Qui ?
Olivier Dion, CEO de Onecub, spécialiste de la portabilité des données personnelles.
Quoi ?
Le point sur le combat des standards pour la libre circulation des données personnelles sous le contrôle des individus.
Comment ?
"Etre dans les pionniers de la privacy nous a permis d'être aux premières loges des discussions sur le RGPD" explique Olivier Dion. Sa startup a été créée en 2011. "Je travaillais pour Accenture sur l'un des plus gros CRM du monde avec EDF. Je me suis demandé comment les gens pourraient maîtriser leurs données face à ce type d'outils". Après le vote du RGPD, en 2016, Onecub était la première startup sélectionnée par Facebook pour son incubateur à Station F. "La même année a explosé le scandale Cambridge Analytica. Alors que nous tentions de convaincre les entreprises d'ouvrir leurs données, Cambridge Analytica n'a pas vraiment augmenté leur enthousiasme".
Pour le patron de Onecub, le RGPD est une réponse de l'Europe aux GAFA : "On n'arrivait pas à développer des champions, on a utilisé la loi pour les contrer". Seulement voila : ces champions ont eux mêmes utilisé la réglementation pour renforcer leur emprise sur le marché. Google a annoncé en plein été son intention de devenir le champion mondial de la donnée personnelle en construisant son propre framework (voir notre papier). Laurent Alexandre avait prévenu qu'on se tirait une balle dans le pied, en freinant les projets d'IA qui ont besoin de beaucoup de données. "Il pourrait bien avoir raison, si on utilise mal le cadre légal et notamment, si on ne saisit pas de l'opportunité que constitue le droit à la portabilité des données personnelles".
L'ancêtre du droit à la portabilité, c'est la portabilité du numéro de téléphone, qui permet à un client de changer d'opérateurs tout en conservant son numéro. Olivier Dion détaille les deux familles d'usage qui naissent de la portabilité des données :
1 - la portabilité concurrentielle, qui permet à un individu de transmettre ses données d'un service à un autre concurrent, par exemple, en conservant ses playlist musicales pour passer de Deezer à Spotify.
2 - la portabilité complémentaire, qui permet à un utilisateur d'envoyer ses données dans un autre secteur. "C'est par exemple d'envoyer à la FNAC sa playlist Deezer pour être alerté des concerts susceptibles de nous intéresser. Ou encore, d'envoyer ses données Facebook à son site de rencontre".
Le problème ? "La circulation des données entre plusieurs entreprises est complexe d'un point de vue technique et juridique, il est bien plus simple pour un GAFA, qui dispose déjà d'un large écosystème, de faire circuler des données au sein de celui-ci".
Depuis le 25 mai 2018, date d'entrée en vigueur de la RGPD, peu d'entreprises se sont concrètement lancées. Mais dès le 20 juin 2018, Google, Facebook, Microsoft, Twitter présentaient leur standard de portabilité, intitulé Data transfer project (voir ici), ils ont été rejoints cet été par Apple. Mercredi dernier, Facebook publiait un livre blanc pour donner sa vision de la portabilité des données (analyse ici).
Le fait que des acteurs américains s'approprient un standard d'une telle importance ne plait pas toujours aux grands acteurs européens. Le 10 avril dernier, un rapport était rendu à l'assemblée nationale sur le sujet de la portabilité des données (Livre Blanc Privacytech). Il préconise la création d'une gouvernance pilotant les standards de la circulation des données selon les principes du RGPD et en élargissant les acteurs à un cadre plus large que les GAFA. "Mais maintenant, il faut des standards. Quand on veut faire circuler les données entre les entreprises de taille différente et de secteurs différents, le sujet est complexe, il faut une gouvernance". Suite à ce rapport, une consultation a été ouverte : A new gouvernance. Elle vise à rassembler des acteurs aussi différents que la FING, Pôle Emploi ou encore Orange, pour créer cette gouvernance. "Aujourd'hui, nous n'avons pas les standards technologiques qui correspondent à l'éthique européenne en matière de données. Mais l'Europe a un atout majeur, son image de marque". De nombreux pays dans le monde (Japon, Afrique, Amérique du Sud, etc.) sont intéressés aujourd'hui par la marque Europe et son éthique sur la question des données personnelles, l'Europe a donc une véritable carte à jouer sur la création des standards technologiques.
Dans la course poursuite entre l'Europe et les GAFA, la première doit assumer le leadership sur la question des standards technologique, elle ne doit pas se limiter à la réglementation. Au risque de se voir griller la politesse par ces derniers. Et dans ce cas, la réglementation européenne aura été la plus spectaculaire balle dans le pied qui soit...