La portabilité des données à caractère personnel : comment les particuliers reprennent-ils la main sur la circulation de leurs datas ?
Pour le commun des mortels, la « portabilité des données » n’évoque pas grand-chose. Pourtant, l’article 20 de Règlement Général sur la Protection des Données (RGPD) promet de redonner aux utilisateurs le plein pouvoir sur leurs datas et de bénéficier gratuitement de nouveaux services. Une démarche loin d’être anecdotique pour les entreprises, habituées à considérer les données de leurs utilisateurs comme leur propriété et à ne les valoriser que pour des finalités primaires. Retour sur ce concept de droit pas si nouveau que le Règlement européen a remis en lumière.
1999 : du Client Relationship Management (CRM) au Vendor Relationship Management (VRM)
Nous sommes en 2006, dans le Massachusetts. Dans les locaux du centre de recherche Berkman Klein Center for Internet & Society, un enseignant nommé David Searls - alias Doc Searls - pose les fondements d’un tout nouveau concept. En miroir de la « gestion de la relation client » des entreprises (Customer Relationship Management), il invente la « gestion de la relation vendeur » pour les clients (Vendor Relationship Management). Le Project VRM est né. Sa vocation : donner aux particuliers des outils leur permettant de maîtriser leurs relations avec les organisations, en particulier l’utilisation de leurs données personnelles sur les marchés commerciaux.
« Les chercheurs d’Harvard à l’initiative du ProjectVRM étaient de vrais précurseurs pour demander de remettre la circulation des données entre les mains des individus, atteste Olivier Dion, fondateur de l’entreprise française Onecub spécialisée sur le sujet depuis 2011. À l’époque cependant, il n’y a pas de cas d’usage pour ce qui s’appellera ensuite « la portabilité des données » : les particuliers ne voient pas l'intérêt de reprendre la main sur leurs datas, les entreprises freinent à l'idée de la leur redonner ».
Classiquement entendue comme la portabilité du numéro de téléphone, ou d’un compte bancaire vers un autre, c’est par le biais du droit que la portabilité des données s’est imposée dans notre quotidien. On défend alors une vision de la portabilité concurrentielle, permettant au consommateur de préserver les informations de son dossier et de s’en prévaloir face à son prestataire de service. Les entreprises apprennent tout juste à utiliser ces données et à les valoriser, le consommateur est alors à ses prémices de compréhension du pouvoir qu’une entreprise détient en manipulant ces informations. Et concrètement, qu’est ce qui change avec la portabilité ? « Pour beaucoup, la portabilité se fait encore en downloadant et uploadant des fichiers Excel de données » analyse Olivier Dion. Des API et outils émergent pour la portabilité dite « concurrentielle » - qui permet à l’utilisateur de transférer ses données d’un service à son concurrent.
2018 : après le B2B et le B2C, l’ère du Me2B.
En effet, pour les entreprises en activité dans les années 2010, l’heure est moins à rendre les données à leurs utilisateurs qu’à en exploiter tous les potentiels possibles. Sommées de faire leur « transformation numérique », elles misent tout sur le « big data ». « À l’époque, les entreprises optimisent la donnée à court terme via la publicité et la stockent dans leurs serveurs pour l’optimiser sur le long terme » continue Olivier Dion. « Le big data à l’époque, c’est “on collecte et on verra” » confirme Flore Gonzalez-Suescun, Manager Practice Risk & Compliance chez Atos. « Mais un changement s’est opéré entre 2016 et 2020. Aujourd’hui, les entreprises nous sollicitent pour intégrer les principes de privacy by design - protection de la vie privée dès la conception, ndlr - dès la conception de systèmes utilisant le big data ».
Il faut donc attendre près de 20 ans, le 23 mai 2018, pour que le Règlement Général sur la Protection des Données acte « la portabilité des données à caractère personnel » comme droit fondamental. Grâce à ces quelques lignes, un individu doit pouvoir gérer lui-même ses données personnelles et leur circulation d’un système à un autre. Pourquoi la route a-t-elle été si longue ? « Aujourd’hui, la portabilité des données permet à un particulier de faire circuler de manière sécurisée des flux de données d’un opérateur A vers un opérateur B, explique Olivier Dion. Ce qui a changé, c’est que les vieilles pratiques des entreprises ont été remises en question ». Alertés par les révélations liées au Programme PRISM dès 2013, les individus ont pleinement ouvert les yeux sur l’exploitation de leurs données avec le scandale Cambridge Analytica en 2018.
Ce sont les prémices de ce que l’on appelle le C2B - pour Consumer to Business, en miroir au traditionnel Business to Consumer - aussi appelé Me2B par les chercheurs de Harvard, « pour un côté plus personnel ».
2020 : de la théorie aux bonnes pratiques
En 2018, on entre dans une nouvelle ère de la portabilité. Le RGPD, loin de vouloir se cantonner à une vision purement concurrentielle de la portabilité, dépoussière ce droit pour lui donner une toute nouvelle couleur. En effet, il ne s’agit plus de portabilité « concurrentielle », mais de portabilité dite « complémentaire ». Cette dernière a pour premier objectif de remettre au cœur de la manipulation des données à caractère personnel au sein des entreprises, les individus. Ces derniers se voient octroyer le droit de prétendre à des services gratuits en échange de l’exploitation de leurs données. Dès lors les entreprises, doivent travailler à connecter leurs systèmes entre eux de manière sécurisée, et révolutionner leur monde en proposant de nouveaux services innovants. Désormais, on doit, par exemple, être capable de lier son plan de maison Kozikaza à son compte Leroy Merlin, partager facilement ses données médicales avec le monde de la recherche, interconnecter tous ses services digitaux de mobilité pour optimiser ses trajets ou calculer son bilan carbone global, simplifier toutes ses démarches en ligne en réutilisant ses données administratives, partager son CV avec de multiples plateformes ou employeurs, partager sa liste de course avec un coach nutritionnel, etc. Loin d’être une simple contrainte pour les entreprises, la portabilité des données est donc aussi source de nouvelles pratiques de consommation chez leurs clients.
Appliquée aux institutions publiques, la promesse est forte également : dans le domaine de la santé, un individu pourra faire circuler ses données médicales entre le monde de la recherche et celui des soignants ; dans celui des mobilités, il pourra organiser ses déplacements multi-modaux sans friction ; dans l’administration, exporter ses données fiscales vers des institutions tierces sans risque, etc.
Autant d’initiatives dignes de servir le bien commun, permettant aux citoyens de reprendre le pouvoir sur leurs propres données personnelles, et de les valoriser auprès des entreprises, mais également des institutions. Cela implique cependant, que les bons outils soient mis entre les bonnes mains, et que les structures jouent le jeu de la collaboration. « Ce qui manque désormais pour aller plus loin, ce sont des standards, des outils, une infrastructure et une gouvernance, le RGPD pose un cadre commun mais ne suffit pas » explique Olivier Dion. Pour éviter que les outils des grandes entreprises privées du Web ne deviennent la norme en matière de partage de données et n'imposent leurs valeurs, les acteurs privés et publics européens se sont rassemblés autour de la stratégie européenne des données (février 2020). S'appuyant sur cette politique commune, l’initiative www.aNewGovernance.org rassemble, en concertation avec la Commission Européenne, plusieurs centaines d'acteurs pour coordonner les initiatives et faire émerger des standards et une infrastructure de partage des données personnelles (similairement aux ambitions du programme Gaia-X pour les données industrielles). De quoi impulser à grande échelle des modèles économiques basés davantage sur la collaboration que sur la compétition.
Partager
