Mieux innover dans les services par la portabilité des données à caractère personnel, nouveau paradigme internet.

La portabilité des données à caractère personnel pour une mise en commun ?
image NeONBRAND on Unsplash

Le RGPD pour protéger les données à caractère personnel de l’usager…

Le RGPD impacte profondément l’interaction des entreprises avec leurs utilisateurs, dans le pilotage de la conformité à la loi Informatique et Libertés, notamment pour garantir la traçabilité du consentement. C’est le premier chantier en cours, dont tout le monde parle. Des nouvelles règles de contrôle sur l’«adequacy » sont mises en place. A Infhotep (c’est le cabinet conseil où j’officie, je fais un peu de pub), on accompagne des grandes groupes et collectivités pour qu’ils gagnent en autonomie dans la mise place d’une solution de pilotage de la conformité, à grande échelle, sur l’ensemble des filiales et services. L’offre Infhotep se singularise dans la simplification du pilotage via un outil dédié. Le rôle du DPO (Data Protection Officer) est facilité : il renforce son efficience sur le suivi de la mise en conformité sur plusieurs filiales (ou services). Et surtout, il peut assurer la reddition de compte (“accountability”) pour prouver les mesures mises en oeuvre et garantir les différents droits des personnes concernées. Et notamment la portabilité des Données à Caractère Personnel (DCP).

… mais aussi pour faciliter l’émergence de nouveaux services.

Et ce premier chantier du RGPD masque un deuxième chantier, qui est, à mon sens, la vision cible du cadre légal de la protection des DCP : l’accélération de nouveaux services basés sur la re-utilisation des données. Et c’est ce que je veux pointer ici: le RGPD vient dynamiser un contexte foisonnant d’innovation servicielle autour de la ré-utilisation des données en légalisant la portabilité des DCP.

En effet, le RGDP ne vise pas que la salutaire protection de ce type sensible de données. Ce faisant, de par le pouvoir contraignant de la loi sur l’obligation du portage des données (mais aussi sa facilitation), le RGPD une fois instauré dans les entreprises et collectivités, va accélérer la mise en place de nouveaux services au plus proche des utilisateurs, justement en s’appuyant sur la réutilisation consentie des DCP ! Le citoyen reprend du pouvoir en imposant aux GAFA et consort, de permettre de récupérer ses propres données, pour les exploiter par lui même ou pour les reverser dans une plateforme tierce, servant l’intérêt général par exemple… C’est ce qu’on appelle le droit à “l’autodétermination informationnelle” de l’utilisateur qui garde la maîtrise de ses DCP. Ce que prévoit le cadre réglementaire (RGPD). 
 
 C’est une manière d’ubériser ces GAFA aussi… par la loi. Et c’est fabuleux ! A titre d’illustration, un article du Journal du Net décrit comment La Ville de la Rochelle entend tirer parti du RGPD pour générer de nouveaux services grâce à la portabilité des données à caractère personnel du citoyen ou usager. La ville met à disposition une plateforme neutre qui mêlerait ces usagers contributeurs de données, dont les DCP avec les ré-utilisateurs autorisés (startups, opérateurs urbains, …) , lesquels apporteraient également leurs propres jeux de données. Il s’agit de co-construire et co-alimenter un commun des données . En croisant ces jeux co-contributifs de données, on peut imaginer de nouveaux services. Et la où c’est intéressant, c’est lorsque les utilisateurs de Waze par exemple, peuvent transférer leurs données vers la plateforme de la Ville. Merci à l’obligation légale de la portabilité des données personnelles !

La maturité des usages sur la réappropriation et la réutilisation des données à caractère personnel comme enjeu

Extract du Pilote Mesinfos : Le Self Data, un nouveau modèle
 pour les données personnelles.

Cette approche s’inscrit dans une histoire des usages des Données à Caractères Personelles avec l’avènement des appareils connectés vers 2010–2011 dans le sport, puis la santé mais aussi la banque. On était à l’aube des usages du “Quantifield Self“ et l’émergence des “Personal Finance Management” (PFM) et des “Personal Information Management services (PIMS)”. On parlait même de VRM (“Vendor Relations Management”) par opposition au CRM où on inverse le rapport : c’est l’utilisateur qui gère ses propres données en les vendant aux “Vendors” de son choix et à ses conditions. Ce mouvement sur la ré-appropriation des données personnelles s’est renforcé par des initiatives d’abord expérimentales d’acteurs territoriaux en France avec le projet MesInfos (Mydata / SelfData) animé par la FING par exemple. Ce projet mêle entreprises privées, startups, institutionnels et usagers. Il démontre que plusieurs modèles s’avèrent pertinents (MesInfos avec la ville de Lyon). Quasiment parallèlement, on entre dans une phase de déploiement de l’open-data sur les territoires avec l’ouverture des données du service publique et de l’Etat. Des plateformes de mise en commun des données ouvertes essaiment sur les territoires. La Fabrique des mobilités vient tout juste d’organiser un événement sur ce thème dans le cadre de la mobilité “Devenir maître de ses données de mobilité”.
 Des initiatives qui illustrent bien l’institutionnalisation d’un mouvement qui n’est plus émergent, y compris du coté du privé. Des startups se positionnent sur ce qu’il faut bien appeler aussi un “nouveau marché”, à l’instar de la startup poitevine MyDataIsRich, à quelques kilomètres au sud de la Rochelle, justement.
 Tim Bernes-Lee, Papa du Web planche avec le MIT sur le projet SOLID visant justement à rendre le pouvoir aux internautes dans la maîtrise de leurs DCP. Les géants du web ont senti le vent tourné et se coordonnent pour mettre à disposition en open-source une plateforme qui facilite le transfert des données à caractère personnel d’une plateforme à une autre de manière sécurisée : c’est le Data Transfert Project rejoint par Google, Facebook, Twitter et Microsoft. Ne manque qu’Apple pour l’instant. Une manière pour les GAFAM de se mettre en conformité au RGPD.

Photo by Artur Łuczka on Unsplash

Aujourd’hui, les pratiques de production de données par les utilisateurs, comme la mesure de soi se démocratisent grâce en grande partie aux géants du web et champions du net (Nike, Withing, Bankin, etc.): mesurer sa tension, sa performance physique, calculer ses trajets, avec sa montre connectée ou son smartphone, gérer ses comptes bancaires de banques différentes via une même application, mettre en ligne ses petites annonces, exprimer son avis ou son like sur un réseau social, payer son assurance à l’usage grâce aux capteurs de sa voiture (j’en parle sur ce blog avec l’initiative du Groupe AXA)… Et demain, la réutilisation des données par les utilisateurs eux-même deviendra une pratique commune car elle sera facilitée, expliquée et encouragée. C’est une des missions des acteurs de la vie publique comme celle des entreprises du privés et des associations de consommateurs et d’usager. Tout le monde va y gagner.

Le RGPD pour libérer l’innovation servicielle dans l’action publique.

Le RGPD va agir comme accélérateur pour transformer ces nouvelles initiatives en solution concrètes, innovantes et réplicables à l’échelle d’une ville, d’une communauté urbaine, d’une région, … Et changer la façon de vivre l’internet, un internet plus respectueux des utilisateurs mais aussi plus proches des besoins de ces mêmes utilisateurs tout en recentrant les collectivités sur leur mission : “mieux servir l’intérêt général en simplifiant la vie des usagers”.

Face à cette offensive de l’internet citoyen, de l’internet des communs, on observe un déplacement stratégique de acteurs du privé, pas seulement en se mettant en conformité vis à vis du RGPD (ils n’ont pas le choix, c’est la loi), mais en inversant le rapport au consommateur (qui se trouve être aussi cet usager et citoyen) : “nous allons vous aider à mieux valoriser vos données” dans l’écosystème que vous habitez (Ville monde, marque habitante).

On assiste donc à un changement de paradigme en se recentrant sur la protection des données à caractère personnel et en sécurisant leur portabilité. Et du coup, faire jaillir de nouveaux services, à l’instar des initiatives des collectivités citées plus haut. Mais, cela suppose une maturité d’usage du citoyen et donc une forte sensibilisation en amont sur la maîtrise de ses propres données à caractère personnel et leur potentiel de réutilisation.

Alors rêvons ensemble pour mieux faire : construire un internet ouvert et co-créatif, où le service de la ville se nourrit directement des usages pour mieux vivre la ville, mieux vivre son territoire, ses mobilités, ses institutions, maîtriser sa souveraineté numérique, au niveau individuel comme un niveau collectif (Ville, Territoire, Région, Europe…).

Et contribuer à faciliter l’apaisement de la cité, pour tous.


Originally published at fverron.blogspot.com.