« Les individus doivent reprendre le contrôle de leurs données »

Article  par  Pauline PORRO  •  Publié le 07.05.2018  •  Mis à jour le 07.05.2018
Le Règlement général pour la protection des données (RGPD) entre en vigueur le 25 mai. Manon Molins, chef de projet MesInfos à la Fing, estime que ce nouveau cadre législatif est « indispensable » pour renouer la confiance entre les organisations et les individus.

Pouvez-vous nous présenter la Fondation internet nouvelle génération (Fing) ? Quelle est votre mission au sein de cette organisation ?


Manon Molins : La Fing est une association créée au début des années 2000 pour essayer d'imaginer un numérique plus pérenne. Aujourd’hui, nous nous définissons comme un think tank qui étudie l'impact du numérique sur la société et essaie d'anticiper les transformations numériques.
 
Nous travaillons sur des projets thématiques : les enjeux urbains, le lien entre transition numérique et transition écologique… Nous avons également une publication annuelle, Questions Numériques et un média, Internet actu.

Pour ma part, je suis chef de projet de MesInfo, un projet multipartenaires, réunissant des acteurs privés et publics et qui part d'un constat simple : les individus perdent confiance dans les organisations quant au traitement de leurs données personnelles. Les organisations ont des outils de plus en plus puissants pour traiter leurs données personnelles tandis que les individus possèdent très peu d'outils et de moyens pour les traiter. Les individus disposent de droits pour se protéger, mais il existe assez peu de démarches pour essayer de rééquilibrer la balance, pour permettre aux individus de disposer de leurs propres données personnelles pour leurs comptes, qu’il s’agisse de faciliter le quotidien, gérer les situations administratives, s'identifier…
 
Le projet MesInfos se pose comme objectif d'explorer et d'expérimenter le self data, c'est-à-dire la production, la collecte, l'exploitation et le partage des données personnelles par les individus sous leur contrôle et à leurs propres fins. Cela signifie que les individus doivent pouvoir collecter des données personnelles qui les concernent depuis le système d'information des organisations (fournisseur d'énergie, opérateur téléphonique, réseau social…), les stocker dans un espace sécurisé et les utiliser pour en tirer une valeur d'usage pour soi.


Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain. Un nouveau cadre législatif pour la gestion des données était-il indispensable ? Qu’apportera ce règlement ?

Manon Molins : Un nouveau cadre législatif était indispensable et je pense que le règlement est assez équilibré en matière des protections des utilisateurs non seulement pour les organisations, mais également pour les individus. Cela permet de créer un cadre de confiance bénéfique pour les deux parties.
 
Le RGPD réaffirme tout d’abord des grands principes déjà inscrits dans la loi « Informatique et Libertés » : limiter les finalités pour la collecte des données, minimiser le nombre des données nécessaires pour fournir un service. Il réaffirme aussi les principes de transparence et de limitation de durée de conservation.
 
 L’un des principaux intérêts du RGPD est son champ d’application. L’un des principaux intérêts du RGPD est son champ d’application. Le règlement va s'appliquer à tous les responsables de traitement de données, c'est-à-dire tous ceux qui ont un établissement dans l’Union européenne, ou ceux qui ciblent des personnes présentes sur le territoire européen. C'est pour cela que les GAFA vont devoir s’y conformer. Il y a également l’augmentation des sanctions et un nouveau partage de la responsabilité. Désormais, ce n'est plus uniquement le responsable des traitements qui est responsable, ses sous-traitants le seront également.
 
Autre point important, on passe d'un régime de déclaration, dans lequel il faut faire effectuer des formalités préalables à un mode de responsabilité. Les organisations vont devoir se conformer à la réglementation, et ensuite le contrôle se fera sur la base de cette responsabilité-là.
 
Enfin, le RGPD crée de nouveaux droits, comme le droit à la portabilité. C’est une innovation importante qui va permettre de créer de grandes opportunités pour les organisations, et surtout pour les individus.


Que recouvre ce droit ?

Manon Molins :  Les données personnelles doivent être utilisables directement par les individus. Le droit à la portabilité est inscrit dans l'article 20 du RGPD. Il prévoit que les données personnelles doivent être utilisables directement par les individus. Cela suppose que les données personnelles soient placées sous leur contrôle. Pour cela, il faut que l’individu puisse récupérer une copie des données personnelles qui le concernent depuis n'importe quelle organisation avec laquelle il est en relation et qui détient des données personnelles sur lui. La copie de ses données personnelles doit pouvoir être directement transmise à un nouveau responsable de traitement si l’individu le souhaite. Par exemple, un individu doit pouvoir récupérer ses données le concernant auprès de son opérateur téléphonique pour les transmettre à un nouveau responsable de traitement de son choix : qu’il s’agisse d’un service, d’une application ou de toute autre organisation.
 
 
Quelle est la différence avec le droit d’accès déjà existant ?

Manon Molins : Aujourd'hui, vous pouvez faire une demande de droit d'accès auprès de toute organisation qui détient des données sur vous et récupérer l'ensemble des données qui vous concernent. Mais ces données pouvaient être complètement inutilisables. Il y a eu l'histoire de cette personne qui avait fait une demande d'accès auprès de Facebook et qui avait reçu en réponse des kilos de papier et de CD complètement inutilisables. Le droit à la portabilité, c'est l'idée qu'on puisse réutiliser ses propres données.
 
 
Quel pourrait être le parcours d’un utilisateur demandant la portabilité de ses données ?

Manon Molins : À la Fing, nous avons envisagé trois types de parcours. Le premier consiste à télécharger directement ses données depuis le système d'information des organisations, pour ensuite les stocker sur ses propres appareils ou dans un espace de stockage en ligne. L'autre scénario serait celui d’une application qui ferait la demande pour le compte de l’utilisateur et transférerait ses données directement à un autre responsable de traitement.
 
Le troisième scénario est décrit dans MesInfos, et c’est pour nous le plus intéressant. Il consiste à faire une demande de récupération d’une copie des données personnelles à travers un cloud personnel, c’est-à-dire une plateforme sécurisée de données. Un individu pourrait alors disposer de son propre système d'information dans lequel il peut administrer toutes ses données et avoir le contrôle sur leur partage et leur utilisation.. Celui-ci pourrait profiter de services tiers intégrés dans la plateforme, sans jamais faire sortir les données du cloud. Cela revient à profiter de services et de la valeur d'usage des données sans jamais avoir à les divulguer.
 
 
Lorsque vous dites copie, cela signifie-t-il qu'un individu ne peut retirer intégralement ses données personnelles à une organisation qui en serait détentrice ?

Manon Molins : Oui. Il n'y a pas de droit de la propriété des données personnelles. Ces dernières sont coproduites par les organisations et par les individus. Les organisations ont besoin des données, pour gérer la relation client par exemple : mon opérateur téléphonique a besoin de mes relevés d'appels pour pouvoir établir la facturation. En activant le droit à la portabilité, on récupère ses données d'appels sans les supprimer de chez l’opérateur.
 

Est-ce que ce type de procédures n'a pas pour conséquence de multiplier le nombre de données disponibles sur les personnes ?

Manon Molins : Oui, cela crée une copie dans mon espace personnel. À la place d'une cinquantaine de copies de mes données détenues par différentes organisations, il y en a toujours une cinquantaine, dont une copie sous mon contrôle. Mais effectivement, la sécurité des clouds personnels est primordiale. Cependant, si chacun les garde chez soi, cela n'a pas de sens de les hacker puisque, ce qui intéresse les hackers, c'est d'accéder à des gros volumes de données. Mais ce schéma ouvre également la voie vers une nouvelle frugalité et moins de stockage de données : à l’avenir, au lieu de stocker toutes les données elles-mêmes, les organisations pourraient simplement venir interroger le cloud personnel de l’individu. Au lieu d’une cinquantaine de copies de données, il n’en resterait qu’une. 


Ce droit créé-t-il de nouveaux marchés, avec des organisations qui se spécialiseraient dans l'accompagnement dans la portabilité des données ?

Manon Molins : En effet, il y a déjà beaucoup d'organisations qui se positionnent sur ce créneau, et cela peut créer tout un écosystème de ré-utilisateurs. Avec le droit à la portabilité, la démarche de récupération de données pourrait désormais se faire par des tiers, par des applications ou des nouveaux services, qui vont faire eux-mêmes des requêtes sur les API. Des canaux transmission de données seront créés. C’est un nouveau marché qui s'ouvre pour beaucoup de services. N'importe quel service ou applications pourrait ensuite s'enrichir des données qui deviendraient portables.
 

Pouvez-vous préciser la notion de « privacy by design », au cœur du RGPD ?

Manon Molins : Cette notion signifie que, dès le stade de la conception, un service ou une application doit reposer sur des principes forts de protection de la vie privée. Il s’agit de voir un cran plus loin que la simple mise en conformité pour que les individus aient le contrôle sur leurs données. Un exemple tout simple de privacy by design est de prévoir des conditions générales d'utilisation qui soient simples à lire pour des êtres humains. Le RGPD prévoit ainsi qu'il est nécessaire d'expliquer clairement à l'usager ses choix, afin que le consentement puisse être libre et éclairé.
 

Pensez-vous, qu’aujourd’hui, les utilisateurs soient suffisamment sensibilisés à la question de la protection des données personnelles pour qu'ils puissent avoir un consentement libre et éclairé ? Ne va-t-on pas simplement habituer les utilisateurs à donner leur consentement, sans que, finalement, la collecte et l’utilisation des données en soient réellement modifiées ?

Manon Molins :  Il faut absolument que les individus puissent savoir ce qui est fait de leurs données. La question du consentement est, en effet, une question clé. Il faut absolument que les individus puissent savoir ce qui est fait de leurs données. Pour cela, il doit disposer des outils nécessaires pour les tracer. Cela rejoint ainsi la notion de self data.
 
Or, s'il n'y a pas la mise en place d’outils techniques au-delà de cette proclamation de principe, les individus ne peuvent pas apporter un consentement libre et éclairé. Il faut donc, dans un premier temps, faire des actions de médiation de la donnée. Aujourd’hui, il y a des espaces qui s’ouvrent pour permettre de former les citoyens à la culture de la donnée, leur permettre d'avoir des bases, des méthodologies pour maîtriser leurs données. Ensuite, il faut créer les outils pour rendre possible ce consentement éclairé.


Comment cela va-t-il se passer après l’entrée en vigueur du RGPD si un individu refuse d'accepter de fournir ses données pour accéder à un service ou à un site Internet ?

Manon Molins : L'économie actuelle de la donnée consiste à ne pas laisser le choix à l’utilisateur. Pour utiliser un service, il doit en accepter les conditions générales d'utilisation. Aujourd'hui, on évoque le privacy paradox : les gens se disent inquiets de l'utilisation de leurs données, mais en même temps, ils ne font pas grand-chose pour contrer l’utilisation de leurs données par les organisations. Il faut dire qu’ils n'ont pas vraiment le choix.
 
Après l’entrée en vigueur du RGPD, il faudra voir comment chaque organisation se mettra en conformité avec ce droit. Actuellement, chaque organisation est en train de construire son parcours utilisateur, en espérant être à jour le 25 mai. Les lignes directrices de la CNIL sont là pour aider les organisations à implémenter et à se mettre en conformité avec le droit. Mais les parcours vont être différents selon chaque organisation.
 

À l’instar du think-tank libéral GénérationLibre, prônez-vous une patrimonialisation des données personnelles ? La direction prise par le RGPD ouvre-t-elle la voie dans ce sens ?

Manon Molins : Non, et nous avons publié une réponse à ce sujet sur Internet actu. Le droit de propriété n'existe pas sur les données personnelles. D’ailleurs, il y aurait un danger à la privatisation des données personnelles, car cela signifierait qu’il y aura des individus qui pourraient céder leurs droits sur leurs données, tandis que d'autres, disposant de davantage de moyens, pourraient en profiter pour mieux les protéger. Cela conduirait à des inégalités.
 
De plus, c'est impossible puisque les données sont coproduites. Si j'achète un produit et que j'utilise ma carte de fidélité, la donnée qui enregistre mon achat est produite par moi et par l'organisation qui l'enregistre. Donc, ce n'est pas logique de parler de propriété.
 
 Cela n'a aucun sens de vendre ses données car cela représente très peu d'argent, quelques centimes uniquement. Aujourd'hui, c'est l'agrégation des données qui fait leur valeur. Enfin, cela n'a aucun sens de vendre ses données car cela représente très peu d'argent, quelques centimes uniquement. Aujourd'hui, c'est l'agrégation des données qui fait leur valeur. C’est important que les individus en prennent conscience pour qu’ils ne concluent pas ce type de marché de dupes.
Concernant les dispositions du RGPD, lorsque l’on met les copies des données entre les mains des individus, ils choisissent ensuite ce qu'ils veulent en faire. Cela fait peser sur eux une vraie responsabilité. Si certains d'entre eux ont envie de récupérer leurs données pour ensuite les revendre intégralement, on ne pourra pas les en empêcher.


Certains reproches se font entendre sur la vision portée par le RGPD, à savoir une analyse centrée sur l'individu, alors que, comme vous l’expliquez, les données personnelles, sont éminemment sociales puisqu’elles nous concernent, de même que nos liens. Comment la Fing se positionne-t-elle par rapport à cette vision individualiste de la donnée personnelle ? Prônez-vous, comme certain, un service public des données ?

Manon Molins : À la Fing, nous faisons de l'individu le point central de ses données personnelles. Si les individus reprennent le contrôle sur leurs données, cela leur permettra non seulement de bénéficier de services pour mieux gérer leur quotidien, vivre selon leurs valeurs, contribuer à des causes d'intérêt général ou au pilotage d'un territoire. Mais pour nous, un service public des données ne peut avoir du sens que si l'individu garde le contrôle.
 
Beaucoup d’initiatives existent autour des coopératives, des données de santé par exemple, où les individus récupèrent leur données et ensuite organisent une sorte de gouvernance où ils sont capables de les repartager pour des projets de recherche. L'un n'exclut pas l'autre. Au contraire, ils sont complémentaires.
 
 
Quelle place aura, après la mise en vigueur du RGPD, l'action collective contre les organisations ?

Manon Molins : La CNIL avait évoqué l’idée de groupes d'individus se réunissant pour faire des demandes de droit à la portabilité en commun, ce qui permettrait ensuite d’avoir plus de force de frappe pour récupérer des données réutilisables pouvant ensuite contribuer à des causes d’intérêt général. Il faut voir la mise en œuvre.


--
Crédit photo : Viola Berlanda
Vous souhaitez nous apporter un complément, rectifier une information ? Contactez la rédaction