Quel assureur ne rêverait pas de disposer de données personnelles précises sur son client afin de mieux calibrer sa tarification ? Quel responsable marketing ne souhaiterait pas bénéficier d’informations sur les habitudes précises de consommation de son client afin de mieux répondre à ses attentes ? Quel responsable de renseignement n’a pas un jour imaginé pouvoir avoir les moyens techniques et juridiques lui permettant de capter et d’analyser l’ensemble des flux de données privées ? Quel policier n’a pas souhaité utiliser les données ou échanges enregistrés sur les réseaux sociaux pour confondre un fraudeur ou un suspect ?
Encore impossible il y a vingt ans, cette réalité – qui se fonde sur l’utilisation et l’exploitation du big data – n’est plus du domaine de l’utopie. En revanche, du fait de l’arsenal juridique de protection des données personnelles que nos démocraties ont mis en place, l’utilisation effective de ces données sans consentement de l’individu est très largement encadrée.
Édouard Geffray commence par nous décrire le cadre juridique qui résulte de l’adoption récente du règlement européen sur la protection des données personnelles. Tout l’enjeu de ce texte vise à créer les conditions de la confiance des individus, tout en assurant le développement pérenne de l’innovation dans le domaine numérique. Le texte renforce la place centrale de la personne en matière de protection de ses données et impose le respect de la territorialité de la personne quel que soit le lieu d’établissement des organismes exploitant ses données. À cette nouvelle règle se rajoute une forte contrainte de résultat : faute d’appliquer correctement le règlement, les entités concernées pourront subir une sanction correspondant à 4 % de leur chiffre d’affaires.
Les données personnelles sont dorénavant facilement organisées, exploitées et accessibles. Elles constituent donc une mine d’informations pour les acteurs de la grande distribution, pour les agences de renseignement ou même pour les truands qui cherchent ensuite à monnayer leurs informations. Selon Jean Donio, en dépit des efforts menés par la Cnil pour protéger la sphère privée, l’évolution permanente et rapide des technologies ne permet pas de protéger correctement nos concitoyens et nos entreprises. Seule une adaptation des comportements individuels – par la mise en œuvre de précautions élémentaires – est susceptible de protéger l’individu. Cela passe notamment par une gestion très précautionneuse des mots de passe, par un filtrage des messages douteux, par une utilisation des clefs de cryptage.
Patrick Thourot insiste sur les incohérences et l’obsolescence du dispositif juridique français mis en place autour de la Cnil, dans un contexte où la technologie et les comportements des consommateurs/citoyens évoluent plus vite que les textes. Ainsi, alors que la Cnil interdit en principe le recueil du numéro de carte de sécurité sociale ou de la carte nationale d’identité, l’ensemble des assureurs santé complémentaire détiennent ce numéro. Il estime qu’à côté des règles générales, de nombreuses exceptions ont été définies et autorisées, ce qui fragilise la position de la Cnil.
Le fonctionnement des services de renseignement échappe également très largement au contrôle démocratique. Dans son article sur les acteurs de la surveillance globale, Antoine Lefébure présente une description très précise du monde des agences nationales de renseignement. Depuis le scandale des WikiLeaks, on en sait davantage sur les méthodes du FBI et de la NSA ainsi que sur leurs liens avec les agences de renseignement européennes. Au passage, on découvre également comment les gouvernements européens, et plus spécialement celui d’Angela Merkel, ont appris l’ampleur des écoutes dont ils faisaient eux-mêmes l’objet, à leur insu.
Ronan Le Moal considère, quant à lui, l’utilisation du big data dans l’assurance comme un moyen de proposer une nouvelle offre de services à son client. Plutôt que de se limiter à assurer un risque et donc à indemniser un sinistre, l’assureur doit plutôt utiliser les données dont il dispose sur son client pour l’aider à prévenir le sinistre. Il estime que le client préférera toujours payer davantage tout en mettant à disposition ses données personnelles, pour peu qu’il en retire un avantage en matière de prévention du risque : il vaut mieux payer plus cher pour éviter de voir brûler sa maison plutôt que de tout perdre dans l’incendie de sa maison et se faire ensuite indemniser.
Pour finir, deux auteurs questionnent l’utilité même de l’exploitation du big data.
Pierre-Charles Pradier, après avoir dressé le panorama du monde de l’Internet souterrain et des officines qui vivent du vol par intrusion et de l’exploitation des données personnelles, montre comment de très gros acteurs du Net ont cherché de manière tout à fait légale à utiliser les données d’échange sur le Net pour prédire des tendances, et comment ces efforts se sont in fine avérés peu fructueux. Seul le récolement des informations personnelles sur Internet permet d’observer les tendances de l’opinion de manière fiable tout en respectant l’anonymat des personnes.
Selon Philippe Lemoine, les assureurs se sont longtemps inquiétés des effets pervers de la réglementation européenne sur la protection des données personnelles, estimant que celle-ci allait nuire à la précision de leurs modèles de prévision. Cela étant, il met en garde ces mêmes acteurs. Selon lui, la collecte de données de plus en plus précises auprès des clients donne, certes, aux assureurs la possibilité de faire de l’hypersegmentation et donc de sélectionner parfaitement la population assurable et d’ajuster leurs tarifs. Mais à l’inverse, cette hypersegmentation a pour effet de revenir sur l’essence même de l’assurance, à savoir la mutualisation. Les assureurs devraient réexaminer le sujet du big data en replaçant le client au centre de la relation : celui-ci recherche de la simplicité et donc des formulaires plus allégés. Le recueil et l’exploitation d’une masse toujours plus importante de données ne vont pas dans ce sens !
