24 nov
2016

L'Autorité précise son point de vue sur les pratiques "big data" de Proximus

Suite à sa position adoptée au sujet de la mise à disposition par Proximus de rapports basés sur des données de localisation anonymes de ses utilisateurs finaux, Matthias Dobbelaere fulmine contre l'Autorité (Data News, 24/11/2016). Il laisse entendre qu'elle ne prend pas ses responsabilités dans ce dossier, étant donné que "en dépit de connaissances techniques quelconques […] elle parvient à décider en quelques heures que cela ne constitue pas une violation de la législation relative à protection de la vie privée". Non seulement cette critique n'est pas fondée quant aux faits, mais elle n'est pas non plus juridiquement pertinente.


Entretiens avec Proximus

Le dernier entretien que l'Autorité a eu avec Proximus au sujet des projets que cette dernière avait de proposer des rapports commerciaux sur mesure basés sur des données de localisation anonymes date du 12 juillet de cette année. La position de l'Autorité n'a dès lors pas été définie en quelques heures seulement.

Position adoptée

Cette position, qui a été communiquée clairement à Proximus lors de l'entretien en question, est intrinsèquement claire et juridiquement correcte. L'article 123 de la Loi relative aux communications électroniques permet notamment aux opérateurs de réseaux mobiles (Proximus et autres) de traiter des données de localisation se rapportant à un abonné ou à un utilisateur final si elles ont été rendues anonymes.

Les explications techniques fournies par Proximus lors de l'entretien ont révélé que les données de localisation individuelles dont l'entreprise se sert pour établir des rapports sont réellement rendues anonymes, les identifiants techniques des appareils mobiles individuels étant même cryptés chaque heure. Pour l'Autorité, tout couplage avec une quelconque donnée de client, que ce soit au niveau de l'analyse ou du rapport, n'est en aucun cas acceptable.

Pour établir des modèles de mobilité sur la base des ensembles "big data" ainsi anonymisés, une condition a en outre été imposée : les données de base servant à déterminer de tels modèles ne peuvent provenir que de données suffisamment agrégées. Pour des raisons de sécurité, l'Autorité n'a donc pas accepté que l'on travaille avec des données de localisation individuelles, même si elles ne contiennent aucune donnée de client ni l'identifiant technique.

Proximus s'est engagée à n'établir des rapports que sur des données de localisation groupées de minimum 30 utilisateurs mobiles finaux. Et pour le rapport final, une extrapolation est en outre réalisée sur la base notamment de la part de marché de Proximus par rapport à celle des autres opérateurs.

L'Autorité estime donc qu'elle a été plus que prudente, en se basant sur une solide connaissance technique des traitements envisagés. À cet égard, elle ne s'est pas basée uniquement sur la lettre de la loi. Elle a également tenu compte de tous les principes pertinents en matière de recherche statistique (anonymisation primaire, agrégation et extrapolation) et a assorti sa décision d'une interdiction absolue d'utiliser des données de clients sous-jacentes à un quelconque stade du processus.