Le droit à la portabilité des données : les subtilités d’un nouveau pouvoir
Le 25 mai prochain, le Règlement général sur la protection des données encadrera un nouveau droit pour le citoyen, celui de récupérer ses données et d’en disposer comme bon lui semble. Mais comment en faire bon usage ?
En politique, les opérations de communication valent parfois mieux qu’un long discours. Mounir Mahjoubi le sait bien et ne s’y est pas trompé. La semaine dernière, le secrétaire d’État chargé du Numérique s’est offert un buzz dans le monde du digital : il a réclamé ses données personnelles auprès d’Amazon. L’ancien président du Conseil national du numérique a insisté sur la difficulté de l’expérience : « Ils ont mis sept mois à m’envoyer mes données. Il a fallu échanger plusieurs fois par mail. Ensuite, ils m’ont confirmé la réception d’un document signé, et j’ai reçu une lettre recommandée avec deux CD-ROM à l’intérieur ».
Responsabiliser les individus
Au micro d’Europe 1, Mounir Mahjoubi racontera également son histoire avec Uber. Si à première vue, l’opération semble pointer du doigt l’incurie des grandes plateformes du Web quand il s’agit de traiter des considérations liées à la vie privée, le vrai intérêt est ailleurs.
En se mettant lui-même en scène, le membre du gouvernement souhaitait faire la lumière sur un droit qui concernera bientôt tous les Européens : le droit à la portabilité des données. Instauré par le Règlement général sur la protection des données (dit RGPD) qui entrera en application le 25 mai prochain, ce droit permettra aux citoyens de récupérer leurs données auprès d’une organisation pour leur usage personnel ou de les transférer d’un organisme à un autre.
L’article 20 qui encadre ce droit à la portabilité des données a fait beaucoup de bruit au sein de la communauté du numérique. Les grandes entreprises auront fait pression jusqu’au bout pour pouvoir le modifier. Pourquoi ? Parce qu’il donne au citoyen un pouvoir qu’elles s’adjugent depuis longtemps : celui de mettre la main sur ses données personnelles, de les utiliser comme bon leur semble voire même d’en constituer une monnaie d’échange.
Le groupe de travail qui a participé à l’élaboration du droit à la portabilité le rappelle dans un document d’orientation : « Ce nouveau droit a pour objectif de responsabiliser les personnes concernées ». Il facilite leur capacité à déplacer, copier ou transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre.
Le droit à la portabilité des données se distingue donc du droit d’accès, prévu par la loi Informatique et Libertés du 6 janvier 1978, qui permettait déjà à l’individu de demander directement au responsable d’un fichier s’il détenait des informations sur lui puis de les lui envoyer. Mais (presque) aucune obligation ne pesait alors sur les responsables du traitement. En d’autres termes, le droit d’accès renvoie au monde digital compliqué que décrivait Mounir Mahjoubi dans son expérience.
Demain, le droit à la portabilité vous permettra d’exiger de récupérer l’ensemble de vos données personnelles à travers une forme à la fois simple et lisible et dans un délai raisonnable (qui ne doit dans la plupart des cas pas excéder un mois à partir de la demande).
Un nouveau marché de la donnée personnelle ?
À partir du 25 mai 2018, toute entreprise qui possède certaines de vos données personnelles (réseaux sociaux, banques, assurances, club de sport etc.) sera donc tenue de traiter votre demande. Mais comme beaucoup de droits mis à la disposition du citoyen, l’administration peut craindre que ses administrés ne l’exercent pas. C’est la raison pour laquelle beaucoup d’organismes de défense du consommateur et certaines ONG s’appliquent à vulgariser les grands intérêts de la portabilité.
Première raison invoquée : l’aspect purement pratique. Admettons que vous vouliez changer de logiciel de mails. Nombreux sont ceux qui n’ont jamais passé le pas par peur de perdre tous leurs contacts. Demain, le RGPD leur permettra de migrer simplement leur carnet d’adresse d’un programme à un autre (comme si vous changiez d’opérateur téléphonique sans changer de numéro).
Deuxième atout du droit à la portabilité : la décentralisation du pouvoir sur les données personnelles. Comme invoqué par le groupe de travail sur le RGPD, le droit à la portabilité permettra de faire passer vos data des mains des entreprises qui les détiennent aux vôtres. Vous pourrez ensuite en faire ce que vous voulez, soit en les stockant dans un espace privé soit en décidant de les redonner à un responsable de traitement de votre choix.
Enfin, un argument plus libéral est souvent évoqué par les parties prenantes : la libre circulation des données à caractère personnel dans l’UE stimulerait la concurrence entre les organisations, renforcerait les possibilités d’innovation et de partage voire permettrait aux personnes de créer un nouvel écosystème de la data.
Ce dernier raisonnement est au cœur de l’action de certaines initiatives qui ont pensé l’accès, le contrôle et l’exploitation des données personnelles par l’individu bien avant la préparation du RGPD. Au Royaume-Uni, Midata 1 encourage depuis 2011 les services commerciaux désireux d’utiliser les data des citoyens. En France, c’est une initiative de la Fondation Internet Nouvelle Génération (FING), baptisée Mes Infos/Self Data, qui joue ce rôle 2. Elle a même publié un livret qui propose une manière d’organiser un projet de portabilité au sein d’une organisation.
Pour la FING, les opportunités sont nombreuses. En préparant un cadre dans l’entreprise consacré aux données personnelles, les sociétés pourront mieux responsabiliser leurs équipes et les préparer à sortir enfin de la confusion qui entourait la possession et la récupération de leurs données personnelles par des responsables aux motivations diverses.
Mais au-delà de ces projets sociétaux, le droit à la portabilité comprend aussi une grande part de risque. Éjecter des données personnelles complexes et sensibles pour les mettre dans les mains d’individus souvent non-sensibilisés aux usages, sujets au vol ou à l’escroquerie ou qui ne veulent tout simplement pas savoir qu’elles existent, peut s’avérer périlleux. Responsabiliser les citoyens suffira-t-il à faire du droit un bon usage ? C’est une question philosophique à laquelle Mounir Mahjoubi pourrait répondre par le début d’une autre histoire. Une histoire dans laquelle il est question d’« un grand pouvoir qui implique de grandes responsabilités ».
Consultez les autres articles et vidéos de notre dossier RGPD :
1 MyData/Midata : initiative britannique pour accéder, contrôler et exploiter ses données personnelles : http://www.cil.cnrs.fr/CIL/spip.php?article1645
2 Relire l’article de l’Observatoire sur le Self Data : https://www.mesdatasetmoi-observatoire.fr/article/le-self-data-une-nouvelle-economie-de-la-donnee
Partager sur :