La portabilité des données personnelles est un sujet majeur pour le futur du numérique. Assurons-nous qu'elle soit effective, grâce au recours à des APIs !
Dans le monde numérique d'aujourd'hui, nous sommes conditionnés par nos données : les recommandations qui nous sont faites (publicité, achats, lecture, vidéos à voir), les décisions qui nous concernent (assurance, etc.), qu'elles soient prises par nous ou par d'autres, reposent sur nos données. À ce titre, le sujet de la gouvernance de la data est essentiel : ''qui a accès à la data ? Qui contrôle la data ? ''
Actuellement, les utilisateurs n'ont que peu de maîtrise sur les données personnelles confiées à un responsable de traitement, mais cela va changer avec l'arrivée d'un règlement européen appelé ??GDPR|General Data Protection Regulation / Règlement général sur la protection des données??. En effet, parmi d'autres choses, la GDPR rend la portabilité des données personnelles obligatoire pour mai 2018, c'est à dire très bientôt !
Le diable est dans les détails
Faire que les données personnelles soient portables est une démarche très positive, mais les textes sont compliqués. Ainsi, le texte de la GDPR précise que le transfert d'un responsable de traitement à un autre doit être "direct" et "sans obstacle" (''without hindrance'', pour les anglophones). Malheureusement, cette idée est toute relative ! Au XVIIIe siècle, le recours à la calèche était sans doute un transfert direct et sans gêne. Au début du XIXe siècle, le télégraphe électrique était sans doute ce qu'il y avait de mieux. Dans les années 1990, le fax aurait été choisi. Mais au XXIe siècle, l'état de l'art, c'est l'??API|Application Programming Interface / Interface programmatique??.
Sauf rares exceptions (volume très important pour des ??IRM|Imagerie par résonance magnétique?? par exemple), le fournisseur de service qui ne mettrait pas une API pour que l'on puisse récupérer nos données, alors que c'est le moyen le plus efficace et moins cher de transférer directement des données, serait objectivement animé par une volonté d'obstruction.
Mais ça, ça n'est pas précisé dans le texte de la GDPR...
Quelle solution ?
Le G29 (groupement des CNILs Européennes) est preneur de commentaires sur la GDPR. Aussi, Cozy Cloud a pris l'initiative de rassembler des acteurs et personnalités du numériques pour co-signer un commentaire (format PDF).
L'objectif de ce commentaire est de signifier que les ''guidelines'' du G29 sur la portabilité devraient mentionner explicitement le recours aux APIs, faute de quoi il sera nécessaire d'attendre une jurisprudence dont les délais et aléas seront à l'avantage des plus gros acteurs du numérique, aux dépens des utilisateurs et des services plus petits et plus innovants.
Certains des co-signataires de ce commentaire ont accepté de rendre leur nom public, merci à eux ! On y retrouve :
Organisations :
- Cozy Cloud
- Qwant.com
- France Digitale
- MAIF
- OVH
- Bankin'
- Framasoft
- Mobile Ecosystem Forum (MEF)
- Digi.me
- Meeco
- Inno3
- Budget Insight
- U Change
- Association Ploss Auvergne Rhône-Alpes
- SNIPS
- OpenDataSoft
- CNLL
- Alter Way
- Shopmium
- Innovacom
- Fabernovel
- Linxo
- Aevatar
- Dashlane
!! Personnalités :
- Benoît Thieulin (doyen de l'école du management et de l'innovation Science Po & DG de La Netscouade)
- Célia Zolynski (professeur de droit à l'Université de Versailles-Saint-Quentin-en-Yvelines, membre du CNNum)
- Antoine Petit (PDG d’Inria, Professeur d’informatique à l’ENS Cachan, membre du CNNum)
- Nicolas Anciaux (responsable de l'équipe-projet PETRUS (INRIA))
- Yann Bonnet (Secrétaire Général du CNNum)
- Hugo Roy (co-auteur du User Data Manifesto)
!!! Pour en savoir plus sur la GDPR et la portabilité des données :
