UXDE dot Net Wordpress Themes

Les VRM permettront-ils le partage et la réutilisation des données personnelles entre les organisations et leurs clients? (2/2)

(Suite de l’Article 1/2 que vous pouvez retrouver ici)

VRM, Open Data & Big Data

A l’heure du « Big Data » nous pouvons nous demander si cette capacité de traitement et d’analyse de quantité exponentielle de données signerait la fin de la notion de données à caractère personnel . En effet cette question juridique est à noter. L’article 2 de la loi n°78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers, et aux libertés définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres». Quid donc de sa pertinence remettant en cause l’efficacité d’une telle définition.

Pour comprendre les enjeux sous-jacents à la réutilisation et au partage des données personnelles, certains préconisent de l’analyser comme la continuité de l’ouverture et de la réutilisation des données publiques.

Effectivement, les initiatives MyData américaine ou MiData  britannique qui visent à promouvoir le marché des services personnels sont un prolongement des initiatives Open Data.

Comme l’explique Hubert Guillaud « Le principe de mise à disposition des données est assez simple et se cristallise dans un acronyme : TACT pour Transparence, Accès, Contrôle et Transfert. Cela consiste pour les entreprises à faire un travail d’inventaire des données personnelles qu’ils détiennent (c’est la transparence), de mettre en place  des outils pour que les gens puissent y accéder (Accès) et pour permettre aux gens de les modifier, de les mettre à jour (Contrôle) et enfin des modalités de réutilisation (Transfert) ». L’enjeu ne résumant pas à une dimension de contrôle (comme par exemple vérifier ce que l’on dit sur moi), mais à une création de confiance et de valeur. Le gouvernement Obama a également promu des initiatives sectorielles de restitution des données aux individus afin qu’ils puissent prendre des décisions plus lucides, exprimer leurs besoins, attentes, et aspirations. Il s’agit du « Blue Button» dans le domaine de la santé, du « Green Button» dans celui de l’énergie, et du « Purple Button » dans celui de la formation.

Accès et Transfert : comment favoriser l’essor d’un tel partage ?

Comme le rappelle la FING, les VRM sont principalement « des entrepôts de données personnelles ; des outils d’analyse de données personnelles ; des outils qui visent à engager la relation avec des organisations selon des termes choisis par  l’individu : dévoilement  sélectif  de données (par exemple ses mensurations), « appels d’offres » personnels ou collectifs ; surveillance des marchés pour repérer des offres spéciales… ».  Cela pose donc plusieurs problèmes juridiques que nous citerons à défaut de pouvoir tous les aborder en détails ici. Tout d’abord se pose les questions de l’accès à l’entrepôt de données. En effet, les outils devront utiliser des moyens simples et sécuriser pour identifier et authentifier les utilisateurs. (Aussi afin d’éviter notamment le reflexe pratique de s’identifier à de nouveaux services en renseignant toujours les mêmes informations  par des solutions de délégation d’authentification, plus confortables, qui permettent de se logger en un seul clic, comme avec le bouton Facebook Connect, limitant encore davantage la possibilité d’être véritablement anonyme. A ce sujet, Henri Verdier estime que les grandes entreprises utilisent le réseau social comme CRM).

Cela pose également les défis sous-jacents dans la communication entre système d’information : Comment circuleront concrètement ces données personnelles ? Où seront-elles conservées ? Comment personnaliser les services sans identifier les individus ? Est-ce véritablement possible d’utiliser de données anonymisées ? Quelle responsabilité en termes de sécurité informatique ?

Pour favoriser un tel partage et permettre une relation qui soit autant B2C que C2B, voire C2S (Customers to Suppliers), il faut fournir aux individus les outils leur permettant de gérer ses relations avec les entreprises, organisations et fournisseurs. Cela passe notamment par l’utilisation de formats interopérables, et l’emploi d’API. Et surement par l’émergence d’un nouvel acteur que sont les « fourth party ». Ces « quart de confiance », sorte de third party côté client, qui les aideraient à tirer parti de leur argent. Pour cela, les « fourth party » doivent être substituables, sous peine d’être uniquement un autre intermédiaire qui accaparerait une part de la valeur ajoutée. Ils ont besoin de portabilité de service, ce qui renvoie au problème pour les clients de pouvoir bénéficier d’un droit à la portabilité de leurs données entre les différents acteurs et services tiers, droit proposé par l’article 18 du projet de règlement européen de reforme des données à caractère personnel. D’autre part, comme le rappelle les membres du projet VRM du Berkman Center for Internet & Society d’Harvard, de même que les entreprises émettent des Request for Proposal, les individus devraient pouvoir émettre des « intentcastings » (« personal RFP »). Ce qui pose la question de savoir si les individus pourront importer et exporter leurs données dans des formats utilisables.

Contrôle : quels droits devrait-on accorder sur ces données ?

Un partage des données certes, mais à quel type de partage faisons-nous référence? Est-ce un partage d’usage? De propriété? Et dans ces cas là qui est propriétaire? Qui est responsable du contrôle ? Ces questions sont difficiles car elles renvoient au problème de savoir qui possède la propriété des données. Or la définition du droit de propriété pour l’économiste diffère de celle du juriste. Le premier conçoit le droit de propriété comme un droit d’usage et de contrôle, le second le conçoit comme un droit de possession. Ainsi dans un rapport intitulé « La vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information »,  le Sénat a écarté la possibilité d’octroyer des droits de propriété aux individus en rappelant le rapport de force inégale entre les co-contractants, et en se référant au risque de marchandisation des attributs de la personnalité (notion de dignité inscrite à l’article 16 du Code Civil) . Certes comme le propose E.M. Noam (Privacy in telecommunication : markets, rights and regulations), un individu devrait pouvoir choisir librement comment il veut céder l’exploitation primaire et secondaire de ses données en spécifiant en amont des droits sur les différentes utilisations possibles. Cependant cet octroi automatique pose toujours le problème de la gestion et de la surveillance des utilisations de ces données. De plus l’évaluation des droits dépendant des usages, elle pourrait être variable et conduire à des prix sous-évalués ou surévalués. Il serait alors impossible de donner une valeur objective en dehors d’un traitement ou d’un contexte spécifique.On ne pourrait pas non plus octroyer un droit de propriété intellectuelle sur ces données car un tel droit est prévu pour inciter à la production de connaissances nouvelles. Par ailleurs, la mise en place d’un droit à compensation, relevant d’une logique de responsabilité juridique et non de propriété n’en serait que plus difficile. Selon la Fabrice Rochelandet (in Economie des données personnelles et de la vie privée), la réglementation (à savoir le coût marginal social, c’est-à-dire la maximisation des bénéfices tirés de l’exploitation des données personnelles tout en maximisant le bien être lié au respect de la vie privée) et les sanctions légales demeurent les seuls moyens envisageables.

 

Vers un Creative Common des données ?

La question principale est celle de savoir comment passer à un modèle de gestion de consentement tout en permettant le partage et la réutilisation des données. Une approche possible serait-elle de faite une analogie avec les licences Creative Commons (CC) mais spécifiquement pour les données? Etant donné le faible nombre de personnes qui lisent entièrement les conditions d’utilisation ou les politiques de confidentialité, mais qui les acceptent d’un double clic, une piste sur laquelle il serait intéressant de lancer des recherches consisterait à avoir un ensemble de documents contractuels permettant d’encadrement les conditions d’utilisation, de réutilisation des données, et le consentement, tout en évitant de tomber dans la patrimonialité.

Aujourd’hui, certains ont réfléchi à des icônes de confidentialité (logos) qui viendraient s’ajouter aux politiques de confidentialité proposées par les entreprises. Ces icônes sont des labels de certification qui apportent une garantie absolue sur une partie de la façon dont une société traite les données.  Ils viseraient à réduire les coûts d’information supportés par les utilisateurs. Les entreprises pourraient décider ou non d’adhérer à un label en fonction du niveau de protection qu’ils accordent, sachant qu’en cas de non-respect de ces labels elles se verraient sanctionnées. Ces labels (ou encore ici et ici) répondent à des questions importantes : A qui les données sont-elles communiquées (third party, partenaires publicitaires, en interne dans l’entreprise)? Peuvent-elles être vendues ou louées? Sous quelles conditions peuvent-elles être communiquées aux gouvernements ? Combien de temps seront-elles conservées?… Cette méthode signifie que, sans avoir à entrer dans les détails, n’importe quel utilisateur peut comprendre comment ses données sont utilisées et le cas échéant donner un consentement informé. Dans le même temps, cela donne aux entreprises la flexibilité nécessaire pour créer des politiques globales et significatives.

Une autre possibilité préconisée par Doc Searls serait d’offrir aux individus les outils permettant de créer eux-mêmes des labels ou licences leur permettant d’exprimer leurs conditions.  On pourrait alors avoir un consentement informé et gradué (ex : je permets de faire à X telle activité Y dans telles limites Z). C’est  l’objectif du projet VRM « EmanciTERM » : l’individu  doit pourvoir bénéficier d’un « Do Not Track » ( ne pas être suivi dans ses activités en dehors de ce site ; ne pas avoir des cookies dans son navigateur pour autre chose que se rappeler où il se trouvait sur le site ; rendre les données recueillies à son sujet disponible dans un format standard ouvert), et fixer ses conditions (pour quelle finalité l’information sera utilisée; avec quelles organisations l’individu veut la partager ; pour combien de temps ; où ces informations seront stockées ; ne pas recueillir ni communiquer des informations sans son consentement).

Le but étant de pouvoir faire communiquer CRM et VRM par des API pour que le processus soit automatisé. La liberté contractuelle semble offrir une intéressante opportunité aux traditionnels contrats d’adhésion. Reste à voir si de tels outils vont véritablement se développer.

rédigé par @AdrienBasdevant

By les étudiants du M2 ASSAS DMI|Website|Other Articles

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>