Alors que le droit européen consacrera bientôt le droit à la portabilité des données, la Fing travaille avec de grands acteurs français sur la réutilisation de ces futures données libérées. Elle s'appuie sur Cozy Cloud, une start-up de la nouvelle vague française misant sur le respect de la vie privée.
En mai, le Règlement général sur la protection des données (RGPD) chamboulera le traitement des données personnelles par les services en ligne. Les entreprises mènent une course contre la montre pour s'y conformer dans les grandes lignes.
Parmi l'un des futurs droits des citoyens figure la portabilité des données (article 20). Chaque service sera tenu de leur fournir les informations dont il dispose sur eux, dans un format exploitable. Ils devront aussi permettre le transfert de ces données vers un service tiers. Cette portabilité a été anticipée par la loi Numérique en 2016, via son article 48.
Depuis cinq ans, la Fondation Internet Nouvelle Génération (Fing) travaille la question du « self data » via le projet MesInfos. L'idée : répondre à la « crise de confiance » causée par l'asymétrie de l'information entre organisations et citoyens, en replaçant les données dans les mains de ces derniers. « Nous avons réuni de nombreux partenaires privés et publics qui souhaitent explorer avec nous cette piste » nous répond l'association par e-mail.
Depuis 2016, elle mène un pilote avec de grands comptes et Cozy Cloud, une jeune pousse derrière un outil d'hébergement de données personnelles. 3 000 testeurs, dont des sociétaires de la MAIF (investisseur de Cozy) sont inscrits au programme. Le Grand Lyon s'est engagé comme territoire pilote, alors que des organisations se rassemblent dans le monde.
La réappropriation des données, à grande échelle
La question du « self data » a bien évoluée en cinq ans, argue la Fing, qui mobilise trois à cinq personnes de son équipe d'une quinzaine d'employés sur le sujet. Grandes entreprises, start-ups, organisations publiques... Un écosystème commence à grandir, alors que la future législation européenne doit faire émerger une industrie respectueuse de la vie privée, en contraste avec les géants américains du numérique.
La restitution des informations (débutée cette année) est centrée sur Cozy Cloud et ses « connecteurs ». Ces derniers automatisent la récupération des données chez les partenaires, à savoir EDF, Enedis, GRDF, la MAIF et Orange. « Notre première contrainte pour le pilote MesInfos était donc : comment rendre intelligible, appropriable, simple d’usage… le self data et le cloud personnel pour les testeurs ? La startup de cloud personnel du pilote (Cozy Cloud) a fait évoluer son interface, de façon radicale, au cours du pilote, afin de s’adresser à un plus grand public » affirme la Fing.
Interrogé, Cozy Cloud nous déclare (par e-mail) y être associé depuis la première expérimentation, débutée fin 2013. Lors de la bêta privée, l'ensemble des testeurs de la plateforme « v3 » (en cours de conception) faisaient partie du pilote MesInfos. Ils disposent d'une version standard de l'outil, même si « quelques applications (comme EDF, MAIF, MonLogis) ou quelques connecteurs (comme Orange) ne sont disponible que pour les MesInfos ».
Tout le principe de Cozy est de regrouper les données dans un espace contrôlé par l'internaute, pour mener des croisements qu'il a décidé. Par exemple, reporter un paiement si le compte bancaire du client est débiteur. La MAIF fournit des instances à des sociétaires, soit hébergés chez OVH à Roubaix, soit auto-hébergé chez les participants.
Les partenaires doivent donc ouvrir leurs systèmes d'information, contribuer à la conception des connecteurs et sont encouragés « à fournir un premier niveau de service aux testeurs. Car une fois qu’ils ont récupéré leurs données, ils doivent pouvoir en faire quelque chose ». Ils soutiennent financièrement MesInfos, pour « publier en licence Creative Commons (réutilisable et gratuit) tous nos résultats et enseignements ».
Outre l'adaptation de son outil et le support technique, la contribution de Cozy « passe aussi par des efforts pour faire concorder [sa] feuille de route aux besoins fonctionnels du pilote MesInfos ».
Une première approche pour le Grand Lyon
Parmi les partenaires, la métropole du Grand Lyon se détache comme première collectivité à contribuer au projet, étant présent au conseil d'administration de la Fing. Depuis 2013, elle édite data.grandlyon.com, qui alimente en données « des projets locaux, nationaux et européens avec un accès réservé (authentification/sécurisation) à des jeux de données spécifiques et réservées à des expérimentations ».
« À Lyon, avec Optimod, la métropole rend accessible l’ensemble des données ouvertes de déplacement, depuis le vélo jusqu’aux trajets en voiture, en passant par les transports en commun, afin d’offrir une vraie solution de multimodalité territoriale, sans avoir à passer par différentes applications » notait aussi la CNIL dans son dernier cahier sur la ville intelligente, sorti en octobre dernier (voir notre analyse). Les données sont téléchargeables, le calculateur d'itinéraires devrait aussi être ouvert ultérieurement.
L'idée de contribuer au pilote MesInfos a été officiellement lancée en 2015. Depuis, des événements ont été organisées via le « lieu d'innovation » TUBÀ. Un premier hackaton a été lancé en octobre 2016, suivi par exemple d'un atelier en avril dernier, pour imaginer des services ou objets réutilisant les données personnelles des citoyens, toujours de manière respectueuse... même si aucune donnée n'est encore fournie par la collectivité pour les créer.
Malgré un discours très ambitieux, le Grand Lyon ne détaille pas les moyens placés dans ce projet. Tout juste la métropole précise-t-elle qu'elle accompagne les habitants qui le souhaitent pour expérimenter, en partenariat avec le TUBÀ, décrit comme un partenaire essentiel. « Nous envisageons un investissement plus conséquent, il est en cours d’évaluation » nous a déclaré la collectivité.
La métropole dit s'en tenir aux obligations du futur Règlement général sur la protection des données (RGPD), auquel MesInfos doit être une réponse. Au moment de notre entretien, début novembre, la collectivité travaillait un connecteur pour Cozy avec Veolia pour que les habitants obtiennent « leurs données de l'eau » issues de compteurs intelligents, soit les premières informations à être restituées.
Aller plus loin que le droit à la portabilité
L'approche du RGPD, appliqué le 25 mai prochain, a aidé à convaincre les partenaires de s'impliquer. « Clairement, ce droit [à la portabilité] a été un fort levier pour convaincre les organisations de s’engager dans le self data » estime la Fing, pour laquelle ses partenaires prennent de l'avance en inventoriant leurs données, les traitements et en concevant « de premiers canaux de transmission ». Des bases dont toutes les organisations ne pourront pas se prévaloir en mai.
Même si le RGPD forcera les organisations à offrir la portabilité des données, MesInfos devrait bien perdurer dans les années à venir. Il ne s'agit pas seulement de télécharger les données (comme le demande le règlement) mais d'y trouver une utilité. « C’est tout l’enjeu de ce nouveau droit tel qu’il a été conçu par le régulateur : créer de la valeur fondée sur d’autres utilisations des données, à l’initiative et sous le contrôle des individus » rappelle l'association.
« Certains des grands services en ligne sont plutôt en avance sur ce point. Google par exemple me permet depuis longtemps de télécharger et de transférer mes données personnelles dans un format interopérable. Dans une moindre mesure, Facebook et Twitter me le permettent également. Mais je ne peux pas en faire beaucoup de choses… ! » juge la Fing.
Elle conçoit donc des outils pour faciliter la compréhension des données exploitées et leur réutilisation. En septembre, elle a lancé un « challenge » avec Cap Digital, dans lequel elle doit accompagner trois entreprises concevant des applications pour le pilote MesInfos. En parallèle, les chercheurs scrutant le projet ont commencé à interroger les participants, via un questionnaire puis des entretiens.
Un réseau international se monte aussi. Depuis 2015, des organisations de plusieurs pays (principalement européennes) se regroupent via les réunions annuelles MyData. Côté français, MesInfos et Cozy nous déclarent y participer, pour mettre en pratique la réappropriation des données par les utilisateurs. Côté collectivités, le Decode Project se met en place, avec Amsterdam et Barcelone en villes pilotes et un soutien du CNRS.
Le respect de la vie privée et la « reprise en main » des données par les citoyens sont des axes de développement pour l'industrie numérique européenne, du moins dans l'esprit des autorités communautaires. Pour le moment, ces initiatives en sont encore à leurs balbutiements, de grandes entreprises y trempant le pied avant de plonger dans le grand bain du RGPD. Ce dernier est en effet encore vu par nombre de groupes comme un risque à contrer, plus qu'une opportunité.
Commentaires (4)
#1
Le problème que j’ai avec cette approche (self data, aka. smart disclosure) c’est qu’on accepte tacitement que des corporations collectes des données personnelles.
Certes ca renversera le contrôle des données perso puisqu’elles seront hébergées/partagées par l’individu (suivant ses modalités personnelles). Mais si la collecte n’est pas sous contrôle de l’individu (Quantified Self), ca me laisse l’impression que le self data ne me laisse que la liberté de choisir comment je serai exploité.
#2
Il faudrait en parler à Enedis : ça donnerait une chance au projet Linky de remplir ses promesses
" />
#3
Cozy a fait un gros boulot entre sa beta 2 et sa beta 3, ils ont tout refait. J’ai participé aux deux, la dernière est vraiment bien
" />
Cependant pour l’instant cela se résume à récupérer ses factures. Ca gagne du temps, mais je ne vois pas le gain (à part éviter de se connecter à x sites) en matière de protection de données personnelles. Ca viendra sans doute dans un second temps.
#4
Côté Enedis les travaux de mise en conformité à la GPRD sont en cours, comme pour toutes entreprise européenne (j’espère). Après c’est à ton fournisseur d’électricité de te donner un accès aux données te concernant.