Données dérivées / Obtenues à partir d’autres données : définition et concepts clés

Les données dérivées désignent des informations, ensembles de données ou conclusions créés par le traitement, l’analyse, la transformation ou l’extraction à partir de sources de données existantes—plutôt que d’être collectées directement lors d’événements, d’expériences ou d’observations. Contrairement aux données brutes ou primaires (telles que les relevés de capteurs ou les documents originaux), les données dérivées sont un produit secondaire, souvent affiné, agrégé ou interprété. Cette distinction est fondamentale dans les contextes juridiques, réglementaires et techniques, car le statut et le traitement des données dérivées peuvent entraîner des obligations différentes pour les organisations, les utilisateurs de données et les sous-traitants.

Par exemple, dans l’aviation, les données de surveillance du trafic aérien sont dérivées des échos radar et traitées en pistes d’aéronefs ou alertes de conflit. En cybersécurité, le renseignement sur les menaces est dérivé des journaux, de l’activité réseau et de l’historique des incidents. Chaque transformation introduit de nouvelles métadonnées, des erreurs potentielles et des enjeux de conformité, tels que la traçabilité et le risque de ré-identification dans les données personnelles.

La gestion des données dérivées soutient la gouvernance du cycle de vie des données. Les produits dérivés—tels que les rapports d’analyse ou les statistiques synthétiques—doivent être gérés en fonction des propriétés des données originales et de celles introduites lors de la dérivation, notamment l’exactitude, la traçabilité et la conformité aux exigences de confidentialité ou de sécurité.

Données sources : la base de la dérivation

Les données sources sont l’information originale, non traitée, collectée directement à sa source—telles que les capteurs, la saisie humaine ou l’observation directe. Exemples : télémétrie brute d’aéronef, vidéo non éditée, réponses à des enquêtes ou journaux de transactions. L’intégrité et la sécurité des données sources sont primordiales, car toute erreur ou biais à ce niveau fondamental se répercute sur les données dérivées.

Les données sources sont souvent soumises à des contrôles plus stricts concernant l’accès, la modification et la conservation. En sécurité aérienne, par exemple, les enregistrements vocaux de cockpit et les données de vol sont conservés dans leur forme originale pour garantir une reconstitution précise des incidents. Maintenir la chaîne de traçabilité et des métadonnées robustes (horodatages, calibrage des capteurs, contexte) est essentiel pour la fiabilité et la conformité réglementaire en aval.

Œuvre dérivée : propriété intellectuelle et implications juridiques

Une œuvre dérivée est un nouveau contenu créé par adaptation, modification ou enrichissement d’un contenu existant. Cela est central en droit d’auteur et dans les contrats gouvernementaux. Les œuvres dérivées peuvent inclure des traductions, adaptations, abrégés ou toute transformation qui intègre des éléments substantiels de l’original.

Par exemple, un logiciel modifié à partir d’un code open-source est une œuvre dérivée et soumis à la licence originale. Dans les contrats gouvernementaux, notamment dans l’aviation et la défense, les sous-traitants créent des œuvres dérivées en améliorant ou en analysant les données fournies. Le Federal Acquisition Regulation (FAR) distingue les « données produites pour la première fois dans le cadre du contrat » et les « données livrées au gouvernement », chacune avec des droits différents. Une documentation précise et le respect des exigences de licence et d’attribution sont essentiels pour éviter les litiges.

Classification dérivée : sécurité et confidentialité dans la sécurité nationale

La classification dérivée est un processus formel par lequel de nouveaux documents sont créés à partir de sources déjà classifiées. Aux États-Unis, l’Executive Order 13526 encadre la classification dérivée, exigeant que tous les marquages et instructions de déclassification soient conservés. Contrairement à la classification originale, la classification dérivée ne nécessite pas d’autorité initiale, mais une stricte application des procédures de marquage et de documentation.

Ceci est particulièrement important dans l’aviation lors de la synthèse de renseignements classifiés sur des menaces ou vulnérabilités techniques. Les erreurs de classification dérivée peuvent entraîner des divulgations non autorisées ou des responsabilités juridiques, rendant la documentation et la conformité cruciales.

Données à droits limités et logiciels informatiques restreints : droits sur les données dans les contrats publics

Les Données à droits limités et les Logiciels informatiques restreints sont des termes désignant la propriété intellectuelle créée ou livrée dans le cadre de contrats gouvernementaux. Les Données à droits limités couvrent les données techniques développées sur des fonds privés et pouvant contenir des informations propriétaires ou sensibles ; l’utilisation par le gouvernement est restreinte, généralement à des fins internes. Les Logiciels informatiques restreints désignent les logiciels développés sur des fonds privés, protégés comme secrets commerciaux ou par droit d’auteur, le gouvernement ne pouvant que les exécuter—sans modification ni rétro-ingénierie.

Les sous-traitants doivent faire valoir leurs droits lors de l’attribution du contrat ou de la livraison des données, en utilisant les mentions ou notifications prescrites. En aviation, un étiquetage correct garantit la protection du logiciel ou des données propriétaires tout en répondant aux besoins gouvernementaux. Négliger de faire valoir ses droits peut entraîner une perte de protection et une divulgation non souhaitée.

Utilisation secondaire et protection des données : garanties réglementaires

L’utilisation secondaire est la réutilisation ou le traitement ultérieur de données personnelles à des fins autres que celles initialement prévues. Conformément au RGPD britannique et au Data Protection Act 2018, l’utilisation secondaire est strictement encadrée afin de protéger la vie privée. Les organisations doivent garantir la compatibilité du nouvel usage avec la finalité initiale, établir une base légale et respecter les obligations de minimisation et de sécurité des données.

Les forces de l’ordre, par exemple, ne peuvent réutiliser les données collectées pour une enquête à d’autres fins sans autorisation spécifique. Des garanties supplémentaires s’appliquent aux catégories particulières de données (ex. biométriques) ou aux données sur les infractions pénales, nécessitant des conditions plus strictes et parfois des Analyses d’Impact sur la Protection des Données (AIPD). Les organisations doivent documenter les activités de traitement et prouver leur conformité pour éviter les sanctions.

Fruit de l’arbre vénéneux : règle d’exclusion en matière de preuve pénale

La doctrine du fruit de l’arbre vénéneux en droit américain exclut les preuves obtenues à la suite de perquisitions ou saisies illégales, ainsi que les preuves dérivées. Cette doctrine vise à dissuader les violations du quatrième amendement en rendant ces éléments irrecevables en justice. Par exemple, en aviation, des preuves issues de fouilles non autorisées de bagages ou d’accès irrégulier à des dossiers peuvent être écartées.

Des exceptions existent, telles que l’exception de bonne foi (confiance raisonnable en un mandat valide), la doctrine de la source indépendante (preuve obtenue indépendamment de l’acte illégal) et la règle de la découverte inévitable (preuve qui aurait été trouvée légalement de toute façon). Une formation adaptée et des procédures claires sont essentielles pour garantir la recevabilité des preuves.

Cadres juridiques et réglementaires : aperçu

Sécurité nationale et classification

Le traitement des données dérivées dans les contextes de sécurité nationale est régi par des lois et ordonnances, notamment l’Executive Order 13526 américain. Tous les produits dérivés doivent conserver le niveau de classification le plus élevé de la source, ainsi qu’un marquage et une documentation appropriés. Les agences telles que le DoD, la FAA ou la communauté du renseignement disposent de guides détaillés pour le marquage et la gestion des informations dérivées. Les violations peuvent entraîner des sanctions ou une perte d’habilitation.

Contrats publics et droits sur les données

La clause FAR 52.227-14 et des clauses associées régissent la gestion des données dans les contrats fédéraux, distinguant les données produites sous contrat, les données livrées mais non produites, et les données tierces. Les droits du gouvernement (illimités, limités, restreints) dépendent du financement et des termes du contrat. Les sous-traitants doivent identifier, marquer et documenter les droits lors de la soumission. En cas de manquement, la protection peut être perdue. La transmission des droits aux sous-traitants et une documentation claire sont nécessaires pour la conformité.

Traitement des données personnelles et forces de l’ordre

Le traitement des données personnelles, notamment par les forces de l’ordre, est strictement encadré par le RGPD britannique, la DPA 2018 et d’autres cadres. Les données personnelles dérivées—telles que les profils comportementaux ou les analyses—doivent être traitées avec la même rigueur que les collectes directes. Les forces de l’ordre ne peuvent réutiliser les données sans base légale explicite, et les catégories particulières (ex. données biométriques ou de santé) nécessitent des conditions et garanties renforcées.

Procédure pénale et règle d’exclusion

Les tribunaux examinent attentivement la recevabilité des preuves, en particulier si elles proviennent d’agissements illégaux. La règle d’exclusion et la doctrine du « fruit de l’arbre vénéneux » imposent d’examiner la chaîne de causalité, avec des exceptions lorsque l’exclusion n’est pas justifiée. Ces principes s’appliquent tant aux preuves physiques que numériques.

Principes opérationnels et listes de conformité

Classification dérivée (sécurité nationale)

• Identification des sources : Examiner tous les documents sources pour la classification, la déclassification et les restrictions.
• Marquage : Appliquer la classification la plus élevée et reporter les instructions de déclassification.
• Documentation : Lister toutes les sources pour assurer la traçabilité.
• Formation : Suivre et documenter une formation tous les deux ans.
• Responsabilité : Identifier le classificateur sur chaque document.
• Archivage : Conserver les traces des actions de classification et des audits.

Droits sur les données dans les contrats publics

• Identification des données : Distinguer les données selon leur origine et la source de financement.
• Déclaration des droits : Déclarer et étiqueter les droits limités ou restreints à la soumission, avec documentation à l’appui.
• Licences : Obtenir les licences pour les composants tiers.
• Mentions légales : Joindre les mentions/notifications prescrites aux livrables.
• Transmission aux sous-traitants : Garantir la cohérence des droits et obligations dans la chaîne d’approvisionnement.
• Archivage : Tenir des registres complets pour les audits et litiges.

Partage et traitement des données personnelles

• Évaluation : Vérifier la nécessité et la proportionnalité de l’utilisation secondaire.
• Base légale : Identifier et documenter l’autorité légale.
• Fondement juridique : Déterminer la base légale au regard du RGPD (intérêt public, consentement, etc.).
• Données sensibles : Satisfaire aux conditions pour les données particulières/pénales.
• Minimisation : Limiter l’étendue des données ; recourir à l’anonymisation ou la pseudonymisation si possible.
• Conformité : Mettre en œuvre des contrôles continus et assurer la transparence.

Exclusion des preuves pénales

• Vérification d’acquisition : Confirmer l’acquisition licite de la preuve.
• Analyse de la dérivation : Examiner la chaîne de traçabilité et de dérivation.
• Évaluation des exceptions : Considérer l’applicabilité des exceptions.
• Procédure d’objection : Soulever rapidement les objections sur la recevabilité.
• Archivage : Conserver des dossiers complets sur les preuves et les procédures.

Exemples et cas d’usage

Sécurité nationale : préparer un résumé de renseignement dérivé

Un analyste sécurité aérienne reçoit une évaluation de menace classifiée. Pour informer la direction, l’analyste résume les principaux constats, reformulés pour l’audience, et marque le résumé du même niveau de classification que la source, incluant les instructions de déclassification et les références. Cela garantit la protection et la traçabilité conformément à l’Executive Order 13526.

Contrats publics : rapports de performance à partir de données de test

Un sous-traitant de la défense utilise des données de test fournies par le gouvernement pour générer des rapports de performance, en appliquant des algorithmes propriétaires. Les données brutes (produites sous contrat) sont livrées au gouvernement avec des droits illimités ; les améliorations propriétaires sont déclarées comme données à droits limités ou logiciels restreints avec les mentions appropriées, protégeant les intérêts des deux parties.

Données personnelles : partage de données des forces de l’ordre avec une autorité civile

Une agence de maintien de l’ordre collecte des données personnelles lors d’une enquête. Plus tard, une autorité civile demande ces données à des fins d’analyse statistique. Avant de partager, l’agence évalue la base légale, s’assure de la compatibilité de l’usage, minimise l’ensemble de données et documente la conformité au RGPD et à la DPA 2018.

Conclusion

Les données dérivées—qu’elles soient liées au gouvernement, à la sécurité nationale, au secteur privé ou aux données personnelles—entraînent des implications juridiques, réglementaires et opérationnelles spécifiques. Les organisations doivent distinguer les données sources des données dérivées, gérer la propriété intellectuelle et les droits sur les données, respecter les réglementations en matière de sécurité et de confidentialité, et garantir la légalité du traitement des preuves. Une documentation rigoureuse, des listes de conformité et une formation continue sont essentielles pour réduire les risques et maximiser la valeur des informations dérivées.