Anaïs Person, Thomas Saint-Aubin, Paula Forteza et Alessandro Fiorentino

Un petit pas vers une Europe du numérique

Nous étions à l’Assemblée nationale afin de proposer une nouvelle gouvernance pour les données au XXIe siècle. Coécrit avec les amis de la Privacytech (1), ce document illustre nos engagements pour créer un territoire numérique européen éthique, compétitif et ouvert sur le monde.

250 pages, près de 50 contributeurs, introduit par Axelle le Maire et porté par la Députée Paula Forteza, ce livre blanc est un recueil de réflexions, de retours d’expériences et de propositions pour définir ce que pourrait être la gestion des données personnelles dans les prochaines décennies en Europe.

Dans le même ouvrage, vous retrouvez des entreprises européennes, françaises, des universités, des villes, des associations. Chacune présente sa vision, ses solutions innovantes au service du consommateur ou de l’usager ainsi que des expérimentations documentées.

Si certains liront avec intérêt cet ouvrage d’expertise, d’autres seront heureux d’y trouver un résumé simplifié. C’est la modeste ambition de cet article.

Tout d’abord, il s’agit d’intentions à destination du pouvoir public et des acteurs du numérique. À l’ouest, les États-Unis innovent et les GAFAM inondent le monde de leurs services. À l’est de l’Europe, la Chine imagine une société sous-surveillance qui pose la question des libertés individuelles. Nous souhaitons démontrer qu’une autre voix est possible dans la gestion des données personnelles des citoyens, entre commercialisation et surveillance. Les exemples présentés illustrent les solutions juridico-techniques déjà mises en place ou qu’il reste à inventer.

Le premier chapitre aborde la question de la circulation des données.

Le droit à la portabilité introduit par le RGPD ouvre la voie. Il pose le principe d’une souveraineté personnelle des informations qui nous concernent. La portabilité est un sujet complexe, car il mélange des enjeux d’éthiques, techniques et d’usages.

Lorsque vous donnez votre consentement à une mutuelle pour une utilisation de vos données (par exemple, l’historique de vos soins) et que vous changez de mutuelle, le transfert de données vous apporte un service : l’historisation. Votre consentement est-il toujours valable ? Si oui, qu’est-ce qui garantit que l’usage qui sera fait de vos données sera le même que celui prévu initialement ?

Une solution est le PiMS (2), pouvant se traduire par un coffre-fort numérique personnel. Un espace sécurisé que vous seul maîtrisez : vous décidez à qui vous prêtez vos données. Pour que ce dispositif fonctionne, nous devons créer des normes communes. Or aujourd’hui, une donnée personnelle au sein d’une organisation ou d’une entreprise n’est pas soumise à une norme. Autrement dit, chacun interprète selon son intérêt, le plus souvent commercial.

Reste la question éthique posée par la « poursuite de la finalité ». Peut-on considérer que le fait de donner une fois votre accord vaut accord pour la durée de votre vie ? La réponse est non, le livre blanc propose des solutions concrètes pour gérer le consentement d’une personne et suivre les finalités.

Les rédacteurs du livre blanc

Le deuxième chapitre présente la manière dont nous pouvons redonner la confiance aux individus.

Les récents scandales Facebook nous font prendre conscience des ravages des réseaux sociaux sur nos données : c’est le Far West sur le territoire numérique. Peut-on s’engager sur la voie des objets connectés sans avoir défini des règles communes ? Nous devons comprendre comment évoluent les algorithmes de nos outils.

La réponse s’appelle le Privacy by design. Ce concept prône une modification profonde des pratiques de constructions des applications et des robots. Elle va permettre d’assurer un cadre de confiance.

Le Privacy By Design, ce sont des principes de conceptions, de développements et d’architectures qui assurent une protection optimale des données à caractère personnel.

Le sujet des interfaces unifiées, pour la gestion des cookies, est un autre élément fondamental. La disparité des interfaces graphiques pour les usagers crée une forme de confusion, sur un sujet par nature très complexe. Le livre blanc présente des interfaces et des architectures pour traiter ces points.

La technologie blockchain ouvre les portes pour une nouvelle forme de gestion du consentement. Il est urgent de poser des règles lisibles et de s’assurer qu’elles sont respectées. L’ouverture des algorithmes au public prônée par la PrivacyTech est également un combat juste.

Pour conserver la confiance, il faut enfin respecter le consentement de l’utilisateur dans la chaîne de valeur de la donnée. Quelles que soient les utilisations, le respect de l’intention initiale doit prévaloir pour ne pas prendre à défaut la confiance de l’usager.

Le troisième chapitre propose une certification à destination de solutions logicielles en partenariat avec l’AFNOR.

Une multitude de solutions pour accompagner la conformité sont présentes sur le marché, et toutes ne considèrent pas la vie privée avec la même rigueur malgré des discours marketing homogènes.

Pour la PrivacyTech, stimuler l’excellence française en matière de « Privacy » est un objectif à atteindre. Nous avons donc imaginé des critères d’analyse pour qualifier ces solutions techniques.

Il existe 5 catégories de solutions éligibles : celles qui répondent à un ou plusieurs principes fondamentaux, celles qui répondent à des obligations documentaires, de gestion des sous-traitants, les solutions qui renforcent l’autodétermination informationnelle ou encore les alternatives aux GAFA.

Les critères permettent aux entreprises de se positionner sur un niveau de maturité. Nous espérons ainsi fluidifier ce marché innovant, en générant de la confiance vis à vis de ces jeunes pousses.

AFNOR et Infhotep présentent la certification

Le dernier chapitre présente des standards pour une nouvelle gouvernance des données.

Il s’agit ici de propositions concrètes, durables, comme le modèle « solid ». Ces architectures sont conçues pour décorréler les données personnelles de l’application qui les utilisent. Concrètement, le service en ligne que vous sollicitez ne conserve pas vos données, il a juste un droit d’usage. En fonction des besoins du service (vous géolocaliser, connaître vos habitudes), l’application interroge votre coffre-fort de donnée.

Cela vous permet de choisir précisément quelles données seront utilisées et pour quels usages.

Autre mouvement, le self data, ou comment redonner aux individus la maîtrise de leurs données. Les initiatives de la FING, de My DATA, de Stiftung Datenschutz et de crlt-shift sont présentées dans le document. Ces projets européens de grandes qualités démontrent le dynamisme actuel pour proposer une nouvelle voie.

Vers un consortium européen de la privacy

Vous l’avez compris, ce livre blanc a une ambition : faire que les citoyens européens puissent contrôler leurs données dans un avenir proche. Nous sommes convaincus qu’à l’image du RGPD, en passe de devenir un standard mondial sur la donnée personnelle, nos propositions peuvent faire date.

Nous souhaitons une Europe du numérique qui éduque et protège ses citoyens. La prochaine étape est ambitieuse : créer une conférence et un consortium européen autour de la donnée personnelle.

A titre personnel, je suis très fier qu’Infhotep participe à cette belle aventure. Savoir concilier les enjeux de développement avec ceux d’une démarche éthique me semble le bon positionnement pour une entreprise au XXI siècle.

Un grand merci à Paula Forteza et Axelle Le Maire et pour leurs soutiens, ainsi qu’aux sponsors du projet (Capgemini et Mazars).

Notre feuille de route

_______

PrivacyTech développe des communs autour des données personnelles. Vous pouvez soutenir le projet Privacytech en partageant cet article, nous suivre sur nos réseaux ou adhérer à l’association, que vous soyez une personne, une association ou une entreprise. www.privacytech.Fr

Infhotep est un groupe de conseil dans le numérique. Nous éditons Adequacy Corporate, la première plateforme collaborative qui simplifie la vie des DPO. www.infhotep.com

_______

(1) Sous la direction éditoriale d’Olivier Dion (Onecube), avec Matthias de Bièvre (Vision), Thomas Saint Aubin (Seraphin.legal), Alessandro Fiorentino (Infhotep)

(2) PIMS : Personal Information Management System, ou gestionnaire d’informations personnelles