Self data, portabilité, « altruisme des données », cloud personnel :  de nouveaux modèles de gestion des données personnelles se cherchent

Publié par Programme Société Numérique
Dossiers 16.02.2021

Alors que les données personnelles sont aujourd’hui captées et monétisées sans réel consentement des personnes par les plates-formes, la maîtrise et la capacité d’agir des usagers sont au cœur du « self data ».

Fournir des moyens de contrôle réels sur les données personnelles : cette approche fait l’objet d’expérimentations depuis plusieurs années : aux États-Unis (My Data Initiatives), au Royaume-Uni (midata) ou encore en Finlande (MyData Finland). Depuis 2019, en France, trois territoires (Nantes, La Rochelle et le Grand Lyon) expérimentent le Self Data territorial.

Ces modèles alternatifs  de gestion et de protection des données personnelles  suscitent, depuis quelques mois, un regain d’intérêt.

  • Le droit à la portabilité des données, instauré par le règlement européen sur la protection des données à caractère personnel (RGPD) ouvre aux utilisateurs la possibilité de récupérer une partie de leurs données afin de les stocker ou les transmettre à des tiers en vue d’en faciliter la réutilisation à des fins personnelles.
  • Le Data Governance Act (un projet de Règlement européen en cours d’élaboration) se propose de favoriser le partage de données, en encadrant l’activité des prestataires de services de partage de données afin de garantir la « confiance . Il imagine aussi un régime baptisé altruisme des données, destiné aux entreprises  qui acceptent de partager leurs données avec des organisations à but non lucratif, afin de permettre le développement d’applications d’intérêt général
  • Dans le rapport Pour une politique publique de la donnée, le député Eric Bothorel recommande «d’encourager les initiatives de portabilité citoyenne des données au service de l’intérêt général, notamment par l’organisation de campagnes de mobilisation citoyenne ».
  • La Banque des Territoires, pour sa part, a dressé, fin décembre, un « état des lieux de l’écosystème self data ».
  • La Fondation Internet Nouvelle Génération (Fing), enfin, annonce la rédaction prochaine d’une feuille de route pour l’implémentation du Self Data Territorial au niveau européen.

Vers une "portabilité citoyenne des données" au service de l’intérêt général

Dans le rapport Pour une politique publique de la donnée, remis au Premier Ministre en décembre 2020, le deputé Eric Bothorel   pointe la double nature du droit à la portabilité des données, introduit par RGPD. « Ce droit est souvent présenté comme un moyen, pour les utilisateurs, de contrôler et maîtriser l’usage des données les concernant. C’est aussi un outil de régulation économique dans la mesure où il vise à limiter les effets de verrouillage des clients dans un écosystème fermé. La portabilité est censée permettre une meilleure concurrence entre les fournisseurs de services numériques ».

La mission Bothorel souligne, toutefois qu’en Europe, et particulièrement en France, « plusieurs acteurs n’ont pas attendu la mise en œuvre du RGPD pour tester de nouvelles modalités de partage des données personnelles, sous le contrôle des utilisateurs ». Elle constate que « les acteurs locaux, et en premier lieu les villes et métropoles européennes, sont bien souvent à l’avant-garde de ces enjeux, souvent en avance par rapport aux gouvernements nationaux ».

La mission Bothorel recommande d’ «encourager les initiatives de portabilité citoyenne des données au service de l’intérêt général » et mentionne trois  modalités d’intervention possibles pour l’Etat :

  • recenser, accompagner et accélérer les expérimentations existantes au niveau local qui visent à redonner un contrôle aux individus sur leurs données et les mobiliser dans le pilotage de certaines politiques territoriales (énergie, mobilité, etc) ou pour des causes d’intérêt général (suivi des déplacements en période de crise sanitaire).
  • au niveau national, organiser et promouvoir des campagnes de mobilisation citoyenne sur un nombre limité de grande causes chaque année afin de montrer qu’elles peuvent être efficaces et susciter un effet d’entraînement ;
  • soutenir l’émergence et l’adoption de solutions technologiques clés en main permettant d’actionner concrètement le droit à la portabilité

La Banque des Territoires dresse un état des lieux du Self-data  

Dans une étude qui propose un état des lieux de l’écosystème d’acteurs du self-data, la La Banque des Territoires a entrepris « d’apporter une vision claire et actualisée des acteurs qui proposent des solutions pour mettre en œuvre le self-data, des freins et des leviers qu’il faut prendre en compte, et des initiatives qui peuvent servir d’exemple pour se lancer à son tour dans un tel projet ».

Si «  les bases techniques et juridiques d’un tel modèle existent (…), la diffusion de ces outils, de ces pratiques et de ces méthodes reste marginale».

  • dans le secteur bancaire, une législation avait déjà imposé la portabilité des données personnelles : la disponibilité de ces données a permis la création de nouveaux services, les agrégateurs bancaires qui compte plus de 4 millions d’utilisateurs en France
  • dans le secteur de la mobilité, la centralisation des données par l’individu dans un Compte personnel de mobilité est particulièrement adaptée à la mise en œuvre du MaaS et fait l’objet de travaux expérimentaux.
  • d’autres cas d’usages issus de la portabilité des données personnelles se développent : les services de coaching énergétique sur la base de l’API d’Enédis, et les services d’authentification basées sur l’identité numérique (comme le numéro de téléphone) ».

« En l’absence de données disponibles et de cas d’usage suffisamment nombreux, les offres de clouds personnels peinent encore à s’imposer comme infrastructure de gestion des données ».

Quatre types d’acteurs interviennent dans le self data :

  • Les individus : ils occupent une position centrale : « leur consentement est indispensable à tout partage de données et ce sont eux qui sélectionnent les services qui ont accès à leurs données. C’est aussi leur usage des nouveaux services qui conditionne le succès de ces applications ».
  • Les détenteurs de données : les entreprises qui collectent les données personnelles. « Ils n’ont en théorie pas de pouvoir sur les données puisque la loi les contraint dans ce domaine. Mais en pratique, les évolutions efficaces ne peuvent pas se faire sans eux ».
  • Les tiers ré-utilisateurs de données : des entreprises qui proposent de nouveaux services aux individus grâce à la portabilité de leurs données. « Ils ne sont généralement pas concurrents des détenteurs de données mais plutôt complémentaires de leur offre. Ces services peuvent apporter de la valeur aux données des individus sous de nombreuses formes : optimisation de services existants, offre de nouveaux services personnalisés ou usages contributifs pour les besoins d’une communauté ».
  • Les intermédiaires : des entreprises qui fonctionnent comme des sous-traitants des individus. « Qu’ils soient des gestionnaires de consentement ou des entrepôts de données personnelles, leur fonction est de rendre techniquement opérationnelle la volonté du citoyen sur le partage de ses données personnelles ».

« Le fonctionnement du self data repose sur l’entente entre ces quatre types d’acteurs pour lever les freins économiques, techniques et juridiques ».

Les collectivités territoriales peuvent, selon cette étude,  « jouer un rôle dans la diffusion de ce modèle, tout en y trouvant des bénéfices: renforcer le contrôle des citoyens sur leurs droits, innover dans la gestion de la relation avec les administrés pour une meilleure gestion de la collectivité et des objectifs de politiques publiques. En France, les expérimentations de la Métropole de Lyon et de l’Agglomération de La Rochelle permettront de tester l’adoption des services self data, la soutenabilité du modèle, et les perspectives de valorisation pour les acteurs privés (détenteurs de données et tiers-ré-utilisateurs) ».

Lyon, Nantes et La Rochelle jettent les bases du self data territorial

En juillet 2019, la Fing et ses partenaires organisaient à La Caisse des Dépôts et Consignations, l’événement Self Data Territorial afin d’explorer les liens privilégiés qui se nouent entre Self Data et  collectivités territoriales et de réaliser un tour d’horizon des initiatives urbaines sur la thématique des données personnelles partagées.

Un guide pour implémenter le self data sur les territoires

La FING a publié en 2019 un Kit Self Data Territorial.

On y trouve:

  • une introduction au Self Data – partager les données personnelles aux individus· qu’elles concernent – et aux enjeux forts que cette thématique implique pour les villes ;
  • une analyse des modèles de gouvernance qui peuvent être envisagés pour partager les données personnelles aux individus : cloud personnel, transfert direct, plateforme “tiers de confiance”, coopérative de données, civic data trust
  • un tour d’horizon des villes et du partage des données pour s’inspirer de certains exemples (ou se dissuader de les suivre) : Barcelone, Gand, Toronto,
  • des méthodologies pour se lancer dans les premières étapes de l’implémentation du Self Data sur un territoire : recenser des données personnelles, imaginer des cas d’usage qui les mobilisent, se projeter vers des modèles de gouvernance pour incarner ces cas d’usage et faire des choix dans des scénarios d’expérimentation terrain ;
  • des conseils nés de ces diverses expériences.
Programme Société Numérique

Le Programme Société Numérique de l’Agence Nationale de la Cohésion des Territoires est une mission d’appui aux collectivités et aux acteurs de proximité sur les questions liées au numérique. Il met en œuvre un programme d’actions pour favoriser l’autonomie et la capacité de tous à saisir les opportunités du numérique et favoriser le développement numérique des territoires. Il pilote la stratégie nationale pour un numérique inclusif du Gouvernement.