2018, c'est l'année de la donnée
Tel a été le message de Godefroy de Bentzmann, président de Syntec Numérique, en introduction de ce débat de la donnée. Au-delà du contexte réglementaire, marqué par l'application du RGDP dans toute l'Europe, les données sont au cœur d'une révolution des modèles économiques et de la culture des organisations qui méritait que Syntec Numérique initie, en association avec la CNIL, l'ANSSI, Etalab ou encore France Urbaine, un débat large et ouvert sur le sujet.
"Chacun doit être le porteur du débat sur les données" (Mounir Mahjoubi)
En 2018, le débat sur les données va sortir de la discussion d'experts : c'est la conviction qu'a exprimée Mounir Mahjoubi, secrétaire d'État au Numérique. Lesdonnées sont le carburant de la transformation de l'économie et de la société, et l'augmentation massive de la capacité de traitement des données rend possible le passage à l'échelle d'un certain nombre d'innovations. Dans le domaine de la santé par exemple, l'analyse de grands jeux de données permet de mettre au point des outils d'aide au diagnostic d'imagerie plus précis, moins chers et plus rapides.
Par ailleurs, les données mobilisent les entreprises. D'abord, le RGPD va permettre aux TPE et PME de se questionner sur la valeur de leurs données. Ensuite, les acteurs de chaque industrie vont devoir déterminer ensemble comment ils vont collecter et échanger des données, car la somme de leurs innovations individuelles est inférieure à l'innovation collective permise par l'exploitation de jeux de données croisés.
Dans ce contexte, la fluidité d'accès aux données est un enjeu majeur : face au risque de prison dorée limitant la capacité à agir que font peser certaines plateformes, la portabilité des données personnelles apportée par le RGPD va permettre aux citoyens et aux entreprises de développer de nouveaux usages. La maîtrise par chacun de ses données personnelles est clé. Cela ne signifie pas en avoir la propriété : cette maîtrise va s'appuyer sur le développement des apprentissages et une prise de conscience collective.
"Il n'y aura pas un jour d'avant et un jour d'après le RGDP" : nous sommes au début de la transformation.
"La donnée, une brique qui permet de construire les murs de la maison" (Simon Chignard)
La donnée n'a pas de valeur intrinsèque mais elle en acquiert par l'usage qui en est fait : tel est le principal enseignement de la masterclass de Simon Chignard, co-auteur de Datanomics. Autrefois produit de luxe, la donnée est devenue une commodité par la combinaison de deux facteurs :
- l'augmentation de la capacité de traitement des données par les machines, qui s'est accompagnée d'une multiplication du nombre de données disponibles ;
- la baisse du coût de production : en 1984, un ordinateur transportable coûtait l'équivalent de 5 mois du salaire américain moyen, contre trois jours et demi en 2012 pour un ordinateur portable.
La valeur des données a trois facettes :
- la donnée matière première, qui se vend et s'achète sur une place de marché. On constate
d'ailleurs un hiatus entre la perception individuelle de la valeur de nos données personnelles et leur valeur réelle ;
- la donnée levier, qui est utilisée pour décider, produire, ou agir autrement. Ainsi, Uber peut décider d'ouvrir ou non son service dans une ville à partir du nombre de personnes tentant chaque jour d'utiliser l'application pour se déplacer ;
- la donnée actif stratégique, qui donne une place stratégique sur un marché à celui qui la contrôle. Par exemple, le GPS est aujourd'hui en accès libre alors qu'il avait au départ été construit par l'armée américaine, mais les États-Unis ont conservé la capacité à en dégrader la qualité de signal.
Enfin, il existe un décalage entre la perception de ce qu'on pense produire et la réalité de ce qui est produit : beaucoup de données se construisent par traces, autrement dit par les interactions.
"Le droit à la portabilité et la gestion par les citoyens" (Célia Zolynski)
La portabilité des données personnelles inscrite dans le RGPD va permettre aux individus de maîtriser leur double numérique, et elle va également donner naissance à de nouvelles offres de services autour de la gestion individuelle des données : tels sont les deux aspects mis en lumière par Célia Zolynski, professeur de droit à l'université de Versailles Saint-Quentin, lors de sa keynote.
Pensée comme un outil de rééquilibrage des rapports de force entre les grands fournisseurs de services numériques et les utilisateurs, la portabilité des données personnelles permettra à l'individu de s'extraire d'un système dont il était captif et de gérer lui-même ses données s'il le souhaite, tout en stimulant la concurrence par l'innovation.
À titre collectif, Célia Zolinksy imagine des mises à disposition de données personnelles pour améliorer un service public, participer à des études scientifiques, ou mener des tests in vivo sur des algorithmes afin de mieux comprendre leur fonctionnement et de réduire l'asymétrie d'information.
La portabilité des données apparaît donc comme un outil d'"empouvoirement", faible quand l'individu décidera de migrer d'un service commercial à un autre, fort quand il décidera de migrer vers un service de gestion individuelle de ses données.
Dans ce contexte, on peut imaginer le déploiement de cloud regroupant toutes les données personnelles d'un individu, qui en modulera l'accès. Il pourra soit s'agir de cloud partagés soit de solutions décentralisées, les premiers courant le risque d'attaques massives, les secondes posant la question des capacités techniques et cognitives de l'individu pour les gérer.
"Trouver un équilibre entre protection des personnes et nouveaux besoins liés à l'utilisation des données : le rôle du régulateur" (Isabelle Falque-Pierrotin)
Assurer la maîtrise de ses données à l'individu tout en permettant une innovation plus robuste : c'est ainsi qu'Isabelle Falque-Pierrotin, présidente de la CNIL, conçoit le rôle du régulateur dans le contexte de l'application du RGPD.
Soulignant le souhait des individus de maîtriser leurs données, y compris dans des marchés lointains comme la Chine, où trois quarts des habitants se disent inquiets du développement de l'intelligence artificielle en raison des risques qu'elle ferait peser sur leur vie privée, Isabelle Falque-Pierrotin a rappelé le changement d'objectif stratégique opéré par la CNIL en 2012 : accompagner les nouveaux besoins liés à l'utilisation des données, en matière de modèles économiques, de sécurité, de lutte contre la fraude et d'innovation, et assurer le respect du droit des personnes.
Cette nouvelle orientation stratégique de la CNIL s'est traduite par une réorganisation interne et par la production d'outils de soft law – des packs de conformité sectoriels.
Conçu en réponse au retard européen en matière de géopolitique numérique, avec des données des citoyens européens traitées principalement par des acteurs étrangers, le RGPD doit être vu comme une chance pour l'Europe. Il vise à :
- créer un marché unifié de la donnée ;
- récupérer une souveraineté sur les données.
Au niveau national, la CNIL a un double objectif :
- faire réussir le RGPD car le monde entier a les yeux braqués sur l'Europe, qui doit prouver que le modèle fonctionne, et cela passe par un accompagnement des acteurs et non par une politique uniquement centrée sur les sanctions ;
- se servir du RGDP pour renforcer l'attractivité numérique du pays, ce qui passera notamment par la production de référentiels sectoriels permettant aux entreprises d'évaluer leur conformité.
Réglementation : l'histoire n'est pas écrite
Avec : Isabelle Falque-Pierrotin, présidente de la CNIL, Christine Hennion, députée des Hauts de Seine, Gaspard Koenig, philosophe, président du think tank GenerationLibre, Jérôme Siméon, CEO Cap Gemini Application Services France, et Laurent Treluyer, directeur des systèmes d'information de l'Assistance Publique – Hôpitaux de Paris.
RGPD : adaptation de la loi française et enjeux d'application Le projet de loi sur la protection des données personnelles est un texte sur les libertés du 21e siècle selon la députée Christine Hennion. Si le gouvernement a choisi de rester le plus fidèle possible au RGPD, le Parlement a proposé d'introduire une capacité de médiation entre particuliers et entreprises, mais aussi entre entreprises et sous-traitants, afin de proposer un outil supplémentaire au régulateur.
Cette nécessité de bien s'assurer du respect de l'application du principe de responsabilité (accountability) a été soulignée par Jérôme Siméon. En effet, si un des maillons de la chaîne cherche à se décharger de sa responsabilité, par exemple le responsable de traitement vis-à-vis de son sous-traitant, un biais sera introduit au détriment de la bonne application du RGDP, avec une "illusion de conformité".
Autre enjeu pour les entreprises :l'obligation d'identifier où sont leurs données, qui représente une opportunité pour comprendre quel est leur patrimoine informationnel et comment le valoriser. Elles doivent également identifier qui a accès aux données, et en sécuriser l'accès. Le RGPD apparaît alors comme une opportunité dans la transformation numérique de l'entreprise.
L'application concrète du RGDP a été illustrée par Laurent Treluyer, directeur des systèmes d'information de l'APHP. L'institution compte 39 établissements de santé, plus de 800 applications, et jusqu'à 1 000 traitements de données par établissement. Pour faire face à ce chantier complexe et onéreux, une correspondante informatique et liberté a été nommée en 2017. Une commission "données" a également été créée sous l'égide du directeur général, afin de traiter les points qui ne seraient pas réglés par la loi.
Au-delà de la mise en conformité de chaque entreprise, la réussite du RGPD passera par le dialogu avec le régulateur, à la fois pour que les contrôles de conformité soient progressifs, mais aussi pour éviter qu'il y ait 28 référentiels différents en Europe.
À cela, Isabelle Falque-Pierrotin répond en précisant que le régulateur national devient régulateur de réseau avec ses homologues européens, avec une possibilité de co-décision à 28 autorités sur des cas trans-frontières. Par ailleurs, les codes de conduite seront soumis à un dispositif de cohérence européen dès lors qu'ils auront une dimension transfrontalière. Enfin, elle appelle à une démarche proactive des acteurs français pour fixer le niveau de référentiel souhaité et le porter au niveau européen.
Aller plus loin avec une propriété des données personnelles ?
Pour Gaspard Koenig, la maîtrise sans propriété est illusoire. Le producteur de la matière première qu'est la donnée personnelle doit avoir l'usus (droit de faire ce que je veux) et le fructus (la possibilité de monétiser et contractualiser). Estimant que les données sont de facto monétisées aujourd'hui, il appelle à ce que chacun puisse décider s'il vend ou donne ses données. Sa proposition s'inscrit selon lui dans la ligne du RGPD ; elle permettra de créer un marché, où de nouveaux acteurs apparaîtront à partir du moment où on introduit une concurrence.
Gaspard Koenig envisage un compte intelligent qui pourrait être alimenté en débits et crédits en fonction de l'utilisation des données. Une fois les termes contractuels définis entre l'individu et l'entreprise, cette dernière pourrait faire ce qu'elle souhaite avec les données, dans le respect de ces termes, et serait donc également gagnante. Un système d'expropriation pourrait être imaginé pour les données d'intérêt général.
Soulignant que ce débat sur la propriété des données personnelles est important, les autres participants à la table ronde ont appelé à réussir la mise en œuvre du RGPD plutôt que de s'engager sur une telle proposition dont la faisabilité semble incertaine. En effet, une de ses principales difficultés, au-delà des questions juridiques de principe empêchant la cession de données personnelles qui font partie des libertés fondamentales de l'individu, réside dans la définition de la valeur apportée par chaque acteur de la chaîne.
La confiance, clé de l'usage des données personnelles
Avec : Éric Bothorel, député des Côtes d'Armor, Olivier Gérard, coordinateur média-usages numériques de l'Union française des associations familiales (UNAF), Emmanuelle Payan, chief data officer de la Société Générale, et Fabrice Otaño, chief data officer d'Accorhotels Group.
Du recueil du consentement libre et éclairé à la personnalisation des services clients grâce aux données personnelles : tel a été le fil rouge de la deuxième table ronde du grand débat de la donnée.
Éric Bothorel, député des Côtes d'Armor, a rappelé que la préoccupation du législateur doit toujours être de défendre les plus vulnérables, ce qui se traduit notamment par un souci d'assurer une bonne information des citoyens sur l'usage qui est fait de leurs données. Dans le même temps, il s'agit de ne pas brider la croissance des champions économiques et de permettre le développement des usages en accompagnant les entreprises dans leur mise en conformité réglementaire.
Côté consommateurs, Olivier Gérard a souligné que chacun a son propre rapport au numérique : il n'y a pas un consommateur mais des diversités de pratiques qui doivent être prises en compte. À cela s'ajoute le manque de culture numérique d'une partie de la population – 13 millions de personnes sont estimées avoir des difficultés face au numérique – qui obère leur capacité à donner leur consentement libre et éclairé à l'utilisation de leurs données. L'élaboration de messages simples et compréhensibles pour recueillir le consentement des personnes et une grande campagne nationale d'éducation des citoyens à la société numérique semblent donc nécessaires.
Créer cette confiance du client est au cœur des préoccupations des banques, tiers de confiance qui traitent beaucoup de données personnelles, selon Emmanuelle Payan, CDO de la Société Générale. De façon globale, le secteur bancaire est confronté à trois enjeux autour des données. Premièrement, le développement de leur usage pour améliorer le service clients, proposer de nouveaux services, mieux maîtriser les risques et renforcer l'efficacité opérationnelle de l'entreprise. Deuxièmement, l'acculturation de l'ensemble des collaborateurs à la donnée : collecte du consentement, restitution des données, etc. Enfin, la mise en qualité de la donnée, condition nécessaire pour son utilisation.
Autre exemple, celui d'Accor, qui a placé la personnalisation de l'expérience client au cœur de sa stratégie. Cette dernière passe par une connaissance fine du client individuel, s'appuyant par un programme de fidélité conçu comme base d'une relation de confiance. La communication sur la sécurisation des données et la transparence sur l'usage qui en est fait sont clé pour créer cette confiance, qui permet d'obtenir un avantage compétitif durable. Par ailleurs, les collaborateurs sont sensibilisés de façon systématique à la sécurité des données et au respect des données privées.
Enfin, le coût de la mise en conformité pour les entreprises a été souligné. À titre d'exemple, dans le secteur bancaire, la révision systématique des contrats avec les sous-traitants, pour déterminer entre autres la durée de conservation des données, type de donnée par type de donnée, explique en grande partie le coût de l'adaptation au RGPD.
Take away
En conclusion, Godefroy de Bentzmann a souligné que ces débats avaient permis de faire ressortir des convergences importantes sur ce sujet des données personnelles : vision partagée par le régulateur comme les entreprises du RGPD en tant qu'opportunité, nécessité pour les acteurs économiques comme les autorités de concilier protection et innovation, et enfin volonté commune des entreprises et des consommateurs de développer un cadre de confiance pour permettre l'utilisation des données personnelles.
Il a enfin rappelé le souhait de Syntec Numérique de prolonger ce débat, avec deux autres sujets à venir : les données et la gouvernance publique le 4 avril, et l'économie de la donnée le 15 mai.