Index 
 Précédent 
 Suivant 
 Texte intégral 
Procédure : 2016/2225(INI)
Cycle de vie en séance
Cycle relatif au document : A8-0044/2017

Textes déposés :

A8-0044/2017

Débats :

PV 13/03/2017 - 15
CRE 13/03/2017 - 15

Votes :

PV 14/03/2017 - 6.12
Explications de votes

Textes adoptés :

P8_TA(2017)0076

Textes adoptés
PDF 216kWORD 51k
Mardi 14 mars 2017 - Strasbourg
Incidences des mégadonnées sur les droits fondamentaux
P8_TA(2017)0076A8-0044/2017

Résolution du Parlement européen du 14 mars 2017 sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (2016/2225(INI))

Le Parlement européen,

–  vu l'article 16 du traité sur le fonctionnement de l'Union européenne,

–  vu les articles 1, 7, 8, 11, 14, 21, 47 et 52 de la charte des droits fondamentaux de l'Union européenne,

–  vu les principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, de l’Assemblée générale des Nations Unies dans sa résolution 45/95 du 14 décembre 1990,

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(1) et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil(2),

–  vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 6 mai 2015 intitulée «Stratégie pour un marché unique numérique en Europe» (COM(2015)0192),

–  vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (STCE n° 108) et son protocole additionnel du 8 novembre 2001 (STCE n° 181)(3),

–  vu la recommandation CM/Rec(2010)13 du Comité des Ministres du Conseil de l'Europe aux États membres sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel dans le cadre du profilage du 23 novembre 2010(4),

–  vu l'avis nº 7/2015 du Contrôleur européen de la protection des données du 19 novembre 2015 intitulé «Relever les défis des données massives - Un appel à la transparence, au contrôle par l'utilisateur, à la protection des données dès la conception et à la reddition de comptes»(5),

–  vu l’avis 8/2016 du Contrôleur européen de la protection des données du 23 septembre 2016 intitulé «Avis du CEPD sur une application cohérente des droits fondamentaux à l’ère des données massives (Big Data)»(6),

–  vu la déclaration du groupe de travail «article 29» sur la protection des données concernant l'impact du développement des mégadonnées sur la protection des individus à l'égard du traitement de leurs données à caractère personnel dans l'UE du 16 septembre 2014(7),

–  vu l'article 52 de son règlement,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0044/2017),

A.  considérant que l’on entend par mégadonnées la collecte, l’analyse et l’accumulation récurrente de gros volumes de données, notamment à caractère personnel, en provenance de diverses sources, qui font l’objet d’un traitement automatique par des algorithmes informatiques et des techniques de traitement de données avancées, en utilisant tant les données stockées que les flux de données, en vue de générer certains modèles, corrélations et tendances (analyse des mégadonnées);

B.  considérant que certains cas d’utilisation des mégadonnées requièrent l’apprentissage de dispositifs d’intelligence artificielle tels que les circuits neuronaux et les modèles statistiques afin de prévoir certains événements et comportements; considérant que les données d’apprentissage sont souvent de qualité douteuse et manquent de neutralité;

C.  considérant que l’évolution des technologies de communication et l’omniprésence des appareils électroniques, des gadgets de surveillance, des médias sociaux, des interactions web et des réseaux, y compris des équipements qui communiquent des informations sans intervention humaine, ont conduit au développement d’ensembles de données massifs et de plus en plus volumineux qui, grâce aux techniques de traitement avancées et à l’analyse, fournissent des renseignements sans précédent sur le comportement humain, la vie privée et nos sociétés;

D.  considérant que les services de renseignement des pays tiers et des États membres s’appuient de plus en plus sur le traitement et l’analyse de ce type d’ensembles de données, qui soit ne relèvent d’aucun cadre juridique soit, comme on l’a vu plus récemment, sont soumis à des lois dont la conformité aux droits primaire et dérivé de l’Union est source d’inquiétudes et reste à vérifier;

E.  considérant que la hausse des cas de harcèlement et de violence à l’égard des femmes et la vulnérabilité des enfants sont des phénomènes qui sont également présents sur l’internet; considérant que la Commission et les États membres devraient adopter toutes les mesures juridiques nécessaires pour lutter contre ces phénomènes;

F.  considérant qu’un nombre croissant d’entreprises, de sociétés, d’organes et d’agences, d’organisations gouvernementales ou non gouvernementales (ainsi que l’ensemble du secteur public et du secteur privé), les responsables politiques, la société civile, la communauté universitaire et scientifique ainsi que les citoyens en général ont tiré parti de ces ensembles de données et de l’analyse des mégadonnées pour encourager la compétitivité, l’innovation, les prévisions de marché, les campagnes politiques, la publicité ciblée, la recherche scientifique et l’élaboration de politiques dans le domaine du transport, de la fiscalité, des services financiers, des villes intelligentes, de l’application des lois, de la transparence, de la santé publique et de la réaction en cas de catastrophes ainsi que pour influer sur les résultats des élections et les résultats politiques, par exemple, au travers de communications ciblées;

G.  considérant que le marché des mégadonnées est en pleine croissance du fait que les technologies et le processus de prise de décisions fondée sur les données sont de plus en plus acceptés comme porteurs de solutions; considérant qu’il n’existe pas encore de méthode permettant de réaliser une évaluation factuelle de l’incidence globale des mégadonnées, mais qu’il est prouvé que l’analyse des mégadonnées peut avoir une incidence horizontale considérable dans le secteur privé comme dans le secteur public; considérant que la stratégie de la Commission pour un marché unique numérique en Europe reconnaît le potentiel des technologies et des services fondés sur les données ainsi que des mégadonnées en tant que catalyseurs de croissance économique, d’innovation et de numérisation dans l’Union;

H.  considérant que l’analyse des mégadonnées crée de la valeur ajoutée de diverses manières, comme en attestent de nombreuses illustrations positives, et génère des possibilités non négligeables pour les citoyens, dans des domaines comme les soins de santé, la lutte contre le changement climatique, la réduction de la consommation d’énergie, l’amélioration de la sécurité des transports et la création de conditions propices à des villes intelligentes, ce qui permet d’optimiser le fonctionnement et l’efficacité des entreprises tout en contribuant à améliorer les conditions de travail ainsi que la détection et la lutte contre la fraude; considérant que les mégadonnées peuvent conférer aux entreprises européennes un avantage concurrentiel en termes de processus décisionnels, et que le secteur public peut bénéficier d’une efficacité accrue grâce à une meilleure connaissance des différents niveaux de développement socioéconomique;

I.  considérant que les mégadonnées peuvent offrir les avantages susmentionnés aux citoyens, à la communauté universitaire et scientifique, aux secteurs privé et public, mais qu’elles comportent également des risques considérables, notamment sur le plan de la protection des droits fondamentaux tels que le droit au respect de la vie privée, à la protection des données et à la sécurité des données, mais également la liberté d’expression et la non-discrimination, principes garantis par la charte des droits fondamentaux de l’Union et le droit de l’Union; considérant que les techniques de pseudonymisation et de chiffrement peuvent atténuer les risques liés à l’analyse des mégadonnées et jouent dès lors un rôle important dans la protection des données à caractère personnel tout en favorisant l’innovation et la croissance économique; considérant que ces éléments doivent être considérés comme s’inscrivant dans le cadre de la révision actuelle de la directive sur la vie privée;

J.  considérant que l’omniprésence de capteurs, la production routinière considérable de données et les activités modernes de traitement des données ne se sont pas toujours suffisamment transparentes, ce qui entrave la capacité des citoyens et des autorités à évaluer les processus et l’objectif de la collecte, de la synthèse, de l’analyse et de l’utilisation des données à caractère personnel; considérant que le recours à l’analyse de mégadonnées tend à estomper la limite entre données à caractère personnel et données à caractère non personnel, ce qui peut donner lieu à la création de nouvelles données à caractère personnel;

K.  considérant que le secteur des mégadonnées connaît une croissance de 40 % par an, sept fois supérieure à celle du marché de l’informatique; considérant que la concentration des grands ensembles de données produits par les nouvelles technologies offre des informations cruciales pour les grandes entreprises, provoquant des changements sans précédent dans la répartition du pouvoir entre les citoyens, les autorités et les acteurs du secteur privé; considérant qu’une telle concentration de pouvoir aux mains des entreprises pourrait renforcer les monopoles et les pratiques abusives et avoir un effet néfaste sur les droits des consommateurs et sur la concurrence commerciale équitable; considérant que les intérêts des citoyens et la protection des droits fondamentaux devraient faire l’objet d’une étude plus poussée dans le cadre de la concentration des mégadonnées;

L.  considérant que les mégadonnées ont un potentiel inexploité considérable lorsqu’il s’agit de stimuler la productivité et d’améliorer les produits et services offerts aux citoyens; considérant que l’utilisation généralisée des appareils intelligents, des réseaux et des applications web par les citoyens, les entreprises et les organismes ne constitue pas forcément un indicateur de satisfaction concernant ces produits mais relève plutôt d’un constat plus général selon lequel ces services sont devenus indispensables pour vivre, communiquer et travailler malgré le manque de compréhension des risques potentiels pour notre bien-être, notre sécurité et nos droits;

M.  considérant qu’il y a lieu de différencier la quantité et la qualité des données afin de permettre une utilisation efficace des mégadonnées (algorithmes et autres outils analytiques); considérant que les données et/ou les procédures de piètre qualité sous-tendant les processus de prise de décision et les outils analytiques pourraient fausser les algorithmes et déboucher sur des corrélations trompeuses, des erreurs, une sous-estimation des implications juridiques, sociales et éthiques, un risque que des données ne soient utilisées à des fins discriminatoires ou frauduleuses et la marginalisation du rôle de l’être humain dans ces processus, aboutissant à des processus décisionnels inadéquats qui portent préjudice aux conditions de vie et aux perspectives d’avenir des citoyens et, en particulier, les groupes marginalisés, et ayant, par ailleurs, une incidence négative sur les entreprises et les sociétés;

N.  considérant que la responsabilité et la transparence en matière d’algorithmes devraient impliquer la mise en œuvre de mesures techniques et opérationnelles visant à assurer la transparence, le caractère non discriminatoire de la prise de décisions automatisée et le calcul des probabilités du comportement individuel; considérant que la transparence devrait procurer aux particuliers des informations utiles concernant la logique sous-jacente, les enjeux ainsi que les conséquences envisagées; considérant que cela devrait inclure des informations sur les données utilisées pour la formation en matière d’analyse de mégadonnées et permettre aux personnes d’appréhender et de contrôler les décisions qui les concernent;

O.  considérant que l’analyse des données et les algorithmes ont un impact de plus en plus important sur les informations rendues accessibles aux citoyens; considérant que de telles techniques, si elles sont mal utilisées, peuvent mettre en péril les droits fondamentaux à l’information ainsi que la liberté et la pluralité des médias; considérant que le système de radiodiffusion publique dans les États membres est directement lié aux besoins démocratiques, sociaux et culturels de chaque société ainsi qu’au besoin de préserver la pluralité des médias, comme prévu dans le protocole sur le système de radiodiffusion publique dans les États membres du traité d’Amsterdam (11997D/PRO/09);

P.  considérant que l'extension rapide du traitement et de l'analyse des données, la multitude d'intervenants impliqués dans la collecte, la conservation, le traitement, le stockage et le partage des données et la combinaison de vastes ensembles de données contenant des données à caractère personnel et des données à caractère non personnel issues de diverses sources, tout en offrant des possibilités considérables, ont créé une grande incertitude tant pour les citoyens que pour les secteurs privé et public quant aux exigences spécifiques en matière de respect de la législation actuelle de l’Union en matière de protection des données;

Q.  considérant qu’il existe de nombreux anciens systèmes non structurés contenant de vastes volumes de données que les entreprises collectent depuis de nombreuses années avec des systèmes de gestion des données nébuleux nécessitant une mise en conformité systématique;

R.  considérant qu’il y a lieu de promouvoir une coopération et une cohérence accrues entre les différentes autorités de régulation et de surveillance en matière de concurrence, de protection des consommateurs et de protection des données au niveau national et au niveau de l’Union, ce afin de garantir une approche cohérente et une meilleure compréhension des enjeux que représentent les mégadonnées pour les droits fondamentaux; considérant que la création et le développement ultérieur d’une chambre de compensation numérique(8) en tant que réseau volontaire des organes réglementaires peut contribuer à améliorer leur travail et leurs activités d’exécution respectives ainsi qu’à approfondir les synergies et à garantir la protection des droits et intérêts des citoyens;

Considérations générales

1.  souligne que les citoyens, les secteurs privé et public, la communauté universitaire et scientifique ne peuvent pleinement profiter des perspectives et des possibilités offertes par les mégadonnées que si la confiance du public dans ces technologies est garantie par une application stricte des droits fondamentaux, le respect de la législation de l’Union en matière de protection des données et la sécurité juridique pour l’ensemble des intervenants concernés; souligne que le traitement de données à caractère personnel ne peut être effectué que conformément à l’une des bases juridiques établies à l’article 6 du règlement (UE) 2016/679; estime que la transparence et l’information adéquate des publics concernés jouent un rôle clé dans le renforcement de la confiance du public et la protection des droits des personnes;

2.  souligne que le respect de la législation en vigueur sur la protection des données, combiné à des normes scientifiques et éthiques rigoureuses, est essentiel pour établir la confiance dans les solutions en matière de mégadonnées ainsi que leur fiabilité; souligne que les informations révélées par l’analyse des mégadonnées n’offrent une vue d’ensemble impartiale sur aucun sujet et ne sont fiables que dans la mesure permise par les données sous-jacentes; souligne que l’analyse prédictive fondée sur les mégadonnées ne peut offrir qu’une probabilité statistique et ne peut dès lors pas toujours prévoir avec exactitude les comportements individuels; souligne dès lors que des normes scientifiques et éthiques rigoureuses sont essentielles pour encadrer la collecte de données et évaluer les résultats de leur analyse;

3.  souligne que des informations sensibles sur les citoyens peuvent être déduites à partir de données non sensibles, ce qui rend la limite entre les données sensibles et non sensibles difficile à établir;

4.  souligne que la connaissance et la compréhension insuffisantes des citoyens quant à la nature des mégadonnées ouvre la voie à des utilisations involontaires des informations à caractère personnel; souligne que la formation et la sensibilisation aux droits fondamentaux revêtent une importance fondamentale au sein de l’Union; exhorte les institutions de l’Union et les États membres à investir dans la culture numérique et la sensibilisation aux droits numériques ainsi qu’à la protection des données et de la vie privée auprès des citoyens, y compris des enfants; souligne que ce type de formation devrait permettre d’appréhender les principes et la logique du fonctionnement des algorithmes et des processus de prise de décision automatisés ainsi que la façon adéquate de les interpréter; souligne également la nécessité de s’attacher, dans le cadre de cette formation, à faire comprendre où et comment sont collectés les flux de données (par exemple, le moissonnage du web, ou le fait de combiner les flux de données avec les données des réseaux sociaux et des appareils connectés et de rassembler ces informations pour en faire de nouveaux flux de données);

Mégadonnées à des fins commerciales et dans le secteur public

Protection des données et de la vie privée

5.  fait observer que la législation de l’Union en matière de protection de la vie privée et de protection des données à caractère personnel, le droit à l’égalité et à la non-discrimination, ainsi que le droit qu’ont les personnes d’être informées de la logique qui sous-tend tout profilage ou toute prise de décision automatisée et leur droit de demander réparation, s’appliquent au traitement de données lorsque ce traitement est précédé par des opérations de pseudonymisation ou, dans tous les cas, lorsque l’utilisation de données à caractère non personnel est susceptible de compromettre le droit à la vie privée ou d’autres droits ou libertés des citoyens, aboutissant à la stigmatisation de catégories entières de la population;

6.  souligne que le marché unique numérique doit reposer sur des services et des réseaux fiables, sûrs et à haut débit garantissant les droits fondamentaux des personnes à la protection des données et de la vie privée, tout en encourageant l’innovation et l’analyse des mégadonnées afin de créer les conditions idéales et équitables pour stimuler l’économie numérique européenne;

7.  souligne en outre qu’il est possible de rétablir l’identité des personnes en recoupant différents types de données anonymisées; souligne que la législation de l’Union en matière de protection de la vie privée et de protection des données à caractère personnel s’applique au traitement de telles données corrélées uniquement dans les cas où l’identité d’une personne peut effectivement être rétablie;

8.  souligne que les principes susmentionnés devraient servir de cadre pour les procédures de prise de décision des secteurs privé et public et d’autres acteurs utilisant des données; insiste sur la nécessité d’une responsabilité et d’une transparence nettement plus grandes dans le traitement et l’analyse des données par les secteurs privé et public ou tout autre acteur ayant recours à l’analyse de données, cette transparence étant essentielle pour garantir que les citoyens soient dûment informés à propos du traitement de leurs données à caractère personnel;

9.  souligne le rôle fondamental que devraient jouer, à l’avenir, la Commission, le comité européen de la protection des données, les autorités nationales chargées de la protection des données et les autres autorités de contrôle indépendantes en vue de promouvoir la transparence, le respect du droit et la sécurité juridique, et plus particulièrement les normes concrètes protégeant les droits fondamentaux et les garanties associées au traitement et à l’analyse des données par les secteurs privé et public; appelle à une collaboration plus étroite entre les organismes de réglementation des pratiques dans l’environnement numérique, de façon à renforcer les synergies entre les cadres réglementaires destinés aux consommateurs et aux autorités chargées de la protection des données; demande, en outre, un financement et des effectifs adéquats pour ces autorités; reconnaît, en outre, qu’il est nécessaire de créer une chambre de compensation numérique;

10.  souligne que l’objectif intrinsèque des mégadonnées doit être de parvenir à des corrélations identiques avec le moins de données à caractère personnel possible; insiste à cet égard sur le fait que la science, les entreprises et les collectivités publiques devraient se concentrer sur la recherche et l’innovation dans le domaine de l’anonymisation;

11.  reconnaît que le recours à la pseudonymisation, à l’anonymisation ou au chiffrement des données à caractère personnel peut réduire les risques pour la personne concernée lorsque les données à caractère personnel sont utilisées dans des applications impliquant des mégadonnées; souligne, par ailleurs, que les avantages de la pseudonymisation figurant dans le règlement général sur la protection des données constituent une garantie appropriée; rappelle que l’anonymisation est un processus irréversible par lequel les données à caractère personnel ne peuvent plus être utilisées à la seule fin d’identifier ou de distinguer une personne physique; estime que les obligations contractuelles devraient garantir que, lorsque des données sont anonymisées, l’identité de la personne ne puisse pas être rétablie au travers de recoupements entre différentes sources de données; demande aux secteurs privé et public et aux autres acteurs impliqués dans l’analyse des mégadonnées de réévaluer régulièrement ces risques à la lumière des nouvelles technologies et de documenter la pertinence des mesures adoptées; invite la Commission, le comité européen de la protection des données et d’autres autorités de contrôle indépendantes à élaborer des lignes directrices sur l’anonymisation correcte des données afin de prévenir d’éventuelles violations de ces mesures et à assurer un suivi concernant les pratiques en la matière;

12.  invite instamment les secteurs privé et public et les autres responsables du traitement de données à utiliser les instruments fournis par le règlement général sur la protection des données, tels que les codes de conduite et les régimes de certification, ce afin de renforcer la certitude quant à leurs obligations spécifiques au titre de la législation de l'Union, et à mettre leurs pratiques et activités en conformité avec les normes et garanties juridiques appropriées de l'Union;

13.  demande à la Commission et aux États membres de garantir que les technologies fondées sur les données ne limitent ou ne discriminent pas l’accès à un environnement médiatique pluraliste, mais favorisent plutôt la liberté et la pluralité des médias; insiste sur le fait qu’une coopération entre les autorités, les établissements d’enseignement et les organisations de médias jouera un rôle crucial en assurant la promotion de l’éducation aux médias numériques afin de responsabiliser les citoyens et de protéger leur droit à l’information et à la liberté d’expression;

14.  est d’avis que la publication de données à caractère personnel par des autorités publiques pour des motifs d’intérêt public, tels que la prévention de la corruption, des conflits d’intérêts, de la fraude fiscale et du blanchiment d’argent, peut être acceptable dans une société démocratique, pour autant que les données soient divulguées dans les conditions prévues par la loi, que les garanties appropriées soient appliquées et que cette publication soit nécessaire et proportionnée à l’objectif poursuivi;

Sécurité

15.  reconnaît la valeur ajoutée du développement technologique, qui contribuera à améliorer la sécurité; reconnaît que les failles de sécurité, l’accès non autorisé aux données et la surveillance illégale figurent au nombre des risques les plus urgents associés aux activités de traitement des données, telles que les techniques de mégadonnées notamment dans le cadre de «l’internet des objets»), et que ces risques constituent un sujet de préoccupation pour les citoyens; estime qu’une véritable coopération concertée entre les secteurs privé et public, les services répressifs et les autorités de contrôle indépendantes est nécessaire pour s’attaquer à ces menaces sans porter atteinte aux droits fondamentaux; souligne, à cet égard, qu’une attention particulière devrait être accordée à la sécurité des systèmes d’administration en ligne ainsi qu’à des mesures juridiques complémentaires notamment en matière de responsabilité des logiciels;

16.  est d’avis qu’il conviendrait également d’encourager l’utilisation du chiffrement de bout en bout et, si nécessaire, de la rendre obligatoire en vertu du principe de protection intégrée des données; recommande à cet égard que tout cadre juridique mis en place à l’avenir interdise donc expressément aux fournisseurs de services de chiffrement, aux fournisseurs de services de communication et à tout autre organisme (à tous les niveaux de la chaîne de distribution) d’autoriser ou de faciliter les «portes dérobées»;

17.  souligne que l’accroissement des données générées et des flux de données engendre de nouvelles vulnérabilités et de nouveaux défis en matière de sécurité informatique; appelle, dans ce contexte, à l’application des principes de la protection de la vie privée dès la conception et par défaut, à l’utilisation des techniques d’anonymisation et, le cas échéant, de techniques de chiffrement, ainsi qu’à la réalisation obligatoire d’études d’impact sur la vie privée; souligne que de telles mesures devraient non seulement être mises en œuvre par tous les acteurs participant à l’analyse des mégadonnées au sein des secteurs privé et public, et par tout autre acteur traitant des données sensibles comme les avocats, les journalistes et les professionnels de la santé, de façon à garantir que les mégadonnées n’augmentent pas l’exposition aux risques liés à la sécurité informatique;

18.  rappelle que, conformément à l’article 15 de la directive 2000/31/CE, les États membres ne doivent pas imposer aux prestataires de services de transmission, de stockage et d’hébergement l’obligation générale de surveiller les informations qu’ils transmettent ou stockent, ni l’obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites; rappelle notamment que la Cour de justice de l’Union européenne, dans ses affaires C-360/10 et C-70/10, a rejeté des mesures concernant la «surveillance active» de presque tous les utilisateurs des services concernés (des fournisseurs d’accès à l’internet dans un cas, un réseau social dans l’autre) et a requis l’exclusion de toute injonction demandant à un prestataire de services de stockage d’exercer une surveillance générale;

Non-discrimination

19.  souligne qu’en raison des ensembles de données et des systèmes algorithmiques utilisés dans les évaluations et prédictions aux différents stades du traitement des données, les mégadonnées peuvent non seulement devenir une source de violation des droits fondamentaux des individus, mais également d’inégalités de traitement et de discrimination indirecte à l’égard de groupes de citoyens dotés de caractéristiques similaires, notamment en termes d’équité et d’égalité des chances dans l’accès à l’éducation et à l’emploi, lors du recrutement ou de l’évaluation des personnes ou lorsqu’il s’agit de déterminer les nouvelles habitudes de consommation des utilisateurs de médias sociaux;

20.  demande à la Commission, aux États membres et aux organismes chargés de la protection des données d’identifier et de prendre toutes les mesures possibles afin de réduire au minimum toute discrimination et partialité algorithmiques, et de mettre en place un cadre éthique commun solide pour le traitement en toute transparence des données à caractère personnel et la prise de décision automatisée, qui puisse servir de guide pour l’utilisation des données et pour l’application de la législation européenne en vigueur;

21.  demande à la Commission, aux États membres et aux autorités chargées de la protection des données d’évaluer spécifiquement la nécessité d’une transparence aussi bien en matière d’algorithmes que vis-à-vis de biais éventuels dans le traitement des données de formation utilisées pour les inférences fondées sur les mégadonnées;

22.  recommande aux entreprises de procéder à des évaluations régulières de la représentativité des ensembles de données, de vérifier si ceux-ci sont entachés d’éléments tendancieux et d’élaborer des stratégies pour y remédier; souligne la nécessité d’examiner la précision et la pertinence des prédictions fondées sur l’analyse des données tout en tenant compte des préoccupations d’éthique et d’équité;

Mégadonnées utilisées à des fins scientifiques

23.  souligne que l’analyse des mégadonnées peut être bénéfique pour la recherche et le développement scientifiques; estime que le développement et l’utilisation de l’analyse des mégadonnées à des fins scientifiques devrait se faire dans le plus grand respect des valeurs fondamentales inscrites dans la charte des droits fondamentaux et conformément à la réglementation européenne en vigueur sur la protection des données;

24.  rappelle qu’en vertu du règlement général sur la protection des données, le traitement ultérieur des données à caractère personnel à des fins statistiques ne peut aboutir qu’à des données agrégées qui ne peuvent être réappliquées aux citoyens;

Mégadonnées aux fins de l'application de la loi

Protection des données et de la vie privée

25.  rappelle à l’ensemble des intervenants chargés de faire respecter la loi qui ont recours au traitement et à l’analyse de données que la directive (UE) 2016/680 régit le traitement de données à caractère personnel effectué par les États membres à des fins répressives; insistent pour que les données collectées ou traitées à des fins répressives soient toujours adéquates, pertinentes et non excessives au regard des finalités déterminées, explicites et légitimes pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées; affirme que la finalité et la nécessité de cette collecte de données doivent être clairement justifiées; affirme que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est interdite, à moins qu'elle ne soit autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement; invite la Commission, le comité européen de la protection des données et les autres autorités de contrôle indépendantes à publier des lignes directrices, des recommandations et des bonnes pratiques en vue de mieux préciser les critères et conditions applicables aux décisions fondées sur le profilage et l’utilisation de mégadonnées à des fins répressives;

26.  souligne l’importance du respect de la directive (UE) 2016/680, en particulier eu égard à la réalisation des évaluations de l’impact préalables et des audits prenant en compte les préoccupations d’éthique de façon à évaluer l’inclusion, la fiabilité et la qualité des données, et à s’assurer que les personnes visées par les décisions et/ou les intervenants impliqués dans les processus décisionnels ont la possibilité de comprendre et de contester la collecte, l’analyse, les modèles et les corrélations et d’empêcher les conséquences néfastes sur certaines catégories de personnes;

27.  souligne que la confiance des citoyens dans les services numériques peut être sérieusement mise à mal par les activités de surveillance de masse du gouvernement et l’accès injustifié aux données à caractère commercial et personnel par les services répressifs;

28.  rappelle que la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée, en vertu de l’article 7 de la charte;

29.  souligne la nécessité de concevoir des lignes directrices et des systèmes à incorporer dans les appels d’offres pour les modèles, outils et programmes de traitements de données fondés sur l’utilisation de mégadonnées à des fins répressives afin de garantir que le code fondamental puisse être et soit vérifié par les services répressifs eux-mêmes, préalablement à l’achat final, et que son adéquation, son exactitude et sa sécurité puissent être vérifiées, en gardant à l’esprit que la transparence et la responsabilité sont limitées par les logiciels propriétaires; souligne que certains modèles de prédiction policière sont plus respectueux de la vie privée que d’autres, par exemple lorsqu’il s’agit de prédictions probabilistes concernant des lieux ou des événements et non des individus;

Sécurité

30.  souligne la nécessité absolue de protéger les bases de données des services répressifs contre les failles de sécurité et l’accès illégal puisqu’il s’agit là d’un sujet de préoccupation pour les citoyens; estime dès lors qu’une coopération concertée et efficace entre les services répressifs, le secteur privé, les administrations et les autorités indépendantes en matière de contrôle de la protection des données, est nécessaire pour faire face à ces risques; insiste sur la nécessité de garantir la sécurité adéquate pour les données à caractère personnel, conformément au règlement (UE) 2016/679 et à la directive (UE) 2016/680, et de réduire au minimum la vulnérabilité au moyen de bases de données sécurisées et décentralisées;

Non-discrimination

31.  prévient que, compte tenu du caractère intrusif des décisions et des mesures prises par les services répressifs – notamment le traitement et l’analyse de données – à l’égard de la vie et des droits des citoyens, la plus grande prudence est de mise pour éviter toute discrimination illégale et le ciblage d’une certaine personne ou d’un certain groupe de personnes défini par référence à sa race, sa couleur, son origine ethnique ou sociale, ses caractéristiques génétiques, sa langue, sa religion ou ses convictions, ses opinions politiques ou autres, ses biens, sa naissance, son handicap, son âge, son sexe, son expression ou son identité de genre, son orientation sexuelle, son statut de résidence ou son état de santé, son appartenance à une minorité nationale qui fait souvent l’objet d’un profilage ethnique ou subit davantage de contrôles de police, ainsi que les personnes ayant des caractéristiques particulières; demande une formation spécifique pour les collecteurs de données de première ligne et les utilisateurs des renseignements découlant de l’analyse des données;

32.  demande aux services répressifs des États membres qui recourent à l’analyse des données d’appliquer les normes éthiques les plus élevées lors de l’analyse des données et de garantir des interventions humaines et la reddition de comptes à tous les stades de la prise de décision, pour évaluer non seulement la représentativité, la fiabilité et la qualité des données, mais aussi la pertinence de chacune des décisions devant être prise sur la base de ces informations;

o
o   o

33.  charge son Président de transmettre la présente résolution au Conseil et à la Commission.

(1) JO L 119 du 4.5.2016, p. 1.
(2) JO L 119 du 4.5.2016, p. 89.
(3) http://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108
(4) https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805cdd00
(5) https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-11-19_Big_Data_FR.pdf
(6) https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-09-23_BigData_opinion_FR.pdf
(7) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp221_fr.pdf
(8) Avis 8/2016 du Contrôleur européen de la protection des données du 23 septembre 2016, p. 15.

Avis juridique - Politique de confidentialité