Design your privacy : pour une licence de partage des données personnelles

Si demain chacun d’entre nous récupère les droits sur ses données personnelles, une grande part de la problématique reposera alors sur “Comment gérer ces droits” ? Si ces données sont les nôtres, nous en devenons responsables. Une grande interrogation repose sur la façon de trouver des systèmes de licences permettant à chacun de gérer “simplement” l’accès à ses données aux systèmes techniques et aux réutilisateurs potentiels, tout en étant capable de changer ces modalités quand bon nous semble.

Thomas Saint-Aubin, professeur de droit à l’Ecole européenne des métiers de l’internet et responsable du site Patrimoine Immatériel, qui a suivi les travaux du projet MesInfos, propose une gamme de licence pour les utilisateurs que les développeurs d’entrepôts de données personnelles (que sont les administrations, les associations ou les entreprises qui nous rendront l’accès et la propriété des données qu’ils détiennent sur nous) pourront implémenter. Cette contribution ouverte a donc pour objet de mettre en discussion ce que pourraient être ces formes de licences, qu’il a baptisé Design your privacy (Concevez votre vie privée). Explications…

Si les internautes ont pesé de tout leur poids sur l’administration pour qu’elle libère ses données publiques, on ne peut pas leur reconnaître la même ténacité vis-à-vis des acteurs privés pour qu’ils reversent les données qui les concernent directement.

Le “paradoxe des données” qui nous appartiennent mais qui nous ne possédons pas, est assurément une nouvelle forme d’expression du “paradoxe de la vie privée” (le privacy paradox pointe l’écart entre la pratique de divulgation quotidienne de données à caractère personnelle sur l’internet et la volonté de protéger sa vie privée). Malgré l’intérêt du sujet, on ressent une forme de résignation dans la conscience collective, une forme d’habitude dans cette situation. La prise de contrôle de nos données nous semble impossible, inaccessible, lointaine, ou en tout cas promise à un futur Eldorado numérique, un idéal qui s’éloigne à mesure que les données et les traitements sont de plus en plus nombreux et accessibles.

Cependant, des initiatives comme le projet anglais MiData ou le français MesInfos nous laissent toutefois entrevoir un horizon plus proche. Et celui-ci se rapproche encore lorsque l’on sait que les entreprises, se préoccupent davantage d’inscrire leurs stratégies dans une démarche de responsabilisation sociale et que leurs directions marketing découvrent les perspectives du VRM, la gestion de la relation commerçant.

Cette terre promise trouve même ses premières réalités juridiques avec la consécration d’un droit à la portabilité des données et d’un droit à l’oubli numérique dans le projet de règlement européen (.pdf), qui renforcent et étendent le droit d’accès garantit en France par la CNIL depuis 1978.

Le législateur européen consacre en outre un principe de privacy by design, consistant à intégrer des considérations relatives à la vie privée dès la conception.

L’idée de la licence Design your privacy que je propose de discuter a pour objectif de nous rapprocher encore davantage de cet Eldorado : nous proposons aux internautes, aux producteurs, aux hébergeurs et aux agrégateurs de données personnelles un outil contractuel commun pour définir le cadre juridique de l’écosystème de la divulgation des données personnelles.

Pour garantir le retour des données personnelles dans la sphère privée des personnes concernées, encore faudra-t-il que les entreprises proposent des moyens concrets pour garantir la portabilité des données de leurs clients vers leurs entrepôts. Au-delà d’un droit qui s’annonce peu contraignant (cf. projet d’article 18 du projet de règlement européen), il faudra donc nécessairement qu’elles trouvent un intérêt économique à la démarche.

Pourquoi la voie contractuelle ?

Au-delà d’une simple licence, Design your privacy se veut un référentiel de permissions et de contraintes, un outil contractuel qui s’inscrit dans un cadre pédagogique et prospectif vis-à-vis du futur cadre juridique européen.

Les participants au 2e atelier ’’MesInfos’’ ont souligné la nécessité de “disposer d’une licence claire et reconnue afin notamment de faciliter la réutilisation des données dans le respect de la vie privée”. La solution contractuelle a également été perçue comme une “voie fertile à explorer” pour aménager les chaînes de responsabilité, bouleversées dans le cadre du projet MesInfos : en droit, le responsable du traitement est celui qui détermine sa finalité et ses moyens. En l’espèce, il s’agit de l’internaute lui-même : il faut donc réaménager cette chaîne pour tenir compte de ce nouveau paradigme et garantir la protection de l’individu. Pour cela, comme le dit Alan Mitchell, conseiller stratégique du projet britannique MiData, il faut passer des Conditions générales d’utilisations (CGU) aux Conditions générales de réutilisation (CGR). C’est aux utilisateurs de définir les conditions de réutilisations de leurs données et c’est aux entreprises de s’y conformer.

Sur la base d’un référentiel de permissions, la licence Design your privacy souhaite donc permettre à l’individu de définir les politiques d’accès, de diffusion et de réutilisation de ses données personnelles, avec des déclinaisons selon que ces données sont disponibles en stock (permettant le téléchargement des données) ou en flux (permettant l’utilisation via une API), et que ces données soient nominatives ou non.

En résumé, la licence design your privacy répond à la question soulevée par Charles Népote de la Fing : savoir ce “qu’un individu peut faire juridiquement de ses données personnelles”.

Pré requis technique

L’utilisation de la licence Design your privacy s’accompagne nécessairement de deux pré requis techniques :

  • Que le producteur initial des données (entreprise, association ou administration) ait reversé à l’individu les données personnelles détenues sur lui dans un entrepôt personnel.
  • Que l’individu dispose d’une interface normalisée pour déterminer les permissions, les finalités et les destinataires du partage. Cette interface doit également lui permettre de révoquer les droits d’usage concédés dans un dispositif garant du respect du droit à l’oubli numérique.

Pour garantir ces droits pour les déclinaisons ’’licences de stock’’, nous proposons d’associer aux fichiers partagés des métadonnées juridiques avec une obligation d’interrogation régulière par le réutilisateur pour le renouvellement de sa licence pendant toute la durée d’exploitation de la donnée.

Pour les variantes ’’licences de flux’’, le recours à des API pour déterminer les conditions d’accès et d’échanges des données personnelles offrira de nouvelles modalités techniques concrètes à l’internaute pour déterminer sa politique de partage en quasi temps réel.

Dans une logique de VRM, plutôt que d’imposer les clauses ’’données personnelles’’ de leurs conventions d’adhésion, on peut ainsi espérer que les entreprises se soumettront aux conditions de réutilisation prédéfinies par leurs clients. Elles disposeront d’un accès continu à une partie des données stockées sur les entrepôts de leurs clients pendant toute la durée de leur contrat. Cette inversion du rapport de force contractuel traduirait certainement, de la part d’entreprises innovantes, une réelle politique de “minimalisation des données” et de responsabilisation sociale, socle d’un véritable avantage concurrentiel et marketing.

Des écosystèmes “ouverts” appelés à discuter entre eux [1]

De la portabilité des données du système d’information de l’entreprise vers le l’entrepôt de données personnelles’ de l’individu, en passant par les services en ligne d’agrégation des internautes, l’écosystème de la donnée personnelle’ fait intervenir une multitude d’acteurs aux contours encore incertains.

S’il s’agit d’un contrat bilatéral, la licence proposée s’inscrit également dans le cadre des relations juridiques de l’individu avec un producteur et un gestionnaire d’entrepôt. Sa mise en œuvre nécessite donc parallèlement l’acceptation par le réutilisateur des conventions générales d’utilisation de l’entrepôt et le cas échéant, de celles des API, déterminées par le gestionnaire.

La licence est donc une concession de droits d’usages à un réutilisateur, sur les données personnelles d’un individu. Il lui concède un droit personnel, non exclusif et non transférable, de réutilisation de ses données pour les finalités et les moyens présélectionnés par ses soins. Cette opt-in (c’est-à-dire cette option d’adhésion qui a fait l’objet d’un consentement préalable) est temporaire et révocable unilatéralement par l’utilisateur en opt-out (accord tacite, sans consentement préalable).

Dans cet écosystème en devenir, les rôles sont interchangeables. Par exemple :

  • l’entreprise productrice des données pourra elle-même proposer un entrepôt à ses clients ou devenir licencié sur des données externes détenues par d’autres producteurs pour enrichir la connaissance dont elle dispose sur ses clients.
  • Le gestionnaire de l’entrepôt pourra proposer des services de moissonnage des données personnelles de son client chez l’entreprise détentrice ou proposer lui-même des services d’agrégation et d’analyse des données stockées sur ses serveurs (ce qu’on appelle les services du marché du Personal Information Management Services par exemple des services d’aide à la décision).

L’un des objectifs de la licence est donc de définir précisément le niveau de responsabilité des acteurs en fonction de la granularité des traitements réalisés sur les données personnelles et de la nature de leur intervention.

Sécurité des données

Par ailleurs, le licencié aura bien évidemment des contraintes plus fortes en matière de sécurité des données personnelles qu’en matière de réutilisation des données publiques par exemple. Dans le cas de la concession d’une licence de flux, a priori plus protectrice pour l’individu, les données seront soumises à un risque plus important. Il aura une obligation de sécurisation des échanges renforcée. Une nouvelle norme est attendue sur le sujet de la confidentialité des données numériques par les professionnels de coffre-fort numérique. En attendant, le respect de la norme AFNOR NF Z42-020 sur l’intégrité des données numériques conservées pourrait constituer le niveau d’exigence minimal pour les offres de “stockage de données personnelles”.

Quant à la personne, elle aura une obligation générale de prudence, notamment afin de la responsabiliser vis-à-vis de ses propres données. En définissant elle-même les droits d’usage concédés à ses prestataires, elle prendra davantage conscience du champ des possibles autour de la réutilisation de ses données. Elle sera également invitée à garantir l’exactitude des données transmises (obligation de moyens) notamment via la mise en œuvre de son droit à la rectification auprès du détenteur originel. Le cadre proposé permettrait ainsi de donner une réalité concrète à l’obligation déjà connue des entreprises d’avoir des “données de bonne qualité”.

Données nominatives, pseudonymisées, anonymisées : vers un ‘’privacyleft’’ sur les données

Les variantes de la licence permettent à l’internaute de distinguer le régime de réutilisation des données couvertes par une anonymisation ou par une pseudo-anonymisation des données nominatives. Il doit pouvoir veiller aux conséquences du recoupement des données en les interdisant le cas échéant, notamment lorsque ces traitements sont susceptibles de l’identifier. En toute hypothèse, sur ses données nominatives ou pseudonymisées, il dispose d’une sorte de privacyleft lui permettant de revenir à tout moment sur ses permissions accordées.

Les entreprises devront intégrer cette logique dans leur modèle.

Vers un référentiel de métadonnées sur les droits de réutilisation

Il existe actuellement une forte demande d’une partie de l’Open Data français pour converger vers une licence unique sur les données publiques. Certains vont même jusqu’à voir dans le concept même de licence une forme d’enclosure.

Pour poursuivre leurs premiers efforts en matière d’Open Data et pour les étendre à de nouveaux jeux de données pertinents (les données créées par des prestataires dans le cadre de marchés publics notamment qui ne sont pas, a priori, qualifiées juridiquement de “données publiques”), les administrations doivent pouvoir disposer d’un minimum d’alternatives pour fixer leurs politiques de diffusion des données. L’éventuel élargissement du périmètre du droit des données publiques aux données éducatives et culturelles ne nous permettra en aucun cas d’éluder les questions stratégiques soulevées par la définition d’un référentiel de métadonnées sur les droits de réutilisation des données.

Philosophiquement et politiquement, lorsque l’on dresse l’état des lieux des licences applicables aux données ouvertes françaises en mai 2012, il n’est pas anodin de découvrir que la quasi-totalité des collectivités locales ont opté pour la licence OdBL, qui prévoit une viralité sur les conditions de redistribution de la base de données et favorise donc le partage, alors que les ministères, sous l’impulsion d’Etalab, ont largement opté pour une licence très permissive, qui favorise l’appropriation de la donnée publique et qui est donc d’essence plus libérale.

Pour avancer davantage dans l’Open Data, il faut pouvoir admettre cette variété des conditions d’ouverture tout en cherchant à les simplifier. Imposer des conditions uniques de réutilisation à l’ensemble des acteurs publics et à leurs données, c’est contre-productif pour l’ouverture des données. De plus, l’Open Data s’enrichira de nouvelles données coproduites par les internautes et les entreprises (crowdsourcing) qui pourront ainsi concéder certains droits d’usage et permettre leur interopérabilité avec les données ouvertes, par exemple sur des jeux ayant fait l’objet d’un procédé d’anonymisation irréversible [2].

“L’ouverture des données ne relèvera pas de décisions binaires (ouvrir ou fermer), mais plutôt d’un réglage fin des degrés d’ouverture et d’autorisations d’accès : à d’autres entités de l’organisation ? A ses partenaires habituels ? A son “écosystème” étendu ? A tout le monde, de manière gratuite ou payante ?…”, rappelait Daniel Kaplande la Fing lors de l’Open Data Week de Nantes.

Notre premier objectif est bien de garantir l’effectivité du droit à l’autodétermination des internautes sur leurs données personnelles. Mais il nous semble aussi que l’ensemble des acteurs, personnes physiques ou morales, acteurs privés ou publics, peut vouloir bénéficier de la nouvelle chaîne de valeur du partage des données personnelles.

Le Linked data, ce web de données interconnectées, ne pourra se concrétiser sans une interopérabilité juridique des données. A partir des métadonnées juridiques, nous devons réfléchir à un cadre juridique commun, standardisé, normalisé, applicable à l’ensemble des croisements de données. Par exemple, il existe une exigence commune de prévisibilité d’exploitation entre les données protégées (issue du droit de destination du droit d’auteur) et les données personnelles (principe de finalité). Nous pouvons aussi nous appuyer sur des standards de métadonnées juridiques tels que le MetsRights ou les champs juridiques du Dublin Core pour définir ces règles d’interopérabilité.

C’est donc aussi dans cette optique du croisement des données personnelles avec les autres typologies de données que nous avons pensé la licence Design Your Privacy, en offrant la possibilité d’ouvrir des permissions variables qui recoupent les permissions déjà recensées dans les grandes licences OpenData (OdBL, licence Etalab…) et des finalités prédéterminées.

Nous arrivons ainsi à un référentiel des grandes permissions susceptibles d’être ouvertes sur des données, qui devrait favoriser plus avant le croisement de données. Ce référentiel devrait également répondre à la problématique des organisations et des particuliers pour définir la granularité de leur politique d’ouverture.

Si vous souhaitez la commenter, l’augmenter, participer, le premier draft de la licence Design your privacy (et de ses variantes) est ouvert à vos contributions sur Patrimoine-Immatériel et via le système Co-ment.com, permettant de commenter simplement tout type de texte :

Thomas Saint-Aubin

Thomas Saint-Aubin est professeur de droit à l’Ecole européenne des métiers de l’internet, enseignant à l’Ecole de Droit de la Sorbonne , chercheur associé au laboratoire de Normologie, linguistique et informatique juridique de l’Institut de recherche juridique de la Sorbonne et éditeur du site Patrimoine Immatériel.

Retrouvez notre dossier « Réutilisation des données personnelles » :

________________
Notes
1. Voir le rapport de la société britannique Ctrl-Shift : “Le nouveau paysage des données personnelles”.
2. Par exemple Médiamétrie utilise des données de communication anonymisées par un tiers de confiance et transmises par les opérateurs télécoms pour l’analyse de l’audience de l’internet mobile.

À lire aussi sur internetactu.net