Le compte à rebours est lancé pour toutes les entreprises qui vont devoir appliquer le Règlement Général sur la Protection des Données (RGPD) à partir du 25 mai 2018. De nouvelles règles qui préfigurent le web 3.0 et visent à rééquilibrer les relations entre les citoyens européens et les entreprises qui traitent leurs données personnelles.
Les entreprises exploitent les données de leurs clients depuis des années, principalement à des fins marketings. Quelques abus particulièrement médiatisés, associés à une prise de conscience générale de la croissance exponentielle du nombre de données en circulation, ont créé une réticence forte des utilisateurs à communiquer leurs données, limitant ainsi le développement de nouveaux services et créant une crise de confiance.
Restaurer la confiance des utilisateurs
En avril 2016, l’Europe a réagi en adoptant le RGPD, applicable dès le 25 mai 2018. A partir de cette date, les entreprises qui exercent une activité sur le territoire de l’Union européenne devront répondre à un ensemble de nouvelles règles (consentement pour chaque traitement de données personnelles, droit à l’oubli, champ d’application territorial étendu, etc.) sous peine de très lourdes sanctions.
Le droit à la portabilité des données
Parmi ces règles se trouve le nouveau droit à la portabilité des données qui impose aux entreprises de mettre à disposition de leurs utilisateurs leurs données personnelles dans un format exploitable (données nominatives, de consommation, etc.). Ainsi, chaque individu pourra réutiliser ses propres données comme il le souhaite, dans les services de son choix.
A quoi sert la portabilité ?
L’objectif visé par l’UE est premièrement de favoriser la concurrence entre services en permettant à un individu de porter facilement ses données à un service concurrent : s’inspirant du principe de portabilité du numéro de téléphone qui avait transformé le marché des télécommunications, le droit à la portabilité a pour vocation de rendre les individus plus libres d’aller d’un service à un autre.
Mais la portabilité ne s’arrête pas là, elle vise également à favoriser l’innovation en permettant aux données de circuler plus facilement, sous le contrôle de l’utilisateur lui-même. Ainsi les individus vont pouvoir bénéficier de services plus simples et hautement personnalisés, par exemple :
- Les achats alimentaires pourront être réutilisés dans des services de coach santé
- Les achats modes par un styliste virtuel
- Les achats d’objets et les habitudes de consommation par un assureur
- Les consommations énergétiques par un coach énergie
- Les factures énergie et télécom par tous les services nécessitant des justificatifs de domicile
- Les billets train et d’avion par des services permettant le remboursement en cas de problème
Comment appliquer le droit à la portabilité ?
Techniquement, le G29, qui regroupe les « CNIL » des états membres de l’Union Européenne, propose deux moyens pour la mise en œuvre du droit à la portabilité des données :
- La mise à disposition de l’utilisateur d’un fichier contenant l’ensemble des données portables,
- La fourniture d’outils automatisés (comme des API) pour l’export de données.
Le G29 vient préciser que l’individu peut, s’il le souhaite, faire appel à un système de gestion des informations personnelles dédié (ou Personal Information Management System / PIMS) pour récupérer ses données, les conserver et accorder à des entreprises tierces l’autorisation d’y accéder, de manière à faciliter leur transfert d’une entreprise à une autre.
Les PIMS, une solution de simplicité
L’utilisation d’un tel outil permet d’éviter deux écueils :
- Premièrement, un PIMS va s’assurer que l’individu puisse récupérer ses données dans un format structuré et interopérable, de manière à ce que celui-ci puisse analyser ses données et les transmettre très simplement à qui il le souhaite.
- Deuxièmement, un PIMS est un moyen pour les entreprises de mettre à disposition les données de leurs utilisateurs et de récupérer des données qui proviennent de divers acteurs par le biais d’un interlocuteur unique, sans avoir à développer et à se brancher à d’innombrables API. Les entreprises n’ont donc pas à s’entendre avec chacun des acteurs pouvant être intéressé par les données personnelles qu’elles ont collectées pour créer et maintenir autant de « connecteurs » vers ces sites et vice et versa.
Un nouveau marché de la data
La mondialisation des marchés et l’infinité d’acteurs auxquels les internautes ont le choix de s’adresser rend hautement périlleuse toute action solitaire dans la gestion de la portabilité des données par les entreprises. La portabilité des données personnelles, qui sera bientôt la norme, sera aussi utilisée comme mesure pour déterminer l’engagement responsable des entreprises envers leurs utilisateurs. L’arrivée du RGPD et du droit à la portabilité entraînera mécaniquement la création d’une galaxie de services ré-utilisateurs de données et l’émergence d’outils spécialisés dans la portabilité.
Ceux-ci doivent être neutres, interopérables, faciles d’utilisation et naturellement soumis aux règles de la portabilité des données et du RGPD en général.
__________
Olivier Dion est CEO et fondateur de Onecub