Point étape sur la Portabilité des Données

Xavier tu as fondé Fair&Smart en 2016 et vous proposez des solutions éthiques de gestion des données personnelles à destination des particuliers et des entreprises :

-   selfdata (MyFairData - labellisée PrivacyTech 2020 et MyData Operator 2020),

-   gestion des consentements (Right Consents - labellisée PrivacyTech 2020),

-   gestion des demandes de droit RGPD (Right Requests) et

-   portabilité des données personnelles (Right Data).

Xavier LEFEVRE : Effectivement notre solution a été conçue, et développée pour répondre aux enjeux du RGPD, et hébergée exclusivement au sein de l’Union Européenne. Les solutions Fair&Smart visent à restaurer la confiance entre individus et organisations grâce à plus de transparence et de contrôle laissé aux personnes concernées. Elles permettent de faciliter la libre circulation des données personnelles sous le contrôle de la personne conformément aux objectifs du RGPD.

En effet le RGPD a introduit le droit à la portabilité des données qui s'applique dans certains types de traitements. Encore aujourd'hui, il semble que ce nouveau cadre est encore vu par les entreprises comme une contrainte, dont la mise en place effective parait difficile.

La perception des consommateurs ne semble pas tellement plus enthousiaste.

> L'intérêt pour les acteurs de l'écosystème (quel secteur, quelle taille, quel service nouveau ...) ?

Xavier LEFEVRE : Effectivement, deux ans et demi après l’entrée en vigueur du RGPD, la portabilité des données personnelles reste encore toute théorique dans la plupart des secteurs. Les détenteurs de données évoquent souvent l’absence de services réutilisateurs pour ne pas bouger. Pourtant, à l’instar du DataConnect d’Enedis ou d’ADICT de GrDF, on voit bien que quand la portabilité est mise en place, des services réutilisateurs de valeur ne tardent pas à émerger et à être plébiscités par les consommateurs.

Bien sûr il y a un coût à la mise en œuvre de la portabilité, et les outils performants, sécurisés et compétitifs pouvaient manquer en 2018. Ce n’est plus le cas aujourd’hui. La pression va s’accentuer très fortement sur les acteurs dans tous les secteurs, et faire preuve de mauvaise volonté sur ce qui n’est qu’appliquer la loi est un pari risqué. L’exigence des citoyens à pouvoir utiliser leurs données personnelles comme ils l’entendent se matérialise déjà dans les projets SmartCity ou e-santé. Ce n’est que le début.

On a beaucoup évoqué la portabilité de playlists musicales. De ton point de vue est-ce le seul type de fonctionnalités qui peuvent être déployées à moyen terme ? les enjeux de la portabilité ne semble pas être perçue dans les fédérations ou syndicats d'entreprises (le fevad ou le syntec notamment).

Xavier LEFEVRE : La portabilité des playlists musicales est un bon exemple de portabilité « concurrentielle » : je souhaite changer de fournisseur pour un concurrent qui offre un service similaire mais je souhaite le faire sans perdre la « valeur » qui réside dans le temps que j’ai passé à personnaliser ce service, ici à constituer mes playlists. En ce sens, la portabilité dynamise la concurrence et permet au consommateur de ne pas rester captif d’un fournisseur qui ne lui apporterait plus satisfaction. Cette portabilité là est relativement facile à mettre en œuvre : le nombre d’acteurs par service sur un marché donné est connu, ils ont a priori besoin des mêmes données pour les mêmes finalités et pourraient même convenir collectivement de standards d’interopérabilité.

Mais la portabilité des données n’est pas que concurrentielle, elle peut être complémentaire et alimenter d’autres services non concurrents. Pour reprendre l’exemple de ta playlist musicale, elle pourrait alimenter un service de recommandation de concerts, de rencontre amoureuse par affinités, de prévention de la dépression ou que sais-je encore. Dans ces cas de figure, la portabilité est plus compliquée à mettre en œuvre en raison de la multiplicité des acteurs possibles et des finalités. Elle ne pourra pas se faire massivement, il me semble, sans l’intervention d’un service dédié dont la neutralité est garantie, qui est contrôlé par l’individu, et assure au bénéfice de toutes les parties prenantes la sécurité des transferts, l’auditabilité des échanges et la génération des éléments de conformité réglementaire nécessaires, RGPD en particulier (notamment la gestion des consentements).

Quelle est ton analyse à ce sujet ? Quel type de réserves perçois tu de la part des entreprises qui font appel à tes services ? La difficulté identifiée par les entreprises repose sur la nécessaire interopérabilité des données, ce qui implique d'aboutir à un ou des standards techniques.

Xavier LEFEVRE : Les entreprises qui font appel à nous sont justement celles qui ont le moins de réserves mais il y en a toujours ! D’abord, il y a l’habituelle réticence au changement. Depuis la naissance de l’informatique professionnelle au siècle dernier, la collecte et la gestion des données personnelles n’ont été pensées que par les entreprises et pour les entreprises, dans une relation directe avec la personne extrêmement déséquilibrée. Passer à un monde où la donnée personnelle circulerait de façon fluide entre acteurs de toute taille et de toute nature selon les desideratas des personnes concernées est un vrai changement de paradigme.

Ensuite il y a les outils. Sans surprise, les outils du passé ne sont pas adaptés à un tel changement. Beaucoup de grandes organisations peinent encore à casser les silos de données qu’elles ont en interne, au sein d’un SI qu’elles contrôlent pourtant. Assurer une bonne gouvernance des données en interne est déjà compliqué alors devoir assurer cette même gouvernance dans un environnement ouvert peut susciter des craintes légitimes.

Enfin, les problèmes d’interopérabilité sont souvent évoqués. C’est un vrai sujet. Comment garantir l’identité des parties prenantes auprès de chacune des parties prenantes (source(s) des données, destinataire(s) des données, personne concernée) ? Quels formats de données utiliser ? Quelles modalités d’échanges avec quelles technologies de sécurisation ?... Tous ces problèmes sont surmontables avec un nombre d’acteurs restreint mais le passage à l’échelle est difficilement envisageable sans que des standards émergent sur tous ces points. Ces travaux avancent pas à pas de façon progressive et itérative. Ils s’étaleront sur plusieurs années mais le secteur de la santé par exemple a avancé rapidement ces derniers mois et le standard FHIR HL7 se déploie de plus en plus.

Cette difficulté est-elle selon toi plus d'ordre technique, ou d'avantage économique, voire stratégique avec la crainte pour les entreprises de perdre un actif immatériel ?

Xavier LEFEVRE : Ce sujet de l’interopérabilité est clairement technique. Il requiert des compétences dont peuvent disposer les grandes entreprises et administrations publiques mais dont il est déraisonnable de penser que la plupart des PME puissent un jour disposer. Ils impliquent aussi des collaborations internationales. Assurer cette interopérabilité est un travail de spécialiste, et à mon sens, la première valeur que vont apporter les « opérateurs de portabilité » ou « opérateurs de données » dont on se revendique. Cette faculté de conversion des données dans des formats pivot standards est d’ailleurs explicitement autorisée aux « data sharing services » présentés dans le nouveau « Data Governance Act » européen.

Les difficultés et craintes que tu évoques au niveau économique voire stratégique sont réelles, fréquentes, et je les comprends. Mais elles relèvent à mon sens d’une façon inappropriée de poser les enjeux. Je m’explique : si la prospérité future d’une entreprise ne devait se mesurer qu’à la quantité de données personnelles qu’elle capte et conserve « précieusement », alors on peut baisser le rideau car cette bataille est déjà perdue pour les acteurs Européens face aux plateformes américaines (ou chinoises qui frappent à la porte). C’est ce modèle même de plateformes captives fonctionnant en jardin clos que le droit à la portabilité vient disrupter. Le véritable actif immatériel sur lequel les entreprises européennes peuvent asseoir leur croissance, c’est la confiance que leurs clients leur accorde sur leur cœur de métier. L’enjeu n’est pas de stocker toujours plus de données personnelles et de dépenser des millions pour en assurer la gouvernance et la sécurité, mais de pouvoir accéder en temps voulu aux données personnelles nécessaires à l’exécution d’un service de qualité au moment souhaité. Cet accès aux données sera consenti en priorité aux acteurs dignes de confiance. C’est donc pour eux plutôt l’opportunité de créer de la valeur en développant de nouveaux services sur la base de nouveaux jeux de données devenus accessibles, en tant que destinataire de la portabilité, plutôt que s’imaginer faussement appauvri en tant que source de données transférées à un tiers. 

> L'intérêt pour les consommateurs : En dehors de la FING en France, et MyData au niveau européen, les mouvements associatifs ne semblent pas particulièrement enthousiastes quant à l'intérêt de ce droit en terme de services ? Quel est ton point de vue ?

Xavier LEFEVRE : La portabilité n’est qu’un moyen, elle n’est pas une fin en soi. Si elle devait aboutir à ce que les personnes concernées aient encore plus de données personnelles éparpillées un peu partout sans moyen simple de les contrôler, ce ne serait pas un progrès. Mais d’autres associations que celles que tu as citées la soutiennent, comme UFC Que Choisir en France, en ce qu’elle permettrait aux consommateurs de changer plus facilement de fournisseurs. La portabilité concurrentielle peut être mise en œuvre rapidement. Cela implique une volonté politique forte pour la faire appliquer mais il me semble que cette volonté est bien là. On peut faire le parallèle avec la portabilité du numéro de téléphone imposée aux opérateurs il y a 20 ans.

Du côté des services, ils émergeront à mesure que de plus en plus de données seront accessibles. Mais on ne peut pas demander à des acteurs publics ou privés d’investir dans le développement de nouveaux services dont ils ne savent pas quand ils pourront être opérationnels et alimentés par les données issues de la portabilité dont ils ont besoin. Ce n’est pas un problème d’œuf et de poule comme on le présente parfois. La libération des données d’abord, les services suivront. On peut saluer d’ailleurs la pression croissante qu’exercent certaines collectivités territoriales sur leurs fournisseurs pour qu’ils permettent une réutilisation consentie des données des citoyens du Territoire par la collectivité. C’est une condition d’émergence des Territoires intelligents et d’accomplissement des nouvelles missions qu’ils se fixent, pour relever les défis environnementaux, énergétiques, de mobilité, de santé, de bien-être, d’inclusion sociale…etc

La gouvernance et le mode de représentation les consommateurs : Au delà de la portabilité des données, celles ci devraient pouvoir être réutilisables, pour les mêmes finalités comme par exemple les playlists musicales, mais également pour d'autres usages. Pour cela un cadre doit être posé, au niveau juridique mais également en terme de Gouvernance.

Le RGPD prévoit la possibilité d'élaborer des codes de conduite, et ouvre la voie à une représentation des personnes concernées.

Quel est ton point de vue au regard de ton activité :

- sur l'intérêt d'un code de conduite pour fédérer les acteurs intéressés à la réutilisation des données, et renforcer la confiance des consommateurs ?

- sur le mode de représentation les consommateurs pour éviter un trop grand déséquilibre. Au niveau de l'Internet nous percevons les limites du W3C...

Xavier LEFEVRE : Un code de conduite est un minimum mais n’est qu’une première étape. Il faut distinguer 3 types d’acteurs :

-   les personnes concernées bien sûr (individus) ;

-   les organisations qui sont tantôt sources tantôt destinataires des données ;

-   les services d’intermédiation qui « opèrent » la portabilité.

Les personnes concernées doivent avoir les moyens d’organiser la portabilité de leurs données comme bon leur semble, pour les services et les finalités qu’elles veulent, de façon libre, informée et autonome. Néanmoins, il me paraît illusoire d’imaginer que chaque personne passera demain 1h par jour à administrer ses données personnelles. Ce n’est ni réaliste ni souhaitable. Je ne suis pas favorable à ce qu’on fasse peser l’essentiel des responsabilités sur les individus. Il n’est pas toujours facile de saisir les enjeux et beaucoup de personnes ne sont pas encore en capacité de le faire.

Les organisations sources ou destinataires des données sont déjà soumises à toutes les obligations du RGPD et je ne pense pas qu’il soit nécessaire de rajouter des obligations spécifiques à la portabilité. Licéité du traitement, mesures de sécurité appropriées, minimisation des données…etc ces obligations doivent et devront encore être scrupuleusement respectées. La portabilité n’est qu’un moyen parmi d’autres d’accéder aux données nécessaires au traitement (au même titre que la collecte directe via un formulaire largement répandue par ex).

Les opérateurs de portabilité doivent être encadrés et le sujet a déjà beaucoup avancé. Il faut citer le travail exceptionnel de MyData Global dont la charte et le memorandum « Understanding MyData operators » fixe des principes clairs issus de la consultation de très nombreux acteurs à l’échelle mondiale (individus, activistes, universitaires, startups, entreprises privées, acteurs publics…). Ces principes sont largement repris par l’initiative française aNewGovernance par exemple. Parmi les principes unanimement plébiscités par les acteurs naissants de cet écosystème dont nous faisons partie, le principe de neutralité : un opérateur de portabilité se limite à cette mission et n’a pas à accéder aux données ou à vendre des services annexes qui utiliseraient ces données. Pour faire une comparaison, un opérateur téléphonique n’est pas autorisé à écouter nos conversations.

Citons aussi le principe d’interopérabilité entre les opérateurs : l’individu doit rester libre de solliciter le ou les services de son choix. Dans cette optique par exemple, le Data Governance Act européen interdit explicitement qu’un opérateur convertisse les données dans un format propriétaire.

On déplore souvent que le législateur soit en retard sur les usages et ne fasse que corriger les dérives constatées. Ici, le législateur européen est en avance et se trouve être le déclencheur de l’émergence de tout nouveaux acteurs : les opérateurs de données (ou « MyData operators », ou « Data sharing services »…). On ne peut que saluer la vision du législateur européen en la matière et sa grande compétence (rappelons que le RGPD, un texte jeune et qui est en train d’influencer les législations du monde entier, n’a pas eu à être amendé ou modifié dans le contexte exceptionnel de la pandémie de Covid que nous connaissons. C’est le signe d’une maturité et d’une robustesse évidentes.) L’en jeu dans les années à venir, sera pour lui de trouver le juste équilibre entre la définition des contraintes règlementaires nécessaires à l’instauration de la confiance, et le degré de liberté indispensable aux nouveaux acteurs innovants de ce futur marché pour trouver leur voie et exister de façon pérenne.

Les équipes de fair&smart sont particulièrement fières de contribuer à leur échelle à cette co-construction d’une économie de la donnée plus respectueuse des libertés fondamentales et, nous en sommes convaincus, génératrice de davantage de valeur mieux partagée entre tous les acteurs.