Qu'est-ce que le blanchiment de données ?

Le blanchiment de données personnelles est le processus par lequel des informations personnelles qui ont été collectées, traitées ou dérivées (toutes "traitées", selon la terminologie du GDPR) en violation des règles applicables en matière de protection des données sont réintroduites dans l'économie des données en masquant leur source illégitime.[1]

Ce concept reflète celui que l'on trouve dans le secteur financier à propos du blanchiment d'argent qui provient d'une activité criminelle. Cependant, si le blanchiment d'argent nécessite que l'objet du blanchiment soit le produit d'infractions pénales, il n'y a pas de sanction pénale au niveau du GDPR (RGPD en français) pour les données traitées à l'encontre de ses règles, seulement des sanctions administratives. Il existe des sanctions qui ont été mises en œuvre au niveau national par les Etats membres, qui ont inclus divers degrés d'infractions pénales liées à la violation des réglementations sur la protection des données.[1] En Suisse, il existe un article 143 du Code pénal suisse (piratage), qui couvre le vol de données. Ces sanctions et les actions couvertes ne sont cependant pas uniformes, il est donc sensé d'examiner la question au niveau de l'UE.

Si l'on considère uniquement le GDPR, les infractions au règlement qui peuvent donner lieu à une forme de blanchiment de données à caractère personnel engloberaient notamment celles couvertes par l'art. 83 para. 5 du GDPR, qui sont :

1. Les principes de base du traitement, y compris les conditions applicables au consentement (art. 5-9).

2. Droit à l'oubli (art. 17)

3. Droit à la limitation du traitement (art. 18)

4. Droit d'opposition à l'intérêt légitime (art. 21)

Le point commun de ces clauses est que les données sont sorties de la sphère d'influence de la personne concernée sans consentement approprié ni justification légale.

L'action de blanchiment aggraverait alors une violation de la réglementation sur la protection des données telle que décrite ci-dessus en amplifiant l'accès illégitime aux données à caractère personnel et en réduisant à une impossibilité pratique la capacité de la personne concernée à faire valoir ses droits. En effet, les nouvelles personnes ayant accès à ces données, convaincues à tort qu'elles ont été obtenues légitimement, ne respecteront pas, par exemple, leurs obligations d'information conformément à l'art. 14 GDPR.

Dès que les données sont blanchies ou présentées d'une manière qui donne l'apparence d'avoir été obtenues légalement, elles peuvent être diffusées et acquises légalement par des tiers selon l'art. 14 du GDPR.

Il convient de noter que dans l'économie des données, les données personnelles sont rarement traitées à l'échelle individuelle, de sorte qu'un cas de blanchiment de données personnelles impliquerait les données de nombreuses personnes concernées et une quantité potentiellement importante d'informations personnelles pour chacune d'entre elles.

Cela dit, je peux imaginer différents scénarios concrets dans lesquels de tels actes sont particulièrement préjudiciables pour les personnes concernées :

A. Les données personnelles sont vendues à plusieurs organisations commerciales qui, ignorant l'illégitimité des données reçues, contactent la personne concernée contre son gré. Cela oblige la personne concernée à prendre à chaque fois contact avec les organisations qui l'ont contactée (vous souvenez-vous du spam avant les filtres IA efficaces ?).

B. Les données personnelles sont vendues pour être utilisées comme données d'entraînement pour les algorithmes de machine learning, qui donnent un niveau plus granulaire de compréhension ou information sur la population représentée par les personnes concernées. En raison de l'ampleur des données illégitimes qui peuvent être impliquées, la population des personnes concernées aura une exposition ou une transparence non désirée de ses informations personnelles, puisque le modèle et les informations qu'il fournit peuvent ensuite être utilisés par le développeur ou même être partagés ou vendus pour déduire plus d'informations sur les sujets. Dans des cas extrêmes, les informations personnelles d'individus spécifiques peuvent être extraites du modèle de manière malveillante, ou la granularité des informations obtenues sera telle qu'il y aura une transparence presque totale.

On comprend facilement qu'une compréhension plus granulaire d'une population obtenue par des moyens illégitimes pourrait être indésirable.[3]  

C. Les données personnelles sont vendues à des organisations commerciales qui traitent ensuite les données pour obtenir (et éventuellement vendre) des informations sur les personnes, y compris la personne concernée. De même, dans l'exemple de l'algorithme de machine learning, le préjudice subi par les personnes concernées est l'amélioration de la compréhension de leur vie grâce à la déduction statistique facilitée par la disponibilité d'autres informations (légitimes).

Dans ce cas également, les informations obtenues peuvent être telles qu'il est possible de les distiller (c'est-à-dire de les combiner avec les informations personnelles disponibles) à un degré tel que des informations personnelles autrement inaccessibles peuvent en être déduites.

Actuellement, l'approche est que lorsque des données sont anonymisées, elles ne sont plus couvertes par le GDPR et ses règles de protection ne s'appliquent donc pas.[4] Toutefois, il convient de noter que la distinction entre les données personnelles et non personnelles est difficile et doit être faite en tenant compte de nombreux aspects différents. Le marché des données personnelles implique souvent un ou plusieurs intermédiaires, dans et hors de l'UE, qui peuvent être peu enclins à suivre, ou à comprendre, les règles de protection des données des individus et les exigences de l'anonymisation, de sorte que les cas de blanchiment de données personnelles sont plus faciles.

Pourquoi maintenant ? (ou pas encore ?)

En quoi cela est-il pertinent ? La protection des données est reconnue en Europe comme un droit fondamental.[5] Elle découle du droit à la vie privée, qui protège la notion de dignité, la vie privée, soit le droit d’avoir une vie privée, d’être autonome, de contrôler les informations vous concernant et d’être maître de votre personne.[6] Malgré une certaine divergence technique qui distingue la protection des données du droit à la vie privée,[7] on peut dire que la protection des données contribue à garantir le droit à la vie privée.

De plus en plus de données sont collectées auprès des personnes concernées et de leur entourage, et de plus en plus de renseignements peuvent être obtenus à partir de ces données grâce aux effets de réseau, ce qui permet par exemple de créer "des systèmes pour fournir des recommandations, des retours d'information, des suggestions et influencer de manière personnalisée et adaptative".[8]  Ainsi, même sans blanchiment de données personnelles, les connaissances que l'on peut obtenir grâce à la collecte et à la combinaison de données et de connaissances sur le comportement humain sont déjà très avancées.

Ce développement est facilité par les technologies en constante évolution et notamment par l'intelligence artificielle, qui permet de traiter cette masse d'informations et de l'employer de manière personnalisée. C'est aussi ce qui permet la création de services personnalisés à un prix abordable ou même gratuitement, la gestion des infrastructures qui permettent notre mode de vie, ainsi que l'assurance d'une grande partie de la sécurité dont nous bénéficions.

Conclusion

Le développement des capacités de collecte, de traitement et de modélisation des données montre la tension croissante entre le progrès et la philosophie actuelles fondées sur l'indépendance et la vie privée des individus. Une profonde transformation sociétale et culturelle est en cours. À mon avis, il n'y a pas actuellement de besoin critique d'aborder le blanchiment de données personnelles par le biais de la législation, notamment parce qu'il est généralement relativement facile de collecter d'abondantes données personnelles de manière conforme. Ce sujet est toutefois un aspect important à garder à l'esprit lors de l'élaboration des best practices.

[1] Comparez une définition sur Wikipedia https://en.wikipedia.org/wiki/Data_laundering

[2] Pour une vue d'ensemble, voir https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/penalties

[3] Certes, la pratique générale actuelle consiste à partager assez librement les informations personnelles.

[4] C'est-à-dire que les données ne concernent pas une personne physique identifiée ou identifiable telle que décrite dans la définition des données personnelles de l'article 4(1) GDPR, qui définit le champ d'application du règlement.

[5] L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne prévoient que toute personne a droit à la protection des données à caractère personnel la concernant.

[6] https://edps.europa.eu/data-protection/data-protection_en

[7] Voir, entre autres, https://edps.europa.eu/data-protection/data-protection_fr et “The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR” in “International Data Privacy Law, 2013, Vol. 3, No. 4. “

[8] Boratto, L., Vargiu, E. Data-driven user behavioral modeling: from real-world behavior to knowledge, algorithms, and systems. J Intell Inf Syst 54, 1–4 (2020). https://doi.org/10.1007/s10844-020-00593-x