La CNIL estime que les enjeux du droit de rendre les données est essentiel.
« On est aujourd’hui à une période charnière car tout est devenu numérique, les données personnelles sont partout. Et ces données sont le pétrole de l’économie numérique. En France et en Europe, on est à une période de questionnements sur l’efficacité des modes de régulation en matière de protection des données personnelles. Au niveau du cadre juridique, les choses bougent au niveau européen, un projet de règlement a été publié récemment qui va remettre fondamentalement en cause le mode de gouvernance de la régulation des données personnelles, sans remettre en cause les principes clés, mais avec un renforcement des droits des personnes. » annonce Sophie Vulliet-Tavernier, Directrice des études, de l’innovation et de la prospective à la CNIL, lors de la présentation du « Cahier d’enjeux – Questions Numériques 2011 » de la Fing, à la Gaité Lyrique mercredi 15 février.
La protection de la vie privée et des données personnelles des concitoyens représente depuis de longues années, un enjeu majeur de politique publique pour les pays et l’Union européenne, notamment. L’essor du numérique et le contexte de globalisation ont rendu nécessaire la révision du cadre juridique européen existant. La Commission européenne vient donc d’adopter le 25 janvier un projet de règlement européen et de directive réformant le cadre de la protection des données. C’est donc un moment historique dont il faut prendre la pleine mesure car il dessinera le nouveau paysage de la protection des données du XXIème siècle en Europe.
La CNIL reconnait que le projet de règlement apporte des avancées substantielles qui étaient attendues et nécessaires. Les droits des citoyens sont ainsi en grande partie renforcés : reconnaissance d’un droit à l’oubli, d’un droit à la portabilité de leurs données et clarification des règles relatives au recueil du consentement et à l’exercice de leurs droits.
En 2011, dans le cadre du programme gouvernemental britannique MiData, 26 grandes entreprises s’engageaient à restituer leurs données personnelles à leurs clients. En 2012, dix nouvelles entreprises françaises (banques, distributeurs, énergie,..) et deux grandes villes engagent une expérimentation du même type. Mais il s’avère plus difficile que prévu d’extraire les données des systèmes d’information des entreprises : les restituer au bon client pose des problèmes de sécurité. Et les consommateurs ne savent pas bien que faire de cet afflux d’informations. Pire, certains commencent par s’indigner en réalisant tout ce que les entreprises savaient sur eux ! Ils mettent en doute la relation de confiance entre individus et organisations, ils souhaitent mieux maîtriser leur vie et prennent conscience de la valeur partagée des données (Open data, Big data,…)
La situation change quand des startups commencent à proposer de nouveaux outils et services qui permettent aux consommateurs de tirer parti de leurs données : mieux gérer son budget, réfléchir à son alimentation, évaluer son bilan carbone, organiser ses déplacements,… Un nouveau marché émerge : « entrepôts personnels de données », « coffres-forts numériques« , tableaux de bords, outils de gestion, de visualisation et de croisement des données, communication sécurisée avec les entreprises,… Des réseaux nouveaux voient le jour, comme PatientsLikeMe qui recueille auprès de ses membres des données de santé pour contribuer à des recherches cliniques.
Mais les consommateurs sont-ils vraiment demandeurs ?
Ont-ils du temps à consacrer à l’analyse de leurs données ? Sauront-ils même le faire ? Ne risque-t-on pas, sous couvert d’aider les individus à gérer leurs données, de voir émerger de nouveaux intermédiaires qui captureront la relaion clientèle ? Les données existent sous des formes très différentes ; il sera difficile de les agréger sous le contrôle du client et encore plus, de faire dialoguer les nouveaux « systèmes d’information » des clients (qui seront eux mêmes très divers) avec ceux des entreprises. Ces entreprises qui apprennent à vivre en partageant leurs données avec leurs clients et usagers. Elles y gagnent d’abord des informations de meilleure qualité, mises à jour directement par les individus. Ce qu’elles perdent en devenant plus transparentes, plus aisément comparables, elles le retrouvent en construisant une relation de confiance sur une base d’égalité que les consommateurs apprécient. Parrallèlement, des effets pervers se dessinent. Le regroupement d’autant d’informations sous la main des individus, associé à l’amélioration des outils d’analyse, crée des tentations. Certaines entreprises se livrent à un véritable chantage : sans données, pas de service ! les individus n’ont pas tous les mêmes moyens de résister à ces pressions, ni de faire un usage efficace des données qu’ils détiennent. Un nouveau genre de contestation naît : grève des données, obfuscation, falsification délibérée des informations transmises aux entreprises…
Qu’est-ce qui change dans un scénario de rupture ?
Le partage des données personnelles avec les clients rompt avec des decennies pendant lesquelles les organisations se sont dotées de capacités sans cesse croissantes de capter, agréger, traiter et échanger des données personnelles, sans rien restituer aux individus. Il s’agit donc d’outiller les individus en leur donnant à la fois de l’information (leurs données détenues par les organisations, mais aussi celles qu’ils ajouteront eux-mêmes), la capacité de les exploiter à leurs propres fins, et des outils pour maîtriser leurs relations avec les organisations.
L’émergence d’un nouveau marché : les services personnels de gestion de données. Pour rendre ces données exploitables, il faut que les individus accèdent à des outils et services qui leur permettent de récupérer, stocker, analyser, exploiter et échanger leurs données, d’une manière aisée et sûre. Ces outils et services n’existent pour ainsi dire pas : tout est à inventer.
Des questions nouvelles à traiter, du côté des organisations : combien ça coûte , qui paye, quels sont les bénéfices, quels sont les risques ? Du côté des individus : comment ça marche, qu’est-ce-que ça m’apporte, combien ça me côute ? Et si ça ne m’intéresse pas ? Du point de vue de la société, quels nouveaux risques, comment éviter de nouveaux abus de pouvoir ?
Voir le rapport 2011 du Gouvernement britannique « Better choices, better deals« , ainsi que le livre « Informatique, libertés, iidentités » de Daniel Kaplan – Editions Fyp 2010.
Comment anticiper la rupture ?
D’abord, prendre de l’avance : expérimenter tôt, surveiller les expériences internationales ; puis explorer et tester dès le départ les manières de tirer bénéfice du partage des données personnelles avec les clients : nouvelles approches marketing, amélioration de la qualité des données, nouveaux services,…Recenser les données clients dont dispose l’organisation et en profiter pour les sortir de leurs silos (dans le respect de la loi), mesurer à la fois leur intérêt pour les clients, leur coût de mise à disposition et les risques associés. Nouer des partenariats avec l’écosystème des services personnels de gestion des données. Intégrer le partage des données personnelles dès la conception de nouveaux outils de gestion de la relation clientèle. Et enfin, intervenir dans les organisations professionnelles pour inciter d’autres entreprises à s’engager dans la voie du partage des données personnelles.
Repérer les opportunités : recréer de la confiance et de la fidélité en améliorant la qualité des bases de données marketing, les clients ayant désormais intérêt à mettre à jour leurs données, puisqu’ils en font eux-mêmes l’usage.
Identifier les menaces : partager sans contrepartie évidente des informations marketing de grande valeur, au risque que la concurrence ne bénéficie. Puis ouvrir la voie à de nouveaux intermédiaires qui pourraient capturer la relation clients. Dévoiler ses pratiques de collecte de données à des clients qui pourraient ne pas les comprendre. Ne pas savoir s’adapter aux nouvelles pratiques de consommateurs mieux informés et outillés. Prendre des risques techniques et juridiques en matière de sécurité des données transmises aux clients.
Les conditions de réussite
Jouer un rôle leader dans la mobilisation autour du partage des données personnelles, c’est communiquer autour des enjeux, mobiliser les entreprises et les associations de consommateurs, donner l’exemple en restituant leurs données personnelles aux administrés, agir au niveau européen pour mettre le projet à l’agenda. Mais c’est aussi organiser un travail prospectif et collectif pour anticiper les risques en termes de vie privée, d’abus de faiblesse, de concurrence… Et enfin, soutenir l’émergence du secteur des services personnels de gestion des données.
Afin d’assurer une gouvernance efficace et démocratique de la protection des données, la CNIL souhaite donc un système participatif, reposant sur une coopération approfondie entre autorités compétentes. Dans un contexte de forte concurrence internationale, le monde se tourne vers l’Europe et regarde ses capacités à moderniser son modèle tout en réaffirmant effectivement la vie privée en tant que droit fondamental, conditionnant l’exercice d’autres libertés telles que la liberté d’expression, de réunion ou d’aller et venir anonymement.
(Source : Cahier d’enjeux – Questions Numériques / Fing)
{jacomment on}