Actualités

Tenez-vous informés des nouvelles du Self Data et du projet MesInfos : retrouvez nos dernières publications, comptes rendus des ateliers/des rencontres, et participez aux événements sur notre blog !

Les rencontres du Self Data : « Les défis juridiques du Self Data »

IMG_1580

Auteur : Manon Molins

Date : 3 avril 2017



Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

- Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

- Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

- Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

- Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

1 – Geoffrey Delcroix : le Self Data dans le droit.

Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

Il y a de nombreux défis en lien avec le pilote MesInfos :

- La qualité et la granularité des données restituées aux personnes

- Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

- Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

photocnil

Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

3) Des questions fréquentes sur ce droit

- Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

- Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

- Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

IMG_1572

Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

Retrouvez la présentation de Thomas Saint Aubin ici.

3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

Pourquoi ce défi est-il important ?

- La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

- La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

- La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

IMG_1576

Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

- Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

- Rend lisibles les informations les plus importantes, en quelques points clés.

- Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

- Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

IMG_1580

A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !





Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Les prochains événements !


Les rencontres du Self Data – 25 avril 2017 15h – « retrouver la maîtrise de mes données de santé »

En savoir plus