L’une des grandes nouveautés du règlement européen sur la protection des données personnelles (RGPD) est le droit à la portabilité (article 20). Il permet à chaque personne de récupérer auprès d’une organisation les données qu’elle possède sur elle et qu’elle traite de manière automatisée. Ces données doivent pouvoir être réceptionnées sous un « format structuré, couramment utilisé et lisible par machine ». Et la personne a le droit de les transmettre à une autre organisation « lorsque cela est techniquement possible ». Les données peuvent également être transmises directement d’une organisation vers l’autre, si c’est possible.
Le but de ce nouveau droit est de redonner aux personnes le contrôle de leurs données et de casser les silos qui se sont formés ces dernières années. Mais ça, c’est la théorie. En pratique, on constate que la portabilité des données se limite aujourd’hui au téléchargement de fichiers CSV, HTML ou XML. Dans le meilleur des cas. Chez Facebook, l’utilisateur peut ainsi récupérer ses données – messages, photos, commentaires, etc. – sous la forme de fichiers HTML ou JSON, regroupés dans une archive ZIP.
Google, de son côté, propose une fonction d’export similaire. Cette opération peut être assez longue et prendre « des heures, voire des jours entiers », prévient le géant du net. Tout dépend en effet du niveau d’activité de l’utilisateur.
Facebook et Google figurent toutefois parmi les bons élèves. Beaucoup de services en ligne ne proposent même pas de fonction de téléchargement. Le seul moyen est alors de contacter directement l’entreprise en espérant qu’un chargé de la protection de données personnelles va répondre.
Côté import des données, c’est encore pire. Comme cette fonction n’est pas obligatoire, elle est encore plus rare à trouver. Parmi les exceptions notables figure le français Cozy Cloud qui propose l’importation de certaines données personnelles, comme les relevés bancaires, les factures ou les remboursements de santé. « Aujourd’hui, presque personne ne propose de récupérer des données. La mise en place de la portabilité sera un processus long et hétérogène. Il faudra attendre au moins un an », nous explique Olivier Dion, PDG de OneCub, une jeune pousse française spécialisée dans ce domaine.
Si l’on veut espérer un jour voir la portabilité se développer, il faut évidemment mettre en place des transferts directs et automatiques d’un service vers un autre. Les transferts de données « à la main » à l’aide de fichiers CSV ou JSON ne sont pas envisageables pour l’utilisateur lambda. Mais techniquement, ce n’est pas évident à faire. Les entreprises ont toutes des systèmes d’information différents. Il faut donc mettre en place une tuyauterie spécifique à chaque fois, sous la forme d’interfaces de programmation (API).
Bientôt une blockchain de consentements ?
Or, c’est justement ce que propose de faire OneCub. Sa plate-forme permet aux entreprises d’implémenter des fonctions d’import/export tout en assurant le consentement de l’utilisateur à chaque étape. Ce dernier point est particulièrement important si l’on veut éviter les scandales de fuites de données tels que Cambridge Analytica, où les utilisateurs ont appris avec stupéfaction que les informations qu’ils avaient transmises à un universitaire se sont retrouvées dans les bases de données d’un cabinet de conseil politique. Mais plus les données circuleront, plus il deviendra difficile de gérer et superviser tous ces multiples consentements. « Il faudra créer un protocole unifié permettant de retracer les consentements donnés par les utilisateurs », souligne Olivier Dion. L’une des pistes envisagées est d’utiliser la technologie de la blockchain pour faire ce travail de vérification.
Mais le jeu en vaut la chandelle. Selon la start-up, les cas d’usage de la portabilité sont presque sans limite. Un trajet programmé sur Google Maps pourrait ainsi être transféré directement vers Blablacar pour créer une annonce de covoiturage. Et les courses effectuées chez Auchan pourraient se transformer en recette sur Marmiton. Reste à convaincre les entreprises qu’un tel partage de données peut être à leur avantage. Pour l’instant, elles sont encore nombreuses à penser que les données de leurs clients sont stratégiques et qu’il faut donc entraver leur libre circulation. Mais cela dépend aussi des secteurs. Le désir de protection serait ainsi beaucoup plus fort dans la distribution que dans le secteur financier ou automobile.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.