme complétement distincts des risques légaux. L'adjectif « éthique » même renvoie à ce qui concerne la morale, c'est-à-dire un ensemble de règles de conduite considérée comme bonnes. On est alors loin du domaine du droit, composé uniquement des règles écrites et applicables au sein d'un territoire donné : la morale ne s'embarrasse ni d'écrits, les règles qu'elle dicte sont implicites, ni d'un territoire précis, plusieurs états pouvant avoir des règles de morale sensiblement proches en raison d'une culture ou d'un passé commun.

Dès lors, on serait tout naturellement amené assez rapidement à la conclusion que des risques éthiques, des risques qui concernent des atteintes potentielles à la morale, vont plus loin que la simple question de légalité d'un comportement.

Cependant, le Règlement Général de Protection des Données de l'Union Européennes (RGPD) est un texte juridique que la plupart des autres textes de lois et assimile le droit à la morale. En effet, ce texte encadre strictement les conditions de traitement de données à caractère personnel et créé notamment des obligation précises relatives aux types de données pouvant être traitées ou encore aux précautions devant être mise en oeuvre avant le lancement d'un nouveau projet qui ont pour effet d'obliger toute personne manipulant des données personnelles à prendre en compte les risques éthiques pour justifier de sa conformité juridique.

Données sensibles

Ainsi, le règlement créé une catégorie de données particulière, des données dites « sensibles », qu'il est, par principe, interdit de manipuler, à moins de satisfaire à des conditions très strictes (obtention d'un consentement explicite, obligation d'information renforcée, mesures de sécurité supplémentaires à mettre en place, etc.). Ces données sont celles relatives à « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » (article 9.1 du RGPD).

On comprend aisément pourquoi ces données sont davantage protégées : le but est soit de garantir le fonctionnement effectif de nos démocraties modernes en protégeant les données pouvant être sources de discriminations (opinions politiques, convictions religieuses ou philosophique, origine raciale ou ethnique, etc.) soit de protéger la vie privée des personnes, notamment en ce qui concerne leur vie intime (données de santé, orientation sexuelles, données biométriques, etc.).

Cette protection renforcée de ces types de données permet alors de prévenir bon nombre de risques éthiques, notamment ceux liés aux discriminations potentielles. Cependant, elle ne suffit pas, à elle seule, à garantir qu'aucun de ces risques ne se pose.

Analyse de risque

Afin d'expliquer pourquoi le RGPD intègre la plupart des risques éthiques possibles, il nous faut alors convoquer un autre grand principe issu de ce texte : la « Privacy by design » ou le respect de la vie privée par défaut.

Ce principe oblige toute personne physique ou morale à évaluer le risque associé à chaque traitement de données qu'il met en oeuvre. Cette évaluation du risque est toujours appréciée par rapport aux personnes concernées par le traitement : on n'évalue pas le risque pour l'entreprise mais bien le risque pour les « droits et libertés des personnes concernées ». Les droits et libertés en question ne sont pas ici limitativement énumérés, il convient donc de tous les prendre en compte. En fonction du risque identifié, cette évaluation pourra être plus ou moins poussée, jusqu'à, dans sa forme la plus complexe, constituer une « Étude d'impact sur la Vie Privée », processus long et fastidieux dont l'objectif est de chercher à diminuer au maximum le risque associé au traitement.

Cette analyse de risques est donc loin d'être anodine et ne se limite pas à la seule identification des risques pour la vie privée des personnes. La CNIL, par exemple, a indiqué à de nombreuses reprises que certaines hypothèses d'utilisation des données, par exemple faire dépendre l'accès à un service à la localisation du lieu de résidence, étaient susceptibles d'enfreindre les règles de protection des données. On peut donc en conclure que l'ensemble des risques d'éthiques liés à la data, doivent être pris en compte lorsque le projet suppose l'utilisation de données à caractère personnel car il s'agit d'une obligation légale.

Principe de prudence

Demeurent, néanmoins, les données qui ne sont pas à caractère personnel. Pour celles-ci, hors du champ d'application du RGPD, les risques éthiques existent encore, bien qu'ils soient plus limités. Ainsi, s'il est moins probable que l'utilisation de data aboutisse, par exemple, à les pratiques discriminatoires, certains événements peuvent toujours représenter des sources de risques éthiques : biais statistiques, confusion entre corrélation et conséquence entre plusieurs jeu de données, ou encore altération de la donnée. L'utilisation de données commande, même de données non personnelles, commande une prudence constante afin de pouvoir éviter ces écueils.

Cette contribution a été fournie par Paul Ouvrard Arnaud, Data protection officer, agence Dentsu Aegis