Geekly articles weekly

Entreprise sur les données personnelles: comment réussir et ne pas enfreindre la loi?

image

«Les données sont le pétrole de l'économie numérique» est une expression qui est déjà devenue un aphorisme. En effet, dans le monde d'aujourd'hui, les données des utilisateurs sont devenues l'une des ressources les plus précieuses et recherchées. Ainsi, selon PwC, en 2018, les revenus mondiaux tirés de l'utilisation des données des utilisateurs atteindraient 300 milliards de dollars. Quant à la Russie, selon le magazine RBC en 2017, le chiffre d'affaires du marché de la vente et de l'achat de données personnelles en Russie s'élevait à au moins 3,3 milliards de roubles. De plus, les experts prédisent une nouvelle croissance intensive de ce marché.

Cependant, l'utilisation des données personnelles dans les entreprises ne dispose pas encore d'une réglementation légale appropriée. La législation actuelle laisse ouverte la question du renouvellement des données et de la possibilité de leur monétisation. De plus, dans la pratique judiciaire, aucun critère universel n'a encore été établi pour permettre de trouver un équilibre entre la nécessité de protéger la vie privée des utilisateurs et les besoins du monde des affaires dans une économie numérique.

Données: personnelles, grandes ou grandes personnalisées?
  • Données personnelles

La pierre angulaire de la compréhension du terme «données utilisateur» est le concept normativement fixe de «données personnelles» (ci-après - PD). Le concept de PD est de nature «caoutchouteuse», ce qui ne nous permet pas de déterminer sans ambiguïté quelles données spécifiques se réfèrent aux données personnelles. Dans le même temps, la tendance générale est désormais une approche extrêmement large du concept de DP - toute information relative à une personne identifiée ou identifiable. Il peut s'agir d'une adresse IP, d'un identifiant, d'un numéro de téléphone portable ou d'un numéro de carte de crédit.

Dans le même temps, ce n'est un secret pour personne que ces informations soient activement traitées sur le World Wide Web et deviennent la base du succès de nombreux projets commerciaux (publicité, marketing, notation). Et il n'y a pas de critères sans ambiguïté permettant de tracer une ligne entre PD et Big Data.

  • Big data

À son tour, le concept de «big data» (Big data) est encore plus discutable par nature et est généralement divulgué à travers ses caractéristiques:

  • grand volume (Volume);
  • grande variété (variété);
  • grande vitesse d'accumulation et de traitement (vitesse);
  • précision (véracité);
  • variabilité (variabilité);
  • valeur
  • visualisation
  • vitalité (Viabilité).

Le célèbre avocat et professeur A. I. Savelyev écrit que «les mégadonnées peuvent être définies comme un ensemble d'informations changeant dynamiquement, ce qui est précieux en raison de ses grands volumes et de la possibilité d'un traitement efficace et rapide par des moyens automatisés, ce qui, à son tour, en offre la possibilité. utiliser pour l'analyse, la prévision et l'automatisation des processus d'affaires. "

Sarkis Darbinyan, associé directeur du Center for Digital Rights, s'exprimant lors du forum BIG DATA 2018 , explique leur nature: «Les mégadonnées sont un flux volumineux d'informations de données hétérogènes qui est constamment généré par les utilisateurs d'appareils électroniques et de services en ligne ou d'appareils techniques, et également traité en mode en temps réel. "

Jusqu'à présent, en Russie, il n'y a pas de compréhension et d'approche uniques concernant la réglementation des mégadonnées. En outre, les discussions se poursuivent sur qui devrait posséder les Big Data et comment, en les utilisant, ne pas violer les droits sur les différentes catégories de données protégées par la loi (PD, secret commercial, informations confidentielles, droit d'auteur sur la base de données).

  • Big data utilisateur

L '«intersection» des PD et des Big Data est parfois appelée Big User Data. Ce terme n'a pas de fixation juridique, cependant, le chef de Roskomnadzor Alexander Zharov a défini les Big data utilisateur comme «toutes les données utilisateur collectées par les systèmes et appareils d'information, les profils utilisateur sur les ressources Internet, les données de géolocalisation, les données sur le comportement des utilisateurs sur les sites».

Contentieux de projets commerciaux sur les données personnelles

Les projets d'entreprise utilisant des Big data d'utilisateur sont inévitablement confrontés au problème du respect de la législation sur la protection des données personnelles. Ainsi, les affaires judiciaires suivantes sont des exemples frappants : Roskomnadzor vs. NBCH , Roskomnadzor c . MGTS , «HeadHunter» contre Robot Vera , HeadHunter vs. FriendWork et VKontakte contre "Double Data" .

Une approche unique de l'utilisation des Big data utilisateur, y compris celle publiée par les utilisateurs sur les réseaux sociaux, n'a pas encore été développée, et les positions des différents tribunaux sont encore chaotiques. En outre, les parties n'opèrent pas toujours sur la législation sur la protection des données personnelles, mais se réfèrent aux droits intellectuels sur la base de données. Par exemple, les règles relatives à la protection des droits intellectuels sur la base de données ont été utilisées dans des cas dans les réclamations de la société HeadHunter, ainsi que dans le cas résonnant de VKontakte contre Double Data.

La société Double Data a collecté et utilisé à des fins commerciales les données des utilisateurs publiées sur un réseau social (noms, prénoms, lieux de travail et études). La société n'a reçu aucune autorisation supplémentaire. Vkontakte maintient la position que de telles actions violent le droit voisin exclusif à la base de données qui a surgi dans Vkontakte en tant que fabricant d'une telle base de données avec des données utilisateur. Double Data, en revanche, insiste sur l’ouverture des données, l’impossibilité d’interdire la réutilisation des informations et l’absence de droits de Vkontakte sur la base de données créée par les utilisateurs eux-mêmes. À ce jour (octobre 2018), l'affaire est parvenue au SIP (instance de cassation). SIP a souscrit à la conclusion de la cour d'appel selon laquelle "les éléments du dossier montrent à la fois l'existence d'un objet de droits voisins (une base de données d'utilisateurs d'un réseau social) et l'existence du droit exclusif de la société Vkontakte sur cet objet". L'argument des défendeurs concernant la base de données en tant que «sous-produit» de l'activité de Vkontakte n'a pas été reconnu par le tribunal comme raisonnable. Cependant, le SIP a renvoyé l'affaire pour un nouveau procès devant le tribunal de première instance (la date de la réunion est le 19 décembre 2018), et donc la bataille entre VKontakte et Double Data est toujours en cours. Il semble qu'après la résolution finale de cette affaire deviendra pratique et sera une étape décisive pour le développement de l'entreprise sur les données des utilisateurs en Russie.

En outre, le cas Roskomnadzor vs est important pour le sort futur des projets d'entreprise sur les données des utilisateurs. MGTS, dans lequel le tribunal a tenté de trouver un équilibre entre le droit des utilisateurs et les intérêts des entreprises. Le tribunal a mis MGTS sous la responsabilité administrative, ayant établi que les transactions de «revente» de données sur les abonnés sans leur consentement violaient le droit à la vie privée.

Le cas de Roskomnadzor contre. NBCH, qui, bien qu'il se soit terminé par un règlement, mais dans le cadre duquel les Forces armées RF ont conclu que les données après leur publication par les utilisateurs sur un réseau social ne sont pas rendues publiques au sens de l'art. 8 Loi fédérale sur les données personnelles.

Comment une entreprise basée sur des données personnelles est-elle mise en œuvre dans la pratique?

En raison de l'absence d'approches juridiques claires et sans ambiguïté («règles du jeu») sur l'utilisation des mégadonnées, il existe depuis de nombreuses années des services «gris» pour la vente de données personnelles. Par exemple, le Dark Web, qui vend une variété de types de données personnelles: des données de passeport aux informations médicales et aux mots de passe des cartes de crédit. Selon les résultats de l' étude «Black Database Market» du centre d'analyse MFI Soft pour 2016, le marché des bases de données illégales en Russie représente plus de 30 millions de roubles. Et ce chiffre ne fait que croître.

Néanmoins, il ne faut pas supposer qu'une entreprise basée sur des données personnelles est a priori illégale. Les projets juridiques visant à la monétisation des données personnelles des utilisateurs se développent rapidement: Opiria, Handshake, Datacoup, GoodData, Pillar Project, Personal and other services.

De plus, des exemples de projets hors ligne utilisant des données personnelles comme moyen de paiement sont connus dans la pratique mondiale. Par exemple, dans le café américain Shiru, vous pouvez payer la facture avec vos données personnelles (noms, numéros de téléphone, adresses e-mail, dates de naissance et informations sur les intérêts).

Cependant, de nombreuses entreprises ne s'intéressent pas tant à l'obtention de la DP d'un sujet spécifique qu'à l'obtention d'un ensemble de données reflétant certains signes d'un certain nombre de sujets. Par conséquent, la valeur obtenue à partir d'autres bases de données des entreprises PD, Big data utilisateur.

Souvent, les entreprises incluent des clauses de transfert de données dans les contrats de service ou similaires. En outre, les projets d'échange de PD mis en œuvre par le biais d'accords entre entreprises sur l'interaction des informations dans le domaine du transfert de données personnelles ou d'autres contenus similaires sont considérés comme intéressants. Par exemple, de tels accords sont courants dans le domaine médical.

Décrivant également des projets qui fonctionnent avec des Big User Data, on ne peut que mentionner le projet Double Data et des projets similaires (Clever Data, Scorista, Scorto, FICO, Equifax Credit Bureau, National Credit Bureau). Ces projets, pour la plupart, utilisent des données pour la revente ultérieure, ainsi que pour la notation et la personnalisation des annonces. Ils se positionnent comme travaillant avec des données ouvertes, affirmant devant le NBCH et Double Data devant les tribunaux leurs droits de traiter les Big Data sans l'autorisation supplémentaire des utilisateurs et des entreprises qui traitent les PD initialement.

Par ailleurs, il convient de noter la tristement célèbre société Cambridge Analytica, qui a collecté des utilisateurs PD pour analyser les préférences politiques des électeurs sans leur consentement, y compris les utilisateurs PD du réseau social Facebook. À la suite de telles actions, non seulement un scandale politique a éclaté, mais inévitablement, il y a eu des conséquences juridiques pour Cambridge Analytica et Facebook. Cambridge Analytica, Facebook a déclaré faillite et Facebook a été condamné à une amende de 500000 £ (environ 600000 $) pour non-respect des droits des personnes concernées: manque de protection appropriée des données personnelles des utilisateurs et transparence insuffisante de leur traitement.

En général, le scandale Cambridge Analytica-Facebook a des conséquences d'une grande portée, y compris pour la Russie. Ainsi, Facebook a commencé à bloquer l'accès aux services "suspects", dont les activités permettent des risques de violation de la législation PD. Par exemple, récemment (début octobre 2018), Facebook a bloqué plus de 66 comptes, profils, pages et applications de la startup russe, Social Data Hub, qui se comparait autrefois à Cambridge Analytica, et se positionne désormais comme «spécialisée dans le développement de systèmes d'intelligence artificielle» . Cependant, selon les médias, le projet est également engagé dans une analyse commerciale des données des utilisateurs pour l'État.

Fait intéressant, sur le site Web du Social Data Hub, vous pouvez trouver la réponse de Roskomnadzor sur la légalité du fonctionnement d'un tel service. Cependant, cela n'a pas empêché Facebook de constater la violation de l'accord d'utilisation de Facebook et des signes d'utilisation illégale de PD dans l'activité du Social Data Hub. Facebook a supprimé les comptes de la startup et de ses employés, et a également envoyé une lettre avec les exigences:

  • arrêter immédiatement le traitement des données des utilisateurs de Facebook et détruire ces données;
  • Fournir à Facebook une liste complète de toutes les données utilisées par l'entreprise et les organisations qui y ont accès;
  • Fournissez aux représentants de Facebook un accès aux entrepôts de données pour vérifier qu'ils sont réellement supprimés.

Le représentant de Vkontakte a également noté que la société avait envoyé une lettre de réclamation au Social Data Hub. À leur tour, les chefs de projet nient toute violation de la législation PD, affirmant qu'ils «développent des logiciels, pas de vendre des données».

Base juridique pour faire des affaires avec des données personnelles

D'un point de vue juridique, les projets d'entreprise basés sur les données des utilisateurs sont mis en œuvre à l'aide de divers outils juridiques. À bien des égards, cet état de fait s'explique par l'absence de régulation réglementaire des processus de monétisation des données des utilisateurs. La loi ne prescrit que des exigences et des conditions obligatoires dans lesquelles la DP peut être collectée et traitée.

La base la plus courante pour le traitement de PD est la présence du consentement du sujet. L'obtention d'un tel consentement, son «achat», est précisément la base de la plupart des projets commerciaux légaux basés sur les données des utilisateurs. Il est important de comprendre que la mise en œuvre d'un tel achat est loin de la compréhension classique du droit civil du contrat de vente. En plus d'obtenir directement le consentement pour une certaine récompense immobilière, le traitement PD est possible dans l'exécution des accords conclus avec les utilisateurs qui sont associés à la fourniture de tous biens et services (dans la plupart des cas, donnant accès au contenu sur Internet).

En outre, les projets, y compris les projets ICO, dont l'objectif principal est d'assurer la monétisation juridique des données personnelles, ont récemment gagné en popularité. Par exemple, la plateforme Opiria . Ce projet permet aux utilisateurs de donner leur consentement au traitement de leurs données personnelles en échange de jetons PDATA. Selon les développeurs, cette plateforme est "un marché mondial décentralisé où les entreprises peuvent acheter des données personnelles directement auprès des consommateurs sans intermédiaires". Dans le même temps, Opiria garantit aux utilisateurs la possibilité de contrôler et de gérer leurs données personnelles conformément aux exigences de la législation sur les données personnelles.

Dans le même temps, l'intermédiation en entreprise sur les données personnelles ne perd pas de sa pertinence. De nombreuses entreprises tentent de revendre des PD ou de faire leur échange. Mais ces projets ne seront conformes à la loi que lorsque le consentement correspondant aura été obtenu pour le transfert de PD à des tiers et leur traitement ultérieur.

Le cas du service DeepMind , qui a conclu un accord sur l'échange de données personnelles avec le National Health Service de Grande-Bretagne, est indicatif. Cependant, les parties n'ont pas donné leur consentement au transfert et au traitement des données des patients par le service DeepMind, et par conséquent une violation de la législation sur la MP a été constatée. Bien que cette affaire soit basée sur les normes du droit étranger, ses conclusions sont applicables dans les réalités russes. Nous avons observé une position similaire, par exemple, dans le cas susmentionné de MGTS vendant des données sur ses abonnés.

En général, en Russie, pour tous les projets commerciaux sur PD, il est extrêmement important de se conformer aux exigences générales de la législation sur PD. En particulier, il faut:

  • pour limiter le traitement PD à des objectifs spécifiques et prédéterminés;
  • limiter la quantité de données traitées au minimum nécessaire pour la mise en œuvre des objectifs déclarés de leur traitement;
  • ne pas combiner des bases de données contenant des PD dont le traitement est effectué à des fins incompatibles entre elles;
  • Détruire ou dépersonnaliser PD lors de la réalisation des objectifs de traitement ou en cas de perte de besoin pour atteindre ces objectifs (sauf dans les cas expressément prévus par la loi);
  • déterminer la base juridique du traitement des données personnelles (dans la plupart des cas, il s'agit du consentement du sujet des données personnelles, mais il peut également y avoir un contrat, une norme législative, une disponibilité générale des données personnelles, etc. );
  • se conformer aux exigences du formulaire de consentement pour le traitement de la DP;
  • cesser le traitement ou garantir la fin du traitement par une autre personne des données personnelles dans le cas où le sujet retire son consentement au traitement des données personnelles

En ce qui concerne les projets dans le domaine des Big User Data, il existe des problèmes juridiques encore plus controversés.

  • Premièrement, il n'y a pas d'approche unique pour comprendre le Big Data.
  • Deuxièmement, la législation ne réglemente que partiellement le traitement des mégadonnées.
  • Troisièmement, une position sans équivoque n'a pas été développée sur la question de l'utilisation des PD qui sont dans le domaine public et des PD anonymisés.
  • Quatrièmement, il est difficile de déterminer la valeur réelle des Big data utilisateur.
  • Cinquièmement, l'agrégation de Big data d'utilisateur par n'importe quelle entreprise peut générer les droits intellectuels de cette entreprise sur la base de données. Il en résulte un conflit de droits. Et les relations commerciales dans ce domaine deviennent imprévisibles comme une loterie.

Il est possible que la situation sur le marché russe évolue après la résolution finale du différend de Vkontakte contre la double donnée et / ou l'adoption de l'une des initiatives en cours de discussion (par exemple, le projet de loi sur la réglementation des mégadonnées, le projet de loi sur l'utilisation et le transfert à des tiers de données personnelles anonymisées, l' initiative pour créer une plate-forme spéciale pour la gestion du consentement au traitement PD).

Il existe également un projet de loi à la Douma d'État qui vise à déterminer les règles d'un nouveau sujet de droits civils comme les droits numériques. Le projet de loi propose de réglementer l'utilisation des mégadonnées dans les relations contractuelles, à savoir de fixer dans le code civil de la Fédération de Russie la conception d'un accord sur la prestation de services pour la fourniture d'informations (article 783.1). Cet accord peut prévoir la non-divulgation d'informations à des tiers pour une période spécifiée. En outre, le projet de loi propose d'élargir le concept de «base de données» en fonction de la nécessité de protéger les bases de données basées sur le Big Data.



, , -, . , , . , — , . , , , :

  • ;
  • ;
  • ;
  • .

image

Source: https://habr.com/ru/post/fr427233/

More articles:


All Articles