Digital Society Forum Digital Society Forum
Focus 16/05/2018

Le Self Data : une autre façon d'utiliser nos données personnelles

Les données personnelles des individus, qu’ils soient abonnés, clients, consommateurs ou internautes, sont une denrée particulièrement prisée. Traitées, analysées, vendues, leurs utilisations par ceux qui les collectent sont souvent opaques et échappent au contrôle des citoyens qui s’inquiètent pour leur vie privée. Certains, à l'instar du Think tank GénérationLibre du philosophe Gaspard Koenig, prône un "droit de propriété" de chacun sur ses données personnelles. Alors que s'appliquera dès le 25 mai 2018 le Règlement général pour la protection des données personnelles, un modèle - pas antinomique avec cette notion de propriété - mérite d'être explorer : celui du partage des données sous le contrôle des individus, qui décident pour quels services ils sont prêts à autoriser l’usage de leurs informations. C'est ce que Daniel Kaplan, l'un des fondateurs de la Fondation Internet Nouvelle Génération, appelle le Self Data. Une interview - totalement réactualisée en ce mois de mai 2018 - de notre partenaire Culture Mobile.

Culture Mobile : En 2012, la FING a commencé à travailler sur le concept de Self data. Pouvez-vous nous expliquer en quoi il consiste ?

Daniel Kaplan : Pour nous, "Self data" désigne la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins : pour mieux se connaître, prendre de meilleures décisions, évaluer leurs décisions passées, se faciliter la vie, etc. En plus bref encore, le Self data désigne l’empowerment des gens à partir de leurs propres données. En France, le projet que nous avons mené avec la Fondation Internet Nouvelle Génération (FING) autour du concept de Self data s’appelle MesInfos.

En quoi est-ce différent des pratiques de Big data auxquelles certains reprochent de faire peu de cas de la vie privée ? Est-ce quelque chose qui s’y oppose ou quelque chose de complémentaire ?

Le Big data est juste un ensemble de techniques et de méthodes : on peut parfaitement imaginer que dans un cadre "Self data", les gens mobilisent à leurs propres fins d’importantes capacités de calcul parallèle pour traiter de grands volumes de données hétéroclites, du "Big data personnel" en quelque sorte. Ce à quoi le Self data s’oppose, c’est au caractère unilatéral de l’accumulation de données personnelles et de moyens de les traiter par les entreprises et les administrations. C’est une pratique qui nuit gravement à la vie privée mais aussi à la confiance et en définitive, à toute l’économie et à la société. Le Self data s’intéresse à la détention, au contrôle et surtout à l’usage des données personnelles par les gens eux-mêmes et à leurs propres fins. C’est une énorme différence.

Est-ce un projet typiquement français ou d’autres pays ont-ils travaillé sur des projets similaires ?

Nous étions clairement pionniers en 2012, avec le Royaume-Uni et son programme (gouvernemental, lui) MiData. À peu près au même moment, aux États-Unis, l’administration Obama étendait ses ambitieux programmes, en matière d’ouverture des données publiques (open data, qui concerne d’abord des données non personnelles), vers le «retour» aux gens de leurs propres données. Cela a pris la forme de programmes sectoriels : "Blue Button" concerne les données de santé, "Green Button" celles de l’énergie. Il y avait d'autres projets dans l'éducation, par exemple, mais apparemment, ils sont arrêtés. Toujours aux États-Unis, le "Projet VRM" (pour Vendor Relationship Management, le symétrique du CRM ou Customer Relationship Management) explore des sujets proches depuis plusieurs années. Plus récemment, on voit se multiplier des projets locaux (Lyon, Helsinki), thématiques (données de mobilité en Europe du Nord, santé) et portés par des entreprises installées ou des startups : Cozy, Digi.me, Fair & Smart... Enfin et surtout, la FING contribue depuis 2017 à la mise en place d'une organisation internationale correspondant à ces logiques de Self Data : Mydata.org . Mydata organise une grande conférence internationale chaque année à Helsinki et dispose d'une vingtaine de "hubs" locaux, de tailles très diverses.

Après une première phase d’exploration du concept, vous avez mené une expérimentation en 2014, puis une deuxième en 2017-2018. Comment cela s'est-il passé ?

La première expérimentation portait sur 300 utilisateurs avec le concours de huit entreprises partenaires - Axa, la Banque Postale, le Crédit Coopératif, les Mousquetaires, Orange, la Société Générale et Solocal Group - ainsi que de la startup française Cozy Cloud . Les testeurs pouvaient récupérer leurs données personnelles détenues par des entreprises dont ils étaient clients : achats chez Intermarché, données bancaires, données de communication et géolocalisation chez Orange, contrats d’assurance chez AXA… Ces données ont été mises à leur disposition sur une plateforme sécurisée de "cloud personnel" mise en place par Cozy. Afin de faire rapidement émerger de nouvelles propositions d’usage, MesInfos a mis en place sur huit mois une dynamique d’animation autour de la conception et du test d'applications destinées aux individus et qui "réutilisent" ces données, à leur bénéfice et sous leur contrôle. Plus d’une cinquantaine de concepts ont été scénarisés, une dizaine testés. Enfin, afin de mieux connaître le rapport aux données personnelles des individus et d’observer leurs trajectoires d’usage tout au long de l’expérimentation, MesInfos s’est doté d’un "dispositif d’observation", rassemblant la société d’étude Eden Insight (animant le panel), et une équipe de chercheurs en sociologie, marketing et science du management. La synthèse des résultats des deux expérimentations, ainsi que les rapports des chercheurs, sont publiés sur le site du projet MesInfos . La seconde expérimentation est en cours. Elle porte sur 2500 utilisateurs, avec des partenaires tels que la Maif, la MGEN, Orange, EDF, Enedis, GRDF et le Grand Lyon. La Fing en publiera prochainement les résultats.

Dans la première expérimentation, quelles données étaient disponibles dans cet espace privé ? Étaient-elles accessibles à tous les partenaires ? Les utilisateurs pouvaient-ils décider de retirer certaines d’entre elles ?

Les détenteurs de données ont transmis aux testeurs des données variées (de 40 types différents), qui relevaient principalement de deux catégories. Tout d’abord les données de transaction, générées lorsque les individus utilisent les services de leur fournisseur (ticket de caisse, trace de géolocalisation, journal d’appel, relevé de compte bancaire, etc.). Elles ont constitué l’essentiel des données restituées. Ensuite, les données relatives aux caractéristiques de l’individu et à sa relation avec l’organisation (son identité, sa personne et son foyer, ses véhicules, ses contrats, ses revenus, etc.). Elles sont souvent très riches, mais moins nombreuses, plus stables et moins utiles au quotidien. Faute de temps, d’autres données ont été modélisées et décrites de façon précise, mais pas transmises aux testeurs, telles des données d’énergie exposées par Ecometering (Engie) : consommation électrique et de gaz, caractéristiques énergétiques du domicile, etc. Elles ont néanmoins permis d’imaginer d’autres concepts de services innovants. Ces données étaient placées sous le contrôle (et la responsabilité) des individus testeurs, dans des conditions définies en commun avec la CNIL qui nous a beaucoup aidés en la matière. Ils pouvaient naturellement les effacer. Surtout, ces données n’étaient en elles-mêmes accessibles à aucun des partenaires de MesInfos ! Seuls les utilisateurs pouvaient autoriser des services, qu’ils avaient eux-mêmes choisi d’installer sur leur plateforme Cozy, à utiliser telles ou telles données pour effectuer tel calcul, représenter tel ensemble d’information, etc.

Quel bilan les uns et les autres ont-ils tiré des expérimentations ? Qu’est-ce qui intéresse avant tout les utilisateurs ? Pouvez-vous nous donner des exemples d’applications ou de services qui vous semblent prometteurs ?

Du point de vue des individus, les "données personnelles" sont un concept abstrait. Le chemin vers le Self data passe par les services et les usages. Ces données "personnelles" ne sont d’ailleurs pas nécessairement individuelles : elles sont aussi, très souvent, familiales et sociales. Par ailleurs, plus on a confiance dans sa capacité à maitriser ses propres données, plus facilement on s’engage dans l’échange de données avec des organisations : "rendre" ses données aux consommateurs peut donc être favorable au business ! Du point de vue des entreprises détentrices de données, les systèmes d’information des entreprises ne sont pas prêts pour partager les données avec les clients ou usagers. Plus largement, la restitution des données personnelles est un projet innovant transverse et profondément transformateur. Dix-huit prototypes d’applications ont été testés lors de la première expérimentation, et un concours a récompensé les six prototypes et les trois concepts les plus innovants. Ils avaient pour point commun de proposer un bénéfice d’ordre plutôt utilitaire aux utilisateurs : naviguer dans ses données, que ce soit à partir de son relevé bancaire (chaque dépense devenant un lien vers l’action qui l’a provoquée) ou sous la forme d’un "Magazine mensuel de soi", produit à partir d’un croisement de ses données ; visualiser "autrement" sa consommation à l’instar de Mes infos nutritionnelles qui représente ses courses en fonction de leur valeur énergétique ou de leur contenu en lipides, glucides, etc., ou BeGreen qui propose un bilan carbone à partir de ses achats ; gérer ses comptes et ses finances ; mieux consommer, que ce soit pour gérer des listes de courses avec PurchEase, retrouver et gérer toutes ses garanties avec MesObjets ou consommer de manière cohérente avec ses valeurs.

Avez vous identifié de nouveaux risques ? Et des défis

Il y a bien sûr des difficultés, des obstacles et des risques. Le principal d’entre eux est évident : comment s’assurer que le retour des données aux gens profite bien aux gens, en leur donnant plus de pouvoir sur leur vie et leurs choix, et éviter qu’il n’aboutisse au transfert pur et simple de ces informations à de grandes plateformes commerciales ? Ensuite, les défis sont nombreux, de l'ordre de l'intelligibilité, de l'empowerment, de l'économique, du juridique et bien sûr de la technique.

Où en est le projet alors qu'entre en vigueur le 25 mai 2018 lE RGPD ou Réglement général pour la protection des données personnelles ?

Il est clair que ce tournant donne une valeur toute particulière à la mission de MesInfos, dont l'objet consiste, c'est important de le rappeler, "la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins." Le RGPD introduit en particulier un "nouveau droit" (ce qui n'arrive pas tous les jours) : le droit à la portabilité des données personnelles. Il prévoit que les personnes peuvent demander à récupérer leurs données, non pas seulement pour les vérifier ou les faire effacer (ceci est couvert depuis longtemps par le "droit d'accès"), mais pour les réutiliser dans d'autres contextes, à leur initiative ! Par exemple - c'est le scénario le plus basique - pour changer de fournisseur. Mais il peut y avoir bien d'autres usages : les associations de diabétiques militent ainsi depuis longtemps pour obtenir leurs données, afin que les patients qui vivront des décennies avec leur maladie puissent mieux la gérer par eux-mêmes. C'est évidemment très proche de ce que nous explorons depuis des années avec le Self Data. Nous avons ainsi produit un document destiné à faciliter la mise en œuvre de la portabilité par les entreprises, sous l'appellation "Dataccess".

Le RGPD, le droit à la portabilité, la multiplication des initiatives locales et d'entreprises innovantes, montrent que le mouvement vers le "Self Data" est désormais engagé. Du coup, le rôle de la FING doit changer. MesInfos se définit avant tout aujourd'hui comme "un pilote rassemblant des acteurs divers qui mettent le Self Data en pratique." Il est clair qu'une part des objectifs et de mission de MesInfos pourrait être repris demain par Mydata.org , qui se veut justement un réseau global, européen et au-delà. Sur ce socle de la RGPD, tout reste à construire, et le Self Data peut s'avérer une brique essentielle de cette construction. Reste à savoir comment et avec qui.


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF