De l’open data au personal data : des données partagées soumises à un PRIVACY-LEFT

To deposit or not to deposit, that is the question - journal.pbio.1001779.g001

De l’open data au personal data : des données partagées soumises à un PRIV ACY-LEFT

Les gouvernements britanniques et américains sont passés, sur leurs feuilles de route du sujet de l’Open Data à celui du Personal Data.

Cadre prospectif de la portabilité des données personnelles

Le projet  de règlement européen de  révision de la directive 95/46, présenté en janvier 2012, tend à redéfinir le cadre général de la protection des données personnelles. Il prévoit notamment la consécration d’un droit à la portabilité des données personnelles. Dans l’intention du législateur européen, il s’agissait surtout d’encourager la concurrence et de limiter les barrières techniques au changement de prestataire. Pour ce faire, l’article 18 reconnait au profit de l’usager un droit opposable de faire transmettre ses données d’un système de traitement automatisé à un autre, sans que le responsable du traitement  ne puisse y faire obstacle.

Certains pays souhaitent garantir un véritable droit à la portabilité des individus sur ses données, c’est-à-dire le droit d’obtenir à tout moment une copie dans un format structuré afin de pouvoir les réutiliser par lui-même.

C’est l’objet de l’expérimentation Mes Infos portée par la FING qui sera en principe lancée en France en 2013.

Ce nouveau droit permettrait ainsi aux internautes de décider eux-mêmes des conditions de partage de leurs données avec des tiers, pour bénéficier de nouveaux produits et services, ce qui revient à redéfinir l’ensemble de la relation client, notamment en marketing ( Plusieurs études universitaires américaines développement le passage du CRM Consumer Relationship Management au VRM Vendor Relationship management).

Les américains ont adopté en février 2012 le ‘’Consumer data privacy in a networked world » qui comprend un Individual Control : c’est le droit des consommateurs à un contrôle sur les données collectées par les organisations et les usages qui en sont faits

Au niveau international, les grands acteurs du Web travaillent de concert dans le “Dataportability Workgroup”pour la  création d’un cadre de référence pour la mobilité des données afin de déterminer les pratiques pour l’intégration dans des standards ouverts et autres protocoles pour une meilleure interopérabilité.

Au niveau technique,  on observe le développement de l’écosystème des plateformes de stockage et de partage personnalisé des données personnelles. Par exemple le projet http://projectdanube.org/ vise à créer une base de données sémantique pour les données personnelles, comprenant des fonctionnalités  de partage sélectif des données personnelles avec des organisations des architectures de communication Peer-to-Peer.   Nous observons également le renforcement des normes spécifiques pour l’hébergement de données personnelles.

Design your privacy : référentiel de permissions et de contraintes pour l’écosystème de partage des données personnelles

Par anticipation de la consécration d’un véritable droit à la portabilité des données personnelles au profit des individus, nous proposons un outil contractuel commun pour définir le cadre juridique de l’écosystème de la divulgation des données personnelles aux producteurs, aux hébergeurs et aux agrégateurs de données personnelles

Sur la base d’un référentiel de permissions et de contraintes spécifiques au régime juridique des données personnelles, les licences Design your privacy  définissent les prérogatives des individus sur leurs données. Il peut ainsi définir  les politiques d’accès, de diffusion et de réutilisation de ses données personnelles, avec des déclinaisons selon qu’elles sont mises à disposition en stock (permettant le téléchargement des données) ou en flux (permettant l’utilisation via une API), et que ces données soient nominatives ou non.

En résumé, la licence design your privacy répond à la question soulevée par Charles Népote de la FING : savoir ce “qu’un individu peut faire juridiquement de ses données personnelles”.

Pour garantir ces droits et notamment le PRIVACY-LEFT ci-dessus exposé pour les déclinaisons ’’licences de stock’’, nous proposons d’associer aux fichiers partagés par les internautes des métadonnées juridiques. Ces données juridiques sur les données partagées constitueront la synthèse des permissions accordées par la personne concernée (durée et finalité du traitement, destinataires…) et détermineront donc le régime juridique applicable à des données détenues par un réutilisateur à un instant T. Contrairement aux données personnelles elles-mêmes, elles pourraient être stockées directement sur l’entrepôt personnel de la personne et ainsi faire l’objet d’une obligation d’interrogation régulière par le réutilisateur pour le renouvellement de sa licence pendant toute la durée d’exploitation de la donnée ( nous avons prévu une obligation d’interrogation hebdomadaire dans Design your privacy).

Pour les variantes ’’licences de flux’’, le recours à des API Personal Data pour déterminer les conditions d’accès et d’échanges des données personnelles offrira de nouvelles modalités techniques concrètes à l’internaute pour déterminer sa politique de partage en quasi temps réel. Côté réutilisateur, il faudra sans doute inventer de nouveaux modèles d’exploitation et d’agrégation de données personnelles sans stockage de celles-ci.

Les variantes de la licence permettent à l’internaute de distinguer le régime de réutilisation des données couvertes par une anonymisation ( données individuelles se rapportant à leur comportement)  ou par une pseudo-anonymisation des données nominatives. Il doit pouvoir veiller aux conséquences du recoupement des données en les interdisant le cas échéant, notamment lorsque ces traitements sont susceptibles de l’identifier. En toute hypothèse, sur ses données nominatives ou pseudonymisées, il disposera du  PRIVACY-LEFT lui permettant de revenir à tout moment sur ses permissions accordées.

EN revanche, pour les données personnelles soumises à un procédé d’anonymisation irréversible, sans possibilité d’identification de la personne par recoupement, nous pouvons retrouver  dans certains cas de véritables données ouvertes

Pour en savoir plus:

Licence Creative Commons
De l’open data au personal data : des données partagées soumises à un PRIVACY-LEFT de Thomas Saint-Aubin est mis à disposition selon les termes de la licence Creative Commons Attribution 4.0 International.
Fondé(e) sur une œuvre à http://www.patrimoine-immateriel.fr/licences-information-publique/de-lopen-data-au-personal-data-des-donnees-partagees-soumises-a-un-privacy-left/.
Les autorisations au-delà du champ de cette licence peuvent être obtenues à www.patrimoine-immateriel.fr.

Ce contenu a été publié dans Actualités, Droit des données, Privacy, avec comme mot(s)-clef(s) . Vous pouvez le mettre en favoris avec ce permalien.

Les commentaires sont fermés.