"Industrie du futur" ou "Industrie 4.0" : l'industrie se connecte. Les objets et équipements du monde réel nécessaires à la production convergent vers les outils numériques et virtuels pour ne former qu'un. Les usines sont connectées, sont robotisées, sont intelligentes.

La data est la matière première de nombre de projets innovants dans l'industrie. Mais quelles précautions sont à prendre dans le développement de tels projets data ? Peut-on utiliser tout type de data ? Comment organiser l'utilisation des données d'entrée et à qui appartiennent les données générées par les technologies de traitement?

"Industrie du futur" ou "Industrie 4.0" : l'industrie se connecte. Les objets et équipements du monde réel nécessaires à la production convergent vers les outils numériques et virtuels pour ne former qu'un. Les usines sont connectées, sont robotisées, sont intelligentes.

Le plan annoncé par le Gouvernement le 20 septembre 2018, "Transformer notre industrie par le numérique", définit l'industrie du futur comme "un ensemble de transformations des systèmes de production introduites par les nouvelles technologies. Robotique, réalité virtuelle ou augmentée, réseaux de capteurs et logiciels, traitement des données, contrôle non destructif... les technologies du numérique permettent à l'industrie de se réinventer pour gagner en agilité, en flexibilité, mais aussi de répondre aux nouvelles exigences en matière de responsabilité environnementale et sociétale."

La data est la matière première de nombre de projets innovants dans l'industrie (et dans bien d'autres secteurs). Or bien souvent, les acteurs économiques ne connaissent que très peu :

  • la diversité de leur data : de quelles données je dispose? Qu'elles sont leur qualité, leur format?
  • leur provenance : d'où viennent mes data ? De mes équipements, d'équipements de tiers, de bases de données extérieures?
  • leur localisation : où sont situées, hébergées mes data? Puis-je en disposer librement?
  • et surtout leur potentiel économique : comment valoriser mes data? Pour quel objectif?

Un projet impliquant l'utilisation de data nécessite de répondre techniquement à ces questions (1), mais implique également de connaitre juridiquement l'étendue des droits dont l'entreprise dispose sur "ses" données (2), afin de pouvoir les traiter, les croiser, les interfacer avec des outils de type intelligence artificielle.

L'analyse juridique ne doit pas avoir pour effet de bloquer le projet mais au contraire de l'accompagner, de trouver des solutions agiles, de le sécuriser pour mieux le valoriser. Par ailleurs, la mise en place d'une gouvernance des données permet de s'affranchir petit à petit d'analyse juridique systématique (3).

1. De quelles données dispose l'industrie ?

L'industrie dispose d'une multitude de données hétérogènes :

  • des données de provenance multiple : les données peuvent provenir de capteurs, d'équipements ou d'objets connectés, de relevés manuels, d'outils de supervision de type SCADA (Supervisory Control And Data Acquisition) ; elle peuvent également provenir de sources extérieures comme par exemple des données météo provenant de Météo-France ou encore des données provenant de tiers partenaires.
  • des données hétérogènes : ces données peuvent être de format différent (image, texte, son, relevé manuel), de qualité hétérogène, être associées de balises et métadonnées plus ou moins qualifiantes.
  • des données plus ou moins structurées : l'entreprise peut entreposer ses données dans des datalake plus ou moins hiérarchisés et architecturés, des containers ou clusters peuvent regrouper des données par grappe, des liens entre les données peuvent être organisés. Un des apports majeurs des outils récents de big data est leur capacité à traiter des data non structurées.
  • mais où sont mes données ? dans certains cas les données sont entreposées dans des data center propriété de l'entreprise ou mis à disposition par contrat d'hébergement. Dans d'autres cas, et notamment dans le cas d'objet ou d'équipement connecté, l'entreprise qui exploite les équipements ne dispose pas forcément et matériellement des données produites par ceux-ci. Pour disposer de ces données, il est nécessaire de vérifier son contrat avec son équipementier et le cas échéant entrer en négociation.

Il est important de vous questionner sur la disponibilité et la maturité de vos data pour mener un projet de type intelligence artificielle1.

Outil : Recensement des données et classement par typologie, provenance, format, qualité, localisation.

2. Le droit de la data un droit en mille-feuilles

Si la data est techniquement une notion hétérogène et protéiforme, elle peut également revêtir juridiquement plusieurs qualifications et régimes associés.

Il n'existe pas un droit général sur les données mais des droits particuliers sur des typologies de données spécifiques. Certaines données relèvent d'un régime protecteur, d'autres relèvent au contraire d'une sphère d'ouverture, d'autres encore ne disposent actuellement d'aucun régime légal.

Les data relavant d'un régime de protection

Premier et incontournable type de données : la donnée à caractère personnel. Cette donnée relève du champ d'application du Règlement général pour la protection des données 2016/679 (RGPD)2 et des lois nationales en vigueur relatives aux données personnelles3. Tout traitement de données à caractère personnel implique la mise en place d'un cadre sécurisé de protection par défaut ; le traitement de données sensibles (relatives à la santé ou encore à la religion, aux opinions politiques, etc. - article 9 du RGPD) exigent un niveau de sécurisation supplémentaire. Tout nouveau projet doit dès sa conception être pensé en conformité avec les obligations de ce texte dont l'objectif est d'organiser le plus haut niveau de protection des données des personnes physiques.

La deuxième catégorie de données regroupe les données confidentielles ou relevant du secret des affaires. La directive 2016/9434 sur la protection des secrets d'affaires ainsi que la loi française de transposition n°2018-670 du 30 juillet 20185 viennent organiser la protection des secrets d'affaires contre toute obtention, utilisation et divulgation illicites. Les données commerciales, économiques, stratégiques, les secrets d'affaires relèvent d'un régime sanctionnant toute utilisation ou appropriation illicite. Un contrat (de prestation, de partenariat ou encore un engagement de confidentialité – NDA) peut également venir encadrer contractuellement une confidentialité sur une typologie de données. Tout traitement de ces données nécessite l'autorisation préalable de leur propriétaire initial et une attention singulière.

Le troisième type de données couvert par un régime de protection comprend l'ensemble des données protégées par un droit de propriété intellectuelle : droit d'auteur, droit des marques, droit des bases de données, droit des brevets ou encore droit des dessins et modèles sont autant de droits privatifs qui empêchent un traitement libre (entendre sans autorisation préalable) de ces données.

Outil : Recensement des données et qualification juridique des données / identification des données relevant d'un régime légal ou contractuel de protection

Les data relavant d'un régime d'ouverture

L'open data des données publiques ou encore l'ouverture des données publiques autorise tout à chacun (personne morale comme personne physique) à utiliser et à traiter librement les données produites ou reçues par les administrations, y compris à des fins commerciales. Le code des relations entre le public et l'administration encadrent les principes d'ouverture et de libre réutilisation de ces données. Le site www.data.gouv.fr, les sites de collectivités territoriales, Paris (www.opendata.paris.fr), Rennes (www.data.rennesmetropole.fr), la région Sud (http://opendata.maregionsud.fr/), ou encore les sites de Météo France (www.donneespubliques.meteofrance.fr), ou de Datatourisme (http://www.datatourisme.fr/)6 proposent en libre téléchargement un grand nombre de jeux de données intéressant la vie économique, sociale, politique, géographique, sociologique. Les licences d'utilisation associées (licence Etalab ou ODbL) encadrent les conditions de réutilisation de ces données.

Les personnes morales de droit privé peuvent également choisir d'ouvrir certaines de leurs données à un écosystème ou au public.

Le modèle même de l'open data réside dans la mise à disposition de données afin de favoriser l'émergence d'analyses, de services ou de produits innovants.

Outil : Recensement des données et qualification juridique des données / identification des données relevant d'un régime d'ouverture et licence associée

Les data ne relevant (encore) d'aucun régime légal

Dans le cadre du marché unique numérique et de l'initiative "Créer une économie européenne fondée sur les données" un projet de règlement relatif à la libre circulation des données non personnelles7 a été adopté par le Parlement européen le 4 octobre 20188. L'objectif de ce texte est de favoriser la libre circulation des données, "condition indispensable pour que l'Europe puisse exploiter au mieux le potentiel des technologies numériques et des avancées dans ce domaine, telles que l'intelligence artificielle et les supercalculateurs"9.

Les données ne relevant pas d'un régime de droit privatif (par l'effet de la loi ou par le contrat) sont régies aujourd'hui par un principe prétorien de liberté d'exploitation ; demain une réglementation relative au stockage des données non personnelles encadrera le sujet.

Outil : Veille sur l'adoption du règlement européen relatif à la libre circulation des données non personnelles

Quel statut pour les data générées par les technologies de traitement ?

Les projets data font rarement l'objet d'encadrement contractuel lorsqu'ils sont réalisés avec des prestataires qui mettent à disposition et parfois spécifient la technologie. Bien souvent, de simples accords de confidentialité ou NDA (non disclosure agreement) sont conclus entre les parties sans que le sort des données générées à partir de la technologie ne soit réglé.

A défaut de définition contractuelle des règles de propriété relatives à ces données mais également des conditions de réalisation de la prestation, il existe un flou et une zone de risque. En effet, ces données générées par l'IA par exemple ne relèvent pas d'un des champs de protection énumérés ci-dessus (voir ci-dessus "Les data relavant d'un régime de protection"). A contrario, un principe de libre utilisation pourrait s'appliquer. Enfin, le projet innovant doit être encadré par des engagements réciproques d'investissement notamment humain et de collaboration.

Un contrat agile, précis, efficace doit venir encadrer cette prestation innovante et surtout clarifier les droits des parties sur les données générées en fonction des objectifs et des circonstances de la relation contractuelle.

Outil : Contrat de prestations innovantes

3. Projet innovant et gouvernance de la data

Cette analyse juridique des data disponibles et mobilisées dans le cadre d'un projet est nécessaire à la sécurisation juridique du projet, à sa valorisation et à son déploiement en interne comme en externe. Le juridique ne doit pas contraindre ou interdire mais au contraire apporter de la confiance.

Pour cela, un projet data implique la mobilisation des équipes métiers, des équipes informatiques et sécurité de l'information mais également des juristes. Le travail en mode projet a ici une véritable concrétisation.

Un projet data ou un projet de mise en conformité RGPD est également l'occasion de prendre de la hauteur et de réfléchir à comment faciliter le développement de l'innovation autour des données en gagnant en agilité sans perdre en sécurité. Pour cela, il convient de s'engager dans une démarche de gouvernance de la data dont les principales étapes peuvent être les suivantes :

Footnotes

1 "Intelligence artificielle et industrie : vos données sont prêtes ?" par Amine Benhenni, 29 mars 2018 http://www.dataswati.com/2018/03/29/intelligence-artificielle-pour-lindustrie-vos-donnees-sont-pretes/

2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

3 En France, la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée notamment par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

4 Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

5 Loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires

6 Dans le cadre du projet d'Observatoire open data des territoires piloté par OpenDataFrance, une carte de préfiguration référençant, dans un premier temps, toutes les collectivités locales (Communes, EPCI à fiscalité propre, Départements et Régions) qui produisent et publient des données publiques ouvertes a été développée : https://umap.openstreetmap.fr/fr/map/carte-odt-prefiguration_206077#5/47.710/-2.043

7 Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union (COM(2017)495) https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-european-parliament-and-council-framework-free-flow-non-personal-data

8 Ce projet doit encore être adopté par le Conseil de l'Union européenne avant d'entrer en vigueur.

9 Déclaration conjointe du vice-président Ansip et de la commissaire Gabriel relative au vote du Parlement européen sur la nouvelle réglementation de l'UE facilitant la libre circulation des données à caractère non personnel

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.