Self data, vers une éthique de l’économie des données personnelles

« Il convient de souligner que les acteurs locaux, et en premier lieu les villes et métropoles européennes, sont bien souvent à l’avant-garde de ces enjeux, souvent en avance par rapport aux gouvernements nationaux »[1] : cette conviction a été exprimée par les auteurs du rapport Bothorel Pour une nouvelle ère de la politique publique de la donnée au sujet du self data. L’article qui suit propose un éclairage sur ce modèle, ses enjeux et les perspectives de son développement.

Le self data, une réponse aux dérives de l’économie des données personnelles

Les données personnelles sont aujourd’hui au cœur de l’économie numérique et de nos services quotidiens. Ces données sont créées par nos interactions avec le web, notre smartphone, notre téléviseur, nos contrats d’énergie, de téléphone, ou encore nos paiements par carte bleue par exemple. Nous les produisons bien souvent sans même nous en rendre compte.

Mais l’utilisation de ces données est encore assez opaque. Les scandales répétés et les excès de la publicité en ligne ont créé un climat de défiance entre les citoyens et les organismes qui utilisent ces données[2].
C’est en partie pour mieux encadrer et renforcer les droits des citoyens européens sur la protection des données personnelles que le RGPD a été créé.

Trois dispositions de ce texte sont les piliers d’un modèle appelé self data en France :

• Les obligations relatives à la gestion du consentement de la collecte et des modalités de collecte des données personnelles (articles 13 et 14 du RGPD)[3],
• le droit à la portabilité des données personnelles (article 20 du RGPD)[4] qui concerne les données collectées sur la base du contrat ou du consentement (voir schéma – source CNIL).
• le principe de minimisation de collecte des données personnelles[5].

Source : CNIL

Le droit à la portabilité ne s’applique que si les données sont traitées de manière automatisée et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.

L’application de ces droits et obligations dessine un modèle dans lequel les modalités de partage des données personnelles sont sous le contrôle des utilisateurs et dans une logique d’autodétermination informationnelle :

• en appliquant le droit à la portabilité, il s’agit de pouvoir choisir d’obtenir une copie de ses données dans un format réutilisable et de pouvoir retransmettre ces données sans obstacle (c’est par exemple ce qui permet aujourd’hui de changer facilement d’opérateur bancaire ou téléphonique)
• en appliquant les meilleures pratiques sur le recueil et l’expression du consentement, il s’agit de pouvoir comprendre et gérer de manière simple et éclairée les autorisation d’accès aux données qui nous concernant.
• en respectant les principes de minimisation de collecte et de traitement des données, il s’agit d’éviter autant que faire se peut de collecter et diffuser des données personnelles.

Ces dispositions, et notamment le droit à la portabilité sont présentées comme un moyen, pour les utilisateurs, de contrôler et maîtriser l’usage des données les concernant. Concernant la portabilité, « c’est aussi un outil de régulation économique dans la mesure où il vise à limiter les effets de verrouillage des clients dans un écosystème fermé. La portabilité est censée permettre une meilleure concurrence entre les fournisseurs de services numériques »[6].

Un potentiel non-réalisé à ce jour

Toutefois, ces droits et principes restent peu ou mal appliqués.

L’étude Données personnelles : le modèle d’après publiée par la Banque des Territoires en décembre 2020[7] fait un état des lieux du self data : qui sont les acteurs qui militent pour ce modèle, qui proposent des solutions ? Quels intérêts ont-ils ? et qu’est-ce qui freine l’émergence de ce modèle ?

En synthèse, les freins sont multiples : le manque de standards au niveau des données et des interfaces limite la portabilité des données. De plus, les entreprises qui détiennent des données sont encore majoritairement frileuse à l’idée d’ouvrir leur base, même si c’est à leurs propres clients. Ensuite, le self data requiert une infrastructure pour laquelle l’investissement de départ n’a pas encore trouvé de source. Cela s’explique par l’absence d’un modèle économique clair dans le domaine.

Pourtant, plusieurs collectivités s’intéressent à ce modèle. Elles y voient plusieurs avantages :

• Simplifier les démarches : la portabilité permet d’éviter de ressaisir les informations. En un clic, j’autorise l’accès à mon nom, mon adresse, mon revenu,…
• Rendre plus transparente l’utilisation des données personnelles : permettre de voir ce qu’on détient, dire ce qu’on en fait, voir ce qu’est une donnée personnelle.
• Proposer des services personnalisés aux habitants : pour atteindre des objectifs environnementaux, proposer de mieux connaître sa conso énergétique ou l’impact de sa mobilité pour proposer des conseils personnalisés.
• Collaborer avec les citoyens pour les politiques publiques : plutôt que de passer par les grandes entreprises comme Airbnb ou Waze, il pourrait devenir possible de proposer aux habitants de partager leurs données pour un temps déterminé, et de manière anonymisée dans le cadre d’une enquête mobilité sur le territoire.

Lyon et la Rochelle se sont lancées pour proposer à des citoyens de disposer d’un cloud personnel dans lequel stocker leurs données et de mettre à leur disposition des services pour réduire leur consommation énergétique et calculer leur empreinte carbone mobilité.

Quel avenir pour ce modèle ?

Si les expérimentations locales pourront répondre, en partie du moins, aux questions juridiques, économiques, techniques et sociétales qui se posent, des interrogations persistent néanmoins sur l’avenir de ce modèle :

1/La commission européenne va-t-elle créer des obligations pour les organisations organisant les transferts de données ?

Le projet de Data Governance Act publié en janvier semblait aller dans ce sens.

2/Quelle architecture va se développer ?

En effet, plusieurs possibilités existent : le transfert des données se fait par l’intermédiaire de la personne qui le demande. Elle peut tout aussi bien demander le transfert vers son entrepôt personnel de données (aussi appelé coffre-fort numérique ou cloud personnel) que demander le transfert directement vers un autre service. Le premier offre la possibilité à des services tiers de réutiliser ces données sans jamais y avoir accès. Le second schéma, sans intermédiaire, a l’avantage d’être beaucoup moins coûteux à mettre en place.

3/ L’infrastructure d’entrepôt personnel de données n’a de sens qu’à un niveau national voire européen.

Aujourd’hui, nous utilisons des espaces de stockage gratuits mais qui se rémunèrent souvent grâce à l’utilisation commerciale de nos données. D’autres services BtoB, comme les espaces de stockage de fiches de paies ou les ENT sont financés par les entreprises ou l’académie. Le Compte Personnel de Formation, lui, stockent des données relatives à la carrière et aux droits à la formation.

L’idée d’un entrepôt de données propre à chaque citoyen, sécurisé et disponible tout au long de sa vie est l’un des points de mire du self data. Mais le financement d’une telle infrastructure reste résoudre. Là encore, d’après ce qu’on peut observer, plusieurs scénarios sont possibles :

• Les écoles, les employeurs, … pourraient financer un tel outil à tous.
• Les collectivités pourraient prendre à leur charge la fourniture cette infrastructure
• Une société privée fournissant des clouds personnels pourraient se rémunérer par des commissions prélevées auprès des entreprises développant des services
• L’Etat pourrait financer cette infrastructure comme un service public.

Au Japon, ce sont mêmes des banques qui ont mis à disposition des « banques personnelles de données ».

4/ Sommes-nous prêts à changer nos usages numériques ?

La disponibilité d’un cloud personnel ne garantit pas son usage. Sur ce point, les expérimentations menées par les différentes collectivités territoriales françaises vont apporter des éclairages dans les prochaines années.
A Lyon, le fait de pouvoir accéder facilement à une analyse de sa consommation énergétique et à des conseils sera-t-il suffisamment incitatif pour que les habitants utilisent leur cloud personnel ? Vont-ils développer d’autres usages ? Quelles personnes s’intéressent à ce type de service ? Faut-il un bagage numérique important ?

Est-ce que l’incitation sera plus ou moins efficace à La Rochelle, qui propose de récupérer ses données de mobilité ? et là encore, qui est-ce que cela intéresse ? Est-ce que le fait de partager ses données avec la collectivité, à des fins de politiques publiques, sera mobilisateur ou répulsif ?

Et à Rennes, est-ce que les habitants seront intéressés par la possibilité de consulter les données que la collectivité détient sur eux ? Est-ce que cela aura un effet pédagogique sur l’appréhension des droits numériques par les citoyens ?

5/ Est-ce que les entreprises trouveront des services intéressants à proposer à leurs clients ?

L’un des principaux postulats du self data est d’ouvrir de nouvelles possibilités, à des services plus personnalisés et plus protecteurs de la vie privée. Toutefois, les applications qui font appel à la portabilité des données aujourd’hui ne se nourrissent que d’un type de données et n’ont pas besoin de passer par un cloud personnel : les données bancaires pour les agrégateurs bancaires comme Linxo ou Banking, les données d’identité pour les services d’identité numérique.

Les collectivités pionnières sur ces sujets parviendront peut-être à impulser une dynamique d’innovation autour du self data. En effet, la Métropole de Lyon a pour projet de créer un Lab, qui appellerait les entreprises à développer des services sur les clouds personnels pour qu’elles aussi trouvent un intérêt à ce modèle plus éthique.

Pour aller plus loin :

Consulter l’étude Données personnelles : le modèle d’après