C’est un mot un peu énigmatique inscrit dans le nouveau règlement général de protection des données personnelles (RGPD) qui entre en vigueur en France vendredi 25 mai. Le texte, qui renforce la protection des multiples traces numériques laissées par chacun d’entre nous lorsque nous sommes connectés, institue aussi un droit à leur « portabilité ».

De quoi s’agit-il exactement ? L’usager d’un service pourra désormais se voir restituer ses informations personnelles collectées par une entreprise s’il veut les transmettre à une autre. Par exemple lors d’un changement de fournisseur de messagerie ou d’électricité.

Mais ce nouveau droit va plus loin : il permet aussi de placer ces données sur un serveur indépendant des entreprises qui les ont initialement collectées. C’est justement l’expérience menée par la FING (Fondation Internet nouvelle génération), un think tank français qui cherche à anticiper les transformations numériques. Son dispositif « Mes infos », créé en 2012 et testé dans une version élargie depuis septembre 2017, éclaire la portée du droit à la « portabilité » et préfigure une façon dont il pourrait être utilisé à l’avenir.

Un espace personnel protégé

L’expérience associe deux mille particuliers volontaires, une collectivité – le Grand Lyon – et des entreprises privées : la compagnie d’assurances MAIF, l’opérateur de télécoms Orange, les compagnies d’énergie EDF, GrDf et Enedis. Ces organisations se sont engagées à restituer aux deux mille testeurs toutes les informations collectées à leur sujet. Cela va du relevé détaillé de communications (Orange) à la consommation d’énergie enregistrée par les compteurs Linky (Enedis) ou Gazpar (Grdf). La Métropole de Lyon rétrocède de son côté les données de consommation d’eau.

Seul l’usager dispose d’un accès à l’ensemble de ces données, qu’il peut consulter et classer, et dont il peut autoriser l’usage à des entreprises, en échange de services. Pour Manon Molins, chef de projet à la FING : « Les données ne sont ainsi plus gérées par les seules plates-formes, comme c’est le cas aujourd’hui. Elles sont cogérées par les organisations et les individus qui en récupèrent une copie et les partagent dans un cadre déterminé, en échange d’un service particulier qui leur est utile. »

L’ensemble est réuni dans un espace protégé accessible aux seuls usagers. « Jusqu’à présent, les données de chacun étaient stockées dans des silos. Avec l’obligation de “portabilité”, les entreprises se voient imposer de les partager aux utilisateurs qui le demandent, ce qui va permettre de créer de nouveaux usages et une commodité d’utilisation », explique Benjamin André, fondateur de la start-up française Cozy Cloud, partenaire du projet, qui met à disposition des serveurs personnels sécurisés.

Replacer l’usager au cœur du dispositif

Dans un contexte où les données sont aujourd’hui captées et monétisées sans réel consentement par les plates-formes, c’est bien la maîtrise et la capacité d’agir des usagers qui sont au cœur du projet. Des rencontres sont régulièrement organisées avec des volontaires au TUBÀ (Tube à expériences urbaines), un espace lyonnais d’expérimentations, pour imaginer de futurs services : une application pour accompagner les économies d’énergie, une autre pour faciliter les démarches lors d’un changement de situation, ou encore un relevé bancaire « augmenté » qui donne accès directement aux factures…

L’initiative s’inscrit dans le mouvement plus général du « self data » (ou « my data »), qui se développe aussi en Grande-Bretagne et en Finlande. Son ambition est de replacer l’usager au cœur du dispositif, là où jusqu’à présent les plates-formes abusent de leur position dominante et usent de pratiques opaques. « L’enjeu est que chacun devienne le responsable du traitement de ses propres données personnelles », explique Valérie Peugeot, membre de la Commission nationale de l’informatique et des libertés (CNIL), qui fait partie de l’équipe de chercheurs du Lab Orange accompagnant le dispositif depuis ses débuts.

Il est trop tôt pour faire le bilan de l’expérience menée avec les volontaires lyonnais. Des enquêtes sont en cours afin d’étudier comment les usagers s’emparent de tels outils. Mais il est d’ores et déjà intéressant de noter que la démarche exclut la commercialisation des données par les individus. Alors que des voix s’élèvent pour réclamer un droit de propriété instaurant « une patrimonialité sur les données personnelles » pour permettre aux usagers de les « monétiser », « Mes infos » refuse la commercialisation de la vie privée, « dangereuse », selon Manon Molins, car « elle ne donne pas de pouvoir aux individus, bien au contraire. »

La donnée comme un « bien commun »

L’initiative de la FING explore une troisième voie, entre d’un côté la toute-puissance des entreprises et de l’autre l’appropriation individuelle des données. Il s’agit de considérer la donnée comme un bien commun, cocréé par différents acteurs et dont la valeur dépend des autres données auxquelles elle peut être associée. Seule, elle ne vaut rien. Son utilisation est encadrée par des droits d’usages (droit au consentement, au déréférencement, à la portabilité…), et non de propriété.

« On peut imaginer à terme la création de coopératives de données personnelles, où l’individu partage volontairement des informations dans un objectif précis, de recherche médicale par exemple, en toute connaissance de cause », précise Manon Molins.

Un autre intérêt de la démarche réside dans l’articulation inédite qu’elle met en place entre usagers, pouvoirs publics et acteurs privés, une charte encadrant les droits et devoirs de chacun. Alors que l’actualité témoigne régulièrement des risques à confier les données personnelles aux seuls Etats ou aux acteurs privés, de tels dispositifs ouvrent de nouvelles pistes de gouvernance et un champ de recherches plutôt stimulant.