MesInfos

MesInfos

Une expérimentation de la Fing autour du partage et de la ré-utilisation des données personnelles


En ce moment sur "MesInfos"

> Le projet continue, venez le suivre sur le site Mesinfos !

 image 

Blog de MesInfos

  • Lorsque nous avons lancé le pilote MesInfos, début 2016, après quatre années de travaux sur le sujet du “retour des données personnelles aux individus”, l’ambition était claire : “faire franchir un cap” au Self Data. Pourquoi, après ces premières années d’exploration et d’expérimentation, avions-nous jugé temps d’accélérer les choses ?

    Essentiellement pour trois raisons :
    > Le sentiment que la situation (montée de la défiance des individus vis-à-vis des organisations, en particulier sur le sujet des données, asymétrie totale entre l’accès à l’information et les capacités de traitement des uns et des autres…) ne pouvait plus durer pour penser une économie durable et surtout une société désirable.
    > Le sentiment que quelque chose était en train de bouger : un écosystème émergent de services et plateformes autour des données personnelles (cloud personnels, services se revendiquant de “VRM”…), la multiplication des conférences sur le sujet, les échanges nourris avec des entreprises partageant un intérêt pour lancer des expérimentations voire des stratégies autour du Self Data, l’évolution à venir de la loi européenne en matière de protection des données personnelles, avec le RGPD
    > Enfin, après quatre années de travaux avec des partenaires et complices – dont certains creusent avec nous le sujet depuis le début, le sentiment que pour apprendre davantage de ce que signifierait le Self Data (en termes de défis techniques, organisationnels, économiques, en termes de valeur et d’usages, etc.), nous devions nous confronter au terrain, avec un projet pilote ambitieux.

    Le format que nous avions choisi pour ce pilote, nous l’avions déjà – en partie – éprouvé en 2013 lors d’une première expérimentation, limitée dans le temps et les dispositifs techniques (transfert de fichiers de données et non pas développement d’API pour transférer les données, par exemple). Il s’agissait, avec ce pilote de réunir autour de la table de grandes organisations détentrices de données – publiques ou privées, de les inciter à restituer les données qu’elles détiennent et utilisent dans leur SI à 3000 de leurs clients ou usagers volontaires (contre 300 pour la 1re expérimentation) ; pour cela, il était nécessaire que les futurs testeurs disposent de leur propre outillage, qui leur permettrait de recevoir les données, de les visualiser, les comprendre, les stocker en toute sécurité, et les réutiliser grâce à de nouveaux services tiers (c’est cela, que nous nommons le Self Data). Nous avons ainsi choisi de collaborer pour ce projet pilote avec la startup française de cloud personnel Cozy Cloud, pour donner corps à cette vision. Enfin, puisque nous cherchions à apprendre, nous avons constitué une équipe de chercheurs issus de disciplines diverses (sociologie, marketing, ergonomie…)

    Un an après, où en sommes-nous ?

    Un peu plus d’un an après le lancement du pilote, quel bilan pouvons-nous en dresser ? Difficile de parler de véritable bilan, puisque nous sommes en réalité au milieu du gué : nous avons déjà beaucoup appris, notamment sur tous les défis et difficultés inhérentes à la mise en oeuvre de la restitution des données personnelles pour les organisations. Mais beaucoup reste encore à apprendre, puisque la majeure partie des testeurs du pilote ne sont pas encore officiellement investis. Mais alors, que s’est-il passé pendant cette première année, durant laquelle nous avons beaucoup travaillé en sous-marin ?

    Un travail de fond sur la mise à disposition des données : Identifier les données, mettre en place les process de restitution – souvent, développer des API ou s’appuyer sur des API existantes, les documenter pour les rendre “réutilisables par des acteurs tiers” est un long chantier en soi. Mais travailler sur la restitution elle-même signifie également travailler sur le cadre global (juridique et technique), clarifier les responsabilités sur la chaîne de transfert des données, rassurer les détenteurs sur la plateforme de mise à disposition des données, notamment en matière de sécurité. Même si une fois que les données sont entre les mains des individus, sur leur cloud personnel, les testeurs peuvent théoriquement en faire ce qu’ils veulent – les détenteurs ne sont plus responsables – c’est un saut dans l’inconnu à faire pour des organisations qui découvrent juste le Self Data. Le chantier “données” est complexe, et à lui seul a pris près de 6 mois pour porter ses fruits.

    ImageDonnéesPIloteMI

    Des cas d’usage… aux services prototypés, un défi : Un des enjeux du pilote est de faire émerger des cas d’usage et des services Self Data que les testeurs pourront expérimenter depuis leur Cozy. Il s’agit peut-être d’un des chantiers les plus complexes du pilote, pour certaines raisons que nous avions déjà identifiées lors de la première expérimentation : la difficulté d’attirer des startups et entrepreneurs sur un marché émergent, en particulier sur une plateforme nouvelle (Cozy en l’occurrence) ; la complexité d’appréhender un sujet neuf, un périmètre de données mis à disposition parfois un peu limité pour imaginer des cas très riches de croisement de données… Si le chantier est amorcé depuis un an environ (produisant une dizaine de services prototypés), ces points sont des obstacles majeurs dans son déroulement, qui nous restent toujours à surmonter… Force est aussi de reconnaître que l’écosystème du Self Data – au-delà du pilote, en France et internationalement – est encore tout juste balbutiant. Les plateformes et services Self Data ont besoin de données pour se développer et fonctionner, et les détenteurs de données sont souvent en attente de cas d’usage voire de modèles économiques pour se lancer dans la restitution des données, ce qui limite à ce jour la structuration de ce marché.

    Le travail sur la plateforme
    Comment présenter les données, mais aussi ce nouvel espace “personnel” qu’est le cloud personnel ? Visualiser des données, mais aussi le concept du cloud personnel sont des choses familières pour les profils les plus technophiles, beaucoup moins pour la plupart des individus. C’est toujours un défi : comment rendre intelligible, appropriable, simple d’usage… le Self Data et le cloud personnel ? Il a été nécessaire pour Cozy de faire évoluer son interface, de façon radicale, au cours du pilote, afin de s’adresser à un plus grand public.

    L’évolution du contexte réglementaire : un levier, un frein
    Le pilote MesInfos a été conçu dès le départ comme un projet collectif (associant les partenaires aux grandes décisions et au pilotage du projet) ; le développement du Self Data repose nécessairement sur un écosystème, comprenant détenteurs de données, plateformes personnelles de données, services tiers, individus… Nous avons passé du temps à réfléchir aux évolutions de cet écosystème international, aux perspectives de développement du Self Data à plus long terme, à ce que devrait / pourrait devenir MesInfos à partir de 2018…
    Le tout dans un contexte réglementaire en mouvement, puisque le GDPR signifie des évolutions réglementaires significatives en matière de données personnelles, instaurant notamment un droit à la portabilité des données. Le périmètre de ce droit a été soumis à de nombreuses interrogations entre l’automne 2016 et le printemps 2017 ; le G29 a depuis apporté une série de lignes directrices précisant l’étendue, les données concernées et les modalités d’application possibles. L’article 20 a donc été le sujet de nombreux débats – parfois paradoxaux – entre les acteurs impliqués dans le pilote MesInfos, et plus globalement de la communauté du Self Data : le périmètre des données et les modalités de restitution devaient-ils s’aligner sur ce que serait ce droit ? Tester des choses dans le pilote signifie-t-il jurisprudence en matière de restitution des données personnelles ? Comment penser dès à présent des modalités de portabilité des données dimensionnées pour plus de 3 000 personnes, puisque le droit à la portabilité concerne à partir de 2018 tous les citoyens ?

    portability
    (Via Tristan Nitot)

    Pour ne pas perdre de vue les objectifs du pilote, nous avons choisi de lancer une réflexion autour de l’application du droit à la portabilité (comment accompagner les organisations dans la mise en oeuvre de ce droit et faire en sorte que cela soit porteur de valeur partagée, pour elle comme pour les individus ?), tout en dissociant cette réflexion du pilote. Le projet Rainbow Button était né, avançant parallèlement au pilote MesInfos : ce dernier vise à tester, apprendre, mettre en oeuvre le Self Data en bénéficiant d’un bac à sable concret ; le Rainbow Button vise quant à lui à définir un cahier des charges, un cadre commun (UX, technique, juridique…) de mise en oeuvre de la portabilité applicable à compter de mai 2018. Les deux se nourrissent et sont complémentaires ; cet édifice a mis du temps à mûrir et à se mettre en oeuvre, mais commence à prendre corps.

    >> Retrouvez la documentation de l’amorçage du projet sur 2016 et début 2017 (.pdf, un document qui évoluera à mesure des avancées et enseignements du pilote).

    Demain, quelles suites ?

    La marche que nous nous étions fixée était très haute. Aucun de ces chantiers n’est totalement terminé – il reste beaucoup à faire, notamment du côté des prototypes de services ; les mois prochains seront aussi le temps des retours d’usage, de la recherche, des enseignements, de la documentation et de la formalisation. Pour en avoir discuté avec d’autres acteurs de l’écosystème international autour du Self Data (MyData dans les pays scandinaves, VRM ailleurs…), un an après son lancement, le pilote MesInfos reste une expérience inédite et excitante. Le “passage de cap” dépendra, au-delà du déroulement du pilote lui-même, de la structuration de l’écosystème que nous mentionnions et de l’engagement pérenne de détenteurs de données. En cela, le droit à la portabilité pourrait bien aider le Self Data, ouvrant la porte d’un tout nouveau marché, si chacun joue le jeu.




    Article importé: http://mesinfos.fing.org/le-pilote-mesinfos-1-an-apres/?utm_source=rss&utm_medium=rss&utm_campaign=le-pilote-mesinfos-1-an-apres
    Par: Marine Albarède
    Publié: July 24, 2017, 10:51 am

  • Pour la seconde année consécutive, la Fing (au travers de l’équipe MesInfos) contribue à l’organisation et au programme de la conférence internationale MyData, qui se tiendra à Tallinn (Estonie) et Helsinki (Finlande) du 30 août au 1er septembre 2017.

    Près de 800 participants venus du monde entier y partageront leurs connaissances, expériences et projets à propos du développement du Self Data – l’utilisation des données personnelles par les individus eux-mêmes, à leur initiative et sous leur contrôle.

    Les conférences et ateliers s’organisent autour de 12 thèmes qui couvrent à la fois les usages, les modèles économiques, les défis techniques et juridiques, les initiatives en cours dans différents pays ou territoires… Plusieurs partenaires de MesInfos y interviendront.

    La conclusion de la conférence sera l’occasion d’annoncer la création d’une organisation globale qui fédérera les acteurs du Self Data. La Fing fait partie de ses initiateurs.

    Programme et inscription : mydata2017.org




    Article importé: http://mesinfos.fing.org/mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki/?utm_source=rss&utm_medium=rss&utm_campaign=mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki
    Par: Daniel Kaplan
    Publié: July 20, 2017, 12:19 pm

  • Que signifie pour une organisation se lancer dans le Self Data ? Comment faire pour restituer des données personnelles à ses clients ou usagers ? Une année de travail dans le cadre du pilote MesInfos nous a permis de documenter le process, les écueils, les leviers, les étapes… de la restitution des données, pour un détenteur qui souhaiterait se lancer dans le Self Data.

    Nous avons identifié 4 questions clés pour les organisations qui souhaitent lancer un projet de Self Data. Mais une partie de ces enseignements peut aussi nourrir les projets de mise en oeuvre de la portabilité, telle que définie par le GDPR (Règlement Européen de Protection des Données Personnelles).

    Ces éléments ont vocation à s’enrichir au fil de l’année, mais nous espérons qu’ils pourront d’ores et déjà nourrir les réflexions des uns et des autres !

    “Je souhaite engager mon organisation dans la restitution des données personnelles, mais je ne sais pas par où commencer. Quels collaborateurs associer en interne ? Quel est le premier chantier ?”

    La restitution des données personnelles aux clients ou aux individus est de fait un projet très transverse. Différents services et plusieurs personnes seront à associer à un moment ou à un autre du projet : innovation, marketing, DSI, services juridiques, métiers… un bon point de départ est de commencer par identifier des interlocuteurs, afin de présenter le projet en interne à plusieurs de ces collaborateurs, éventuellement en associant des acteurs de l’écosystème Self Data (Fing ou acteurs similaires, plateformes Self Data, etc.).

    Quelles étapes pour la restitution des données à proprement parler ? Comment mettre cela en oeuvre ?

    On peut décrire le processus avec les phases suivantes.

    1. Formuler une liste des données : établir une liste de ce qu’il y a dans vos systèmes d’information en termes de données, que vous envisagez de transmettre aux individus qu’elles concernent (idéalement en mobilisant des collaborateurs de la DSI – voire de la gouvernance de la donnée – des métiers, habitués à travailler avec ces données au quotidien, et de la relation client / marketing)

    2. Initier une procédure d’approbation de l’initiative, du principe et des modalités de transmission des données, et de la liste des données par votre organisation.

    Tous les partenaires qui transmettent des données en 2016 dans le pilote MesInfos ont dû passer par là. Ces procédures internes étaient dans chaque cas différentes, mais en général assez longues, et demandant de porter le message en interne dans différents services. Ici encore, associer des acteurs extérieurs peut être opportun.

    3. Formaliser la liste des données, en commencer la documentation. Cela permettra notamment de l’ajouter dans un outil indispensable au pilote : http://mesinfos.fing.org/cartographies/datapilote/. Cet outil est un support d’échange clé avec les acteurs du projet, et permet de faciliter l’appropriation des données par des ré-utilisateurs (cela mobilisera la DSI et ses métiers pour élaborer la documentation précise).

    4. Préparer un système de transmission : nous penchons vers des éléments automatiques, mais pour l’instant cela reste des solutions assez légères, dimensionnées pour les quelques milliers de testeurs du pilote.

    Ici, les questions à traiter (qui mobiliseront principalement la DSI) :

    - identification : comment relier l’individu qui demande ses données, à son identifiant client dans le SI (et ainsi à ses données) ?
    - authentification : comment s’assurer que la personne qui demande ses données est bien celle qu’elle prétend être ?
    - transmission : comment transmettre de manière sécurisée les données ?

    De quelles données parle-t-on ? Quel format, quel standard ? Quelles possibilités de visualisation ?

    On trouve en général différentes catégories de données personnelles :

    - Les données administratives et sur la relation client (CRM) : fiche client, données de segmentation, facturation, contrat, … On les retrouve dans toutes les organisations, souvent avec quelques spécificités. Elles amènent des cas d’usages assez administratifs. Par exemple, le cas d’usage de mise à jour automatique de ces données, de l’individu vers l’organisation, souvent évoqué comme une perspective intéressante par les organisations.

    - Des données transactionnelles souvent très liées et spécifiques au métier de l’organisation. Ce sont les relevés de consommation d’énergie (des compteurs connectés), les relevés de comptes, les sinistres (assurances), le journal d’appel, … Elles offrent souvent un regard et un point de vue objectif à l’individu sur des actions dont il n’a pas forcément pleinement conscience. Ce sont ces données qui ouvrent le plus les potentiels de cas d’utilisation, et la valeur d’usage des services sur les Self Data.

    - Des traces et des communications et points de contact entre l’organisation et son client, tels que les horodatages de connexion sur l’espace client Web, les dossiers de suivi du service client… On imagine immédiatement une exploitation partagée de ces données par l’organisation et l’individu, tant la transparence et l’efficacité sont précieuses dans ces moments pour les deux parties.

    Les modèles de données et formats sont peu challengés, mais font l’objet d’une traduction dans la plateforme (Cozy), afin de les rendre plus cohérents, d’un point de vue transsectoriel.

    Capture d’écran 2017-05-24 à 16.06.31

    Quelle responsabilité pour le détenteur de données ?

    De manière relativement simple, une société détentrice de données personnelles, qualifiée de responsable du traitement au regard de la loi « Informatique et Libertés », n’est plus responsable des données une fois que :

    - Celles-ci ont été transférées à la personne concernée ;

    - Et qu’elle n’opère plus de traitement sur lesdites données (ce qui exclut tout traitement, y compris par une application fournie par le détenteur sur le cloud privé).

    En d’autres termes, la responsabilité de traitement du détenteur s’arrête au moment où il n’a plus la maîtrise des données (en termes de finalité d’usage et de moyens de traitement) dans la mesure où il transmet ces dernières à la personne concernée.

    Par ailleurs, de manière plus générale, la transmission des données est sans incidence, d’un point de vue juridique, sur les obligations du détenteur quant au traitement initialement opéré sur les données.

     

    Mais alors, quel lien entre le pilote MesInfos et le GDPR ?

    Quel lien peut-on faire avec l’évolution de la réglementation européenne concernant les données personnelles, notamment au regard de l’article sur le droit à la portabilité du GDPR (General Data Protection Regulation) ?

    Le périmètre de ce droit, tel que défini notamment par la CNIL et le G29, est large. Il comprend toutes les données personnelles qu’un individu donné a fourni (“provided”) au détenteur de données/responsable de traitement (voir question suivante).

    L’article 20 du GDPR engage dans tous les cas les organisations à rendre ce droit à la portabilité effectif dans les deux années qui viennent (d’ici mai 2018).

    Ainsi, le pilote MesInfos est une manière pour les partenaires de réfléchir à ce droit ; une occasion de déterminer les manières de se mettre en conformité avec le règlement et donc d’appliquer le règlement le plus vite possible, pour prendre un temps d’avance et créer pour eux comme pour leurs clients de la valeur autour de ce nouveau droit. Pour le dire autrement ce droit n’a jamais été mis en pratique ;  en ce sens, le pilote MesInfos est une manière d’expérimenter des réponses techniques et juridiques. Il sera l’occasion de lister les questions et d’explorer des pistes qui permettent aux partenaires du pilote d’alimenter le travail des juristes dans les entreprises, en vue de l’implémentation du droit à la portabilité.

    Quelles données sont concernées par ce droit ?

    Le périmètre des données restituées dans le cadre du pilote MesInfos (qui correspond, en quelque sorte, à une mise en pratique du droit d’accès) ne sera probablement pas identique à celui du droit à la portabilité.

    En effet, la mise en oeuvre du droit à la portabilité ne concerne pas toutes les données concernées par le droit d’accès. Le règlement fait références aux données “fournies” par l’utilisateur d’un service ; le périmètre est ainsi évidemment plus large que les seules données de formulaire, fournies par un utilisateur à l’inscription.  Ces données “fournies” par l’individu couvrent à la fois (1) des données fournies proactivement (par exemple, adresse mail, âge, nom, etc.) et (2) des données “fournies” passivement par l’individu qui utiliserait un service.  Ce second cas concerne par exemple des données d’historique de recherche, de géolocalisation, de trafic, ou d’autres données “brutes” telles que les mesures effectuées par des capteurs, objets ou applications (par exemple “nombres de pas” dans le cas du quantified self, données de consommation des compteurs communicants, etc.).

    NB : Il peut y avoir des impossibilités justifiées de rendre ce droit à la portabilité pour certaines données (impossibilité technique, etc.), mais les motifs qui peuvent être invoqués sont très limités.

    Qui est le responsable de traitement lorsque les données sont portables ?

    La cascade de responsabilité est encore à définir. Mais globalement, la responsabilité d’un détenteur de données A s’éteint à partir du moment où il y a transfert des données vers un détenteur B.

     

     

     




    Article importé: http://mesinfos.fing.org/restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations/?utm_source=rss&utm_medium=rss&utm_campaign=restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations
    Par: Marine Albarède
    Publié: May 24, 2017, 4:27 pm

  • Le Blue Button américain – qui permet à 150 millions d’Américains de télécharger leurs données de santé et de les transmettre à des services tiers – a toujours été une inspiration pour le projet MesInfos. Mais les données de santé ne sont pas des données comme les autres. Éminemment sensible, la question du Self Data en Santé nous a semblé demander une approche différente de celle que nous menons dans le cadre de MesInfos.

    C’est pourquoi en 2015, le groupe MesInfos Santé – piloté par la Fing – rassemblait acteurs publics, privés et associatifs, issus pour les uns du monde de la santé et pour les autres du numérique, pour commencer à explorer la perspective d’un Blue Button à la française : partager le pouvoir des données de santé avec les individus qu’elles concernent. Nous avons organisé des ateliers de « chasse à la donnée », afin de cartographier les données pertinentes pour la santé des individus, des ateliers de co-conception de services pour imaginer les usages que les individus pourraient faire de leurs données et nous avons exploré plus en détail les défis et pistes de réponses qu’implique ce changement de paradigme.

    En 2016 nous avons voulu faire franchir un pas au Self Data en santé, en allant au-delà de l’exploration. Nous nous sommes associés à la Commission TIC&Santé (initiative interpoles de compétitivité) afin de créer un groupe de travail pour imaginer collectivement les conditions d’expérimentation du “Blue Button à la française”. Nous avons pu bénéficier des retours de terrain du Blue Button américain par la doctorante Sarah Medjek (Fing/Université Paris 10 – Nanterre) qui a rencontré de nombreux acteurs clefs aux États-Unis. Pendant plusieurs mois, associations de patients, professionnels de santé, Sécurité Sociale, mutuelles, industriels, startups, chercheurs, régulateurs… se sont réunis autour de deux objectifs. Le premier : coproduire une “Charte” commune, formalisant objectifs, principes et exigences, associés au retour des données de santé aux individus. Nous avons ainsi publié en novembre dernier la charte « mes données, ma santé », signée par les membres du groupe de travail. Le second objectif visait à préparer l’année 2017 et la mise en action des principes de cette charte : nous avons décrit le scénario d’une expérimentation du partage des données de santé avec les individus qu’elles concernent.

    En 2017, c’est donc cette expérimentation imaginée par des acteurs aux profils complémentaires qui se profile ! Portée par Cap Digital – en collaboration avec la Fing – elle réunira de grandes organisations détentrices de données acceptant de les restituer aux testeurs (assureurs, hôpitaux, laboratoires, institutions …), ainsi que des associations de patients, startups, acteurs de la donnée, chercheurs… Elle porte le nom « Mes Données, Ma Santé » et a pour objectif principal de démontrer la valeur d’usage du Self Data en matière de santé : quels bénéfices les individus peuvent-ils tirer d’un véritable accès à leurs données, mais aussi quelle valeur d’usage pour les autres acteurs du système de santé ?

    Comme prélude à cette expérimentation, nous publions aujourd’hui le résultat des deux années de travaux sur le Self Data en santé. Ce livret actualise une première publication de mai 2016. Il présente les grands enjeux de ce que pourrait être un dispositif “Blue Button” en France et s’enrichit des enseignements de l’année écoulée, de paroles d’acteurs membres du groupe de travail, des retours de terrain du Blue Button américain, de la charte « Mes données, Ma Santé » et du scénario d’expérimentation du même nom.

     

    > Télécharger directement Livret MesInfos Santé : « mes données, ma santé : pour un Blue Button à la française » 2e édition, Avril 2017, 56p, PDF

     

    L’expérimentation « Mes Données, Ma Santé » constitue une exploration inédite des opportunités et des défis de la reprise en main de leurs données par les individus en termes de santé et de bien-être, mais aussi d’innovation et de création de valeur. A vous de faire partie de la dynamique en rejoignant l’expérimentation et les réflexions à venir !




    Article importé: http://mesinfos.fing.org/de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition/?utm_source=rss&utm_medium=rss&utm_campaign=de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition
    Par: Manon Molins
    Publié: April 25, 2017, 11:32 am

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

  • Rejoignez-nous le 25 avril après-midi pour un moment d’échange sur le Self Data – Santé

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… En lien avec le projet MesInfos, des Rencontres du Self Data, ouvertes à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La quatrième des rencontres du Self Data portera sur les données de santé. Si la piste du Self Data est transverse et concerne tout type de secteurs, le domaine de la santé a été pionnier en la matière et est aujourd’hui un des plus dynamiques, avec des initiatives telles que le Blue Button aux États-Unis. Mais quels usages, connaissances, services pourraient émerger si les individus disposaient du contrôle et de l’usage de leurs données de santé ?

    Rendez-vous le 25 avril de 15h à 17h, au 8 passage Brulon (Interphone Fing) pour un moment d’échange !

    Cette rencontre sera nourrie par des contributeurs qui partageront leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Manon Molins (Fing) et Christelle Ayache (Cap Digital) : “Mes données, ma santé”, l’expérimentation menée en 2017 pour explorer le retour des données de santé aux individus qu’elles concernent.

    - Sarah Medjek (doctorante Université Paris-X, Fing) : retours de terrain du Blue Button américain

    - Jean-Christophe Despres (Sunnylake) : partager ses données de santé avec la recherche

    - Caroline Guillot (Fédération Française des Diabétiques) : le Diabète Lab, les données de santé utiles pour les patients

    Venez nombreux !

     

    >> INSCRIPTION ICI <<


    Objet : Les Rencontres du Self Data « les données de santé entre les mains des individus qu’elles concernent »

    Lieu : FING – 8 Passage Brulon 75012 Paris (interphone Fing)

    Date&Heure : 25 Avril 2017 // 15h-17h

    INSCRIPTION ICI

     




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante
    Par: Manon Molins
    Publié: April 3, 2017, 4:14 pm

  • Rejoignez-nous le 25 avril après-midi pour un moment d’échange sur le Self Data – Santé

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… En lien avec le projet MesInfos, des Rencontres du Self Data, ouvertes à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La quatrième des rencontres du Self Data portera sur les données de santé. Si la piste du Self Data est transverse et concerne tout type de secteurs, le domaine de la santé a été pionnier en la matière et est aujourd’hui un des plus dynamiques, avec des initiatives telles que le Blue Button aux États-Unis. Mais quels usages, connaissances, services pourraient émerger si les individus disposaient du contrôle et de l’usage de leurs données de santé ?

    Rendez-vous le 25 avril de 15h à 17h, au 8 passage Brulon (Interphone Fing) pour un moment d’échange !

    Cette rencontre sera nourrie par des contributeurs qui partageront leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Manon Molins (Fing) et Christelle Ayache (Cap Digital) : “Mes données, ma santé”, l’expérimentation menée en 2017 pour explorer le retour des données de santé aux individus qu’elles concernent.

    - Sarah Medjek (doctorante Université Paris-X, Fing) : retours de terrain du Blue Button américain

    - Jean-Christophe Despres (Sunnylake) : partager ses données de santé avec la recherche

    - Caroline Guillot (Fédération Française des Diabétiques) : le Diabète Lab, les données de santé utiles pour les patients

    Venez nombreux !

     

    >> INSCRIPTION ICI <<


    Objet : Les Rencontres du Self Data « les données de santé entre les mains des individus qu’elles concernent »

    Lieu : FING – 8 Passage Brulon 75012 Paris (interphone Fing)

    Date&Heure : 25 Avril 2017 // 15h-17h

    INSCRIPTION ICI

     




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante
    Par: Manon Molins
    Publié: April 3, 2017, 4:14 pm

  • Nous avons tenu la seconde de nos Rencontres Du Self Data le 13 décembre 2016. Elle s’inscrit dans le cadre du pilote MesInfos – qui rassemble l’effort collectif de différentes entreprises de s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017 pour la première fois de manière pérenne les données de leurs clients à leurs clients, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette seconde rencontre était d’explorer plus profondément les défis techniques du Self Data : comment les organisations restituent-elles les données ? Via quels canaux de transmission ? Sur quels espaces de stockage et d’administration personnel pour les individus ? Pour quelle sécurité ?

    Sans réponses à ces questions, le Self Data, ne deviendra jamais réalité. Quatre intervenants ont pu présenter leurs pistes de réflexions et d’action, leurs questionnements, leurs impressions et échanger avec les participants sur ce défi technique essentiel à la création d’un monde de Self Data :

    - Serge Abiteboul chercheur à l’Inria replace le contexte actuel « data-esque » dans lequel nous évoluons en tant qu’individu et dessine un horizon de solutions de systèmes d’informations personnels : les Pims (Personal Information Management System) ;

    - Guillaume Jacquart coordinateur technique du Pilote MesInfos nous raconte comment le pilote offre lui-même quelque pistes de réponses, car il met en pratique le Self Data : méthode employée pour restituer les données, difficultés rencontrées, pistes pour l’avenir… ;

    - Paul Tran-Van, doctorant chez Cozycloud (Pims) et à l’Inria, partage ses travaux sur les moyens techniques et les problématiques de restitution des données aux individus ainsi que sur les supports de récupération, de stockage et d’administration des données par les individus ;

    - Jorick Lartigau, responsable R&D de MatchupBox, solution de partage et de stockage de ses données nous parle de « Privacy by design » et de leur architecture orientée « P2P/Blockchain.

    Cet article est une adaptation écrite de leurs interventions.

    1 – Serge Abiteboul : Les Personal Information Management Systems (Pims), outils techniques du Self Data ?

    Serge Abiteboul commence par nous interpeller : essayez de comptabiliser le nombre de données que vous générez chaque jour ; recensez les organisations avec lesquelles vous êtes en relation en ligne et hors ligne. Le nombre de données donne le vertige mais c’est surtout la fragmentation de celles-ci sur tant de système différent qui frappe. Vous n’avez ni vue globale ni contrôle, vous êtes le prisonnier de ce système, vous perdez votre vie privée et votre liberté.

    Un constat plutôt inquiétant, qu’il contrebalance en nous proposant trois alternatives :
    - Ne faites rien, c’est trop tard et ça va devenir de pire en pire
    - Collectez vos données, changez de fournisseurs de service, organisez votre gestion de données, passez-y des heures (seulement pour ceux qui en ont la capacité techniques, les “geeks”).
    - Donc si vous n’êtes pas geeks, mettez-vous au boulot pour le devenir rapidement.

    Vous l’aurez compris, ce ne sont pas vraiment des alternatives très alléchantes… Une solution pourtant semble se distinguer, au nom encore un peu complexe : les Pims (Personal Information Management System) – un système d’information personnel qui permet d’agréger toute ses données, de les stocker de manière sécurisée et de les administrer, d’en tirer une valeur d’usage grâce à des services tiers, des applications, qui tournent dans le Pims.

    Certains parlent d’un système “dans les nuages”, accessible partout et à tout moment, d’autres estiment qu’il faut centraliser ce système personnel… Mais l’idée est bien celle d’un même système personnel pour toutes ses données. Une idée aussi vieille que l’informatique nous révèle Serge Abiteboul. Tous les 10 ans, un nouveau gourou nous l’annonce, sous un nom différent mais couvrant le même genre d’idée.

    Si on me l’annonce tous les 10 ans, alors pourquoi devrait-on prendre l’annonce des “Pims” au sérieux ?

    D’abord parce que le volume d’information augmente, la façon dont on travaille aujourd’hui fait que les données des services web, sont sur des machines on ne sait où, dans on ne sait quel pays, sous on ne sait quelle législation, avec quel logiciel… L’idée du Pims est donc de pouvoir avoir mes données sur ma machine, avec un logiciel dont je sais ce qu’il fait, en lequel je peux avoir confiance.

    La difficulté est que ces services web éparpillés sont particulièrement utilisés et qu’il est difficile de les quitter pour tout faire depuis son propre serveur. Je peux donc en tant qu’individu accepter que le service que j’utilise dispose de mes données, mais le minimum c’est que moi aussi je puisse en disposer, en avoir une copie.

    Les 3 raisons pour lesquelles l’avènement des Pims est proche

    1) les raisons sociétales

    ●    Les gens en ont assez de la façon dont leurs données sont exploitées, de l’asymétrie entre eux et les organisations
    ●    Les gouvernements européens passent des lois et des règlements qui vont dans le sens des Pims : protection, portabilité, transparence…
    ●    Des initiatives pour que les organisations partagent avec les individus les données qu’elles ont sur eux existent : le projet Mesinfos porté par la Fing et d’autres (MiData, Les “Buttons” américains, …)

    2) les raisons technologiques

    ●    Le prix des machines est tombé. Il y a 10 ans si l’on voulait s’acheter une machine, l’installer « chez soi » coûtait très cher. Aujourd’hui une machine virtuelle hébergée par OVH coûte quelques euros par mois.

    ●    De nombreuses personnes développent des technologies (par exemple CozyCloud) et n’importe qui aujourd’hui peut décider d’avoir son propre serveur pour ses mails.

    3) les raisons industrielles

    ●    Les entreprises préindustrielles (banque, assurance…) savent gérer leurs clients mais ne sont pas les plus douées numériquement. A titre d’exemple, la plateforme Booking s’est placée entre les hôteliers et leurs clients et “mangent” leur marge. Avec les Pims, elles peuvent aller sur un terrain plus familier.

    ●    Certaines entreprises disposent déjà d’un capital “confiance” : les individus installent chez eux la boxe de leurs fournisseur internet, c’est comme si ils acceptaient d’installer leur ordinateur chez eux. Pourtant, ces entreprises ne sont pas assez proactives sur la question du serveur personnel, selon Serge Abiteboul, c’est un peu décevant car elles seraient en pôle position pour proposer des Pims.

    ●    Les “Pure Internet Players” adorent les données personnelles – leur ADN repose sur elles, particulièrement leur business model, car ils les commercialisent. Ils seraient les meilleurs pour proposer des Pims, mais le passage de la commercialisation à la protection des données personnelles n’est pas dans leur état d’esprit.

    Les avantages des Pims sont nombreux…

    Si les individus ont leurs données dans un même système, ils pourront faire des choses nouvelles. C’est vraiment la différence entre une vision “service web” éparpillés et une vision “Pims”.

    16.Pims.fing

    ●    A l’horizontale, sont présents tous les services web utilisés ou utilisables par un individu, ses données sont éparpillées.
    ●    A la verticale, la vision Pims – l’individu peut faire du croisement de données, la valeur d’usage est beaucoup plus forte.

     

    … mais les difficultés sont également fortes !

    ●    “Je veux bien que le monde soit meilleur mais je ne veux pas changer de téléphone, J’aime beaucoup mon éditeur de texte, je veux bien un nouvel éditeur qui protège mes données mais je veux exactement le même”. Les gens n’adhèrent pas à de nouveaux services comme les Pims sur le seul argument moral.

    ●    Comment faire de la 0 administration ? Si les individus décident d’avoir un Pims, ils ne souhaitent pas l’administrer quotidiennement, cela ne doit pas demander trop de travail.
    ●    La sécurité : à partir du moment où j’agrège toutes mes données dans un même espace, il faut qu’il soit extrêmement sécurisé. Car si quelqu’un rentre dans votre Pims, il aura toutes vos données. Même si le stockage des différents Pims est décentralisé, la sécurité pour chacun d’entre eux est une priorité.

    Rebondissant sur la présentation de Serge Abiteboul, les participants soulèvent la question du volume des données : l’espace de stockage de mon Pims ne devra-t-il pas s’élever à des chiffres très élevés ? Et surtout, à quoi servent réellement les Pims ? Quelle est la valeur d’usage pour l’individu ? Il existe déjà des choses assez bluffantes sur le croisement des données avec les services d’assistants personnels, les services prédictifs. S’ils “tournaient” au sein du Pims de l’individu, ils seraient bien moins risqués pour la vie privée de ce dernier. Le projet MesInfos travaille à déterminer les usages possibles du Self Data et en recense de nombreux cas.

    La vision globale dont l’individu dispose grâce à son Pims est une force, c’est aussi un espace qui permet à chacun de se “libérer” des services web actuel, la plupart des individus se servant de ces derniers pour stocker et administrer certaines données (par exemple Facebook pour les photos). Quelle est la valeur pour le système ? Cette valeur sera-t-elle suffisamment forte pour tirer les Pims vers le haut de l’affiche ? Le fait qu’un Pims puisse croiser les données permet d’imaginer de nouveaux usages supposés transformer nos vies. Par exemple les secteurs des transports, de médecine, demandent ce genre de croisement de données diverses et multiples.

    Retrouver la présentation de Serge Abiteboul ici.

    2 – Guillaume Jacquart, coordinateur technique du projet MesInfos : quels sont les grands enjeux techniques du Self Data ?

    En 2016 la Fing a lancé un pilote ambitieux, des partenaires (entreprises, collectivités) s’engagent à restituer les données personnelles qu’elles détiennent sur 3000 de leurs clients et usagers.

    Il ne s’agit pas d’une expérimentation mais bien d’une restitution de manière pérenne, les entreprises ont dû recenser les données, développer les canaux de transmission des données (API), et s’assurer que les individus puissent les récupérer et les utiliser de manière sécurisée sur leur espace personnel, leurs “Pims” (Cozy Cloud pour les 3000 testeurs, avec comme objectif d’ouvrir à d’autres plateformes).

    Mais quelles sont les différences d’hébergement entre “Pims” ?

    ●    Cozy Cloud : l’hébergement de son serveur personnel peut se faire chez OVH en France ou sur une machine, chez soi.
    ●    Digime : l’hébergement peut se faire sur son téléphone portable ou sur des services en lignes de stockage (comme DropBox). Dans ce dernier cas les données sont cryptées.
    ●    Matchupbox : L’hébergement se fait de manière distribuée, en P2P. Jorick Lartigau le présente plus bas.
    ●    Autres solutions : l’hébergement se fait sur un serveur centralisé (chez un fournisseur d’hébergement), et repose sur la confiance que les individus ont dans la sécurité du serveur.

    Quelques leviers de développement du Self Data :

    ●    Une augmentation du volume et de la diversité des données – des services peuvent faire des premiers croisements de données et ouvrir de nouveaux univers d’usage.

    ●    Le GDPR instaure le droit à la portabilité, les entreprises doivent se mettre en conformité pour 2018 et permettre aux clients qui le leur demandent d’“emporter” leurs données ailleurs (dans leur “chez eux numérique”, chez une autre organisation, chez un service tiers, …).

    Dans le cadre de ce droit à la portabilité, les organisations cherchent des solutions pour mieux se rendre compte d’où se trouvent les données personnelles dans leur système d’information, comment identifier dans leur système les individus qui demandent à exercer leur droit à la portabilité afin d’être sûr de restituer les données aux bonnes personnes… C’est le travail que la Fing et ses partenaires réalisent dans le cadre du Pilote MesInfos. Les testeurs du pilotent “emportent” leurs données depuis l’organisation avec laquelle ils sont en relation jusqu’à leur Cloud Personnel, leur “chez eux numérique”, bref leur Cozy, pour en tirer une valeur d’usage. C’est un moyen de concilier deux élans : reconstruire la relation client et répondre à la mise en conformité avec la nouvelle régulation européenne.

    Un autre règlement européen fait levier : l’”eIDAS” qui oblige chaque Etat à disposer d’un moyen standard pour permettre à chaque citoyen de s’identifier/s’authentifier facilement face à une organisation, un service public. En France le dispositif est France Connect. Ces genres de dispositifs sont des socles importants pour le Self Data : on pourrait imaginer se connecter avec un seul et même identifiant à toutes les organisations avec lesquelles on est en relation pour récupérer ses données.

    Un débat sur l’intérêt de la BlockChain dans ce cas précis de l’identification est ensuite soulevé par les participants. C’est en effet possible d’imaginer cela nous raconte Guillaume Jacquart, après tout Ethernum cherche à fédérer les identités stockées dans la BlockChain, mais elle sert alors plus de base de données distribuée que d’outil d’identification/d’authentification. La question principale de lier identité réelle et identité numérique n’est pas réglée magiquement par l’utilisation de la BlockChain, nous avons besoin d’outils comme France Connect. Et Jorick Lartigau de continuer sur cette lancée : “la blockchain n’est pas figée, elle peut-être vue comme une base de données distribuée, l’usage que vous en faite vous appartient”.

    Quelle interopérabilité entre Pims ?

    Aujourd’hui beaucoup d’acteurs se connaissent, se parlent de manière amicale, affichent qu’ils font des choses ensemble, mais beaucoup se voient comme concurrents. Or la logique de “il n’en restera qu’un à la fin” n’a pas vraiment de sens dans un monde de Self Data capacitant pour les individus : le  vrai pouvoir des individus est de leur laisser la possibilité de changer de plateforme de gestion de leurs données personnelles.

    Serge Abiteboul renchérit : l’attractivité d’un service comme Booking est justement d’avoir tout le marché, or les Pims n’ont pas besoin de cela pour être attractifs.

    C’est le sens que Guillaume Jacquart donne à cette coopération entre Pims : la grande partie de la valeur viendra des usages proposés, or aucun Pims n’est capable de produire seul tous les cas d’usages possibles et imaginables. L’ouverture entre Pims est donc nécessaire pour favoriser une dynamique de réseau : les individus doivent en effet pouvoir tirer parti de leurs données grâce à des services tiers, installés si possible sur leur Pims. Un service qui se développe sur Cozy devrait donc être compatible avec Pickio, Digime ou toute autre plateforme.

    Peut-on imaginer des “standards de services” pour des plateformes aux architectures assez diverses ?  Quelques pistes existent déjà :
    - Remote storage : cela peut constituer une brique de base – on pourrait avoir des services web qui demandent à l’individu où il souhaite stocker ses données.
    - Des standards utiles entre les détenteurs de données et les plateformes – par exemple le protocole OSE2. Certaines difficultés apparaissent par contre avec les différences d’architecture des Pims.
    - Un protocole dédié à cet univers : UMA (User Manage Access), un système qui va permettre le contrôle par une machine de l’autorisation de l’individu sur l’accès des services tiers à ses différentes données. Par exemple si vous donnez quelques règles à votre Cozy, et que vous “branchez” votre Cozy à votre Frigo, il va  pouvoir converser avec les API de distributeur, sous votre contrôle.

    Et la planète ?

    La question environnementale lorsqu’on parle données relève aujourd’hui d’une volonté personnelle ou politique, sera peut-être une nécessité dans 10 ans. Si le Self Data permet à l’individu de mieux se connaître, d’agir selon ses valeurs et de consommer de manière plus éthique ou plus écologique, comment comparer ces bénéfices par rapport à l’empreinte écologique des outils du Self Data (Pims, Applications, API, stockage des données …) ?

     

    Retrouver la description du pilote MesInfos ici : http://mesinfos.fing.org/participer/

     

    3 – Paul Tran-Van, doctorant, CozyCloud et Inria : agréger, sécuriser et partager des données personnelles, 3 défis du Self Data.

    Le modèle actuel d’internet pose de gros problèmes de sécurité et d’usage, les données étant dispersées. Mais une nouvelle tendance (que certains appellent Pims, VRM, Self Data) va vers l’inversement de cette chaîne de valeur : l’individu sera au centre de ses données.

    pres_fing_self_data

    Les plateformes de Cloud Personnels, les Pims comme Guillaume Jacquart et Serge Abiteboul les ont appelés précédemment – par exemple Cozy – sont des outils pour permettre aux individus d’être au centre de leurs données.

    Premier défi : agréger les données

    L’application Konnectors dans Cozy permet aux individus de rapatrier leurs données dans leurs Cozy. Ils sélectionnent l’organisation avec laquelle ils sont en relation (SFR, Améli, DirectEnergie, …), renseignent leur mot de passe et leur identifiant et le “konnector” va fonctionner comme un logiciel de scraping pour collecter l’ensemble des données et documents de leurs espaces clients et les stocker dans leurs Cozy.

    Deux problèmes avec cette pratique :
    - Si l’organisation effectue une refonte de son site/espace client, il faut entièrement recréer le “konnector”.
    - Ces “konnectors” ne sont pas particulièrement appréciés par les organisations, et parfois sont interdit dans les CGU que les utilisateurs signent.

    Avec l’application du droit à la portabilité du GDPR en mai 2018, on peut espérer un développement d’API par les organisations qui permettrait de résoudre cela.

    Certaines entreprises se spécialisent par exemple dans le développement de connecteurs bancaires. L’intérêt des plateformes de Cloud Personnel comme Cozy, c’est que cela permet le croisement de données qui apporteront une valeur d’usage à l’individu (par exemple croiser données bancaires et données de consommation énergétique).

    Ce premier défi résumé par Paul Tran Van interroge : comment un service va pouvoir utiliser des données d’origines différentes? Quels sont les formats des données que je peux récupérer ? Dans beaucoup de cas les konnectors de Cozy donnent du PDF, les données ne sont alors pas machine-readable mais human-readable. D’où l’intérêt de voir se développer des API par les organisations.

    Second défi : sécuriser les données

    Autre grand défi : la sécurité. Un sondage des utilisateurs de Cozy cette année permet de se rendre compte que pour eux la priorité la plus importante pour un Cloud Personnel étaient l’éthique (le Cloud ne doit pas m’espionner) et la sécurité, loin devant l’expérience utilisateur !

    Ce qui est également difficile c’est que si les utilisateurs souhaitent la sécurité ils ne sont pas prêts à faire des concessions sur la facilité d’usage.

    Une autre expérimentation menée permet de se représenter cette priorité de sécurité chez les utilisateurs.
    - un groupe doit répondre à des questions personnelles, on leur précise que leurs réponses seront stockées sur un serveur centralisé
    - un groupe doit répondre à des questions personnelles, on leur précise que leurs réponses seront stockées sur une clé USB à laquelle personne n’aura accès.

    Il y a t-il une différence dans les réponses aux questions ? Aucune ! Ils sont sensibles à la vie privée mais répondent aux mêmes questions quelque soit la façon dont leurs données sont stockées. Cela démontre la difficulté qu’il y a à faire comprendre la sécurité d’un système à des utilisateurs.

    Troisième défi : partager les données

    Agréger ses données dans un espace sécurisé c’est bien mais les utilisateurs ont envie de les partager, pas de les enfermer. L’une des questions récurrente des utilisateurs de Cozy est donc “quand est-ce que je vais pouvoir partager certaines données de mon Cozy avec des amis, de la famille, des organisations ?”

    Le Laboratoire SMIS (Inria) a développé une solution de stockage sécurisée : PlugDB, une clef USB sur laquelle les données sont chiffrées avec un moteur de données embarqué pour requêter les données chiffrées et faire du traitement dessus sans jamais qu’elles sortent de la clef. C’est une garantie de sécurité très forte et on peut faire du traitement des données car le code est léger. En ce moment Cozy et le laboratoire SMIS travaillent ensemble. L’objectif est de brancher cette clef sur les serveurs Cozy et cela va être en charge du contrôle d’accès (« qui a accès à quelle donnée ») et du chiffrement.

    Le sujet de l’interopérabilité est important pour le partage : un utilisateur de Pims veux pouvoir partager avec n’importe qui, même ce dernier n’est pas sur ce Pims. La priorité est donc de pouvoir partager au sein d’un même Pims (De Cozy à Cozy par exemple) mais également entre Pims de différents fournisseurs (de Cozy à OwnCloud par exemple).

    Comment avancer sur ces questions ? Cozy a travaillé avec un community group du W3C, a écrit un dossier pour l’IETF et a conçu un POC pour créer les outils de partage entre Cozy et OwnCloud.

    Sur cette dernière question du partage, la discussion avec les participants s’est tournée sur deux questions :
    - La question du web sémantique, qui permettrait un partage efficace, mais qui demandent de créer des ontologies, de nouveaux protocoles. La première pierre à apporter est donc le partage via l’interopérabilité.
    - La question de l’authentification et de la certification des données. Si je partage avec un tiers mes données, comment peut-il s’assurer que je l’ai modifié ou non ?

    Retrouver la présentation de Paul Tran Van ici.

     

    4 – Jorick Lartigau, responsable R&D de MatchupBox : privacy by design et architecture orientée P2P/Blockchain

    MatchUpBox est une start-up qui est partie d’une idée folle il y a deux ans de faire un Facebook décentralisé, sans serveur. Beaucoup de choses existent déjà, si l’on remonte l’histoire de l’internet on trouve le P2P, le TCP/IP…

    MatchUpBox et le stockage P2P

    Pour une jeune start-up, réduire le coup de serveur à presque 0 est un avantage non négligeable. Un objectif : indexer les data, permettre aux utilisateurs de les utiliser, sans serveur.

    Aujourd’hui si un utilisateur cherche un ami sur Facebook, il le cherche dans une grosse base de données, un énorme annuaire. Sans serveur (avec la technologie DHT utilisée par la BlockChain) chaque utilisateur peut héberger une partie de cet annuaire. Si l’utilisateur cherche Arthur, il va voir un noeud qui le renvoi vers Arthur. Tor permet d’anonymiser ces liens d’échanges. Si un tiers regarde le réseau et les utilisateurs qui communiquent en P2P, il va voir les adresses IP qui communiquent. Mais si il y a des intermédiaires entre eux, il ne peut voir que le noeud, et ni le receveur, ni l’envoyeur.

    Comment ça marche ? Matryochka et BlockChain

    Un individu A qui veut communiquer avec un autre individu B ne va pas le faire directement mais va le faire avec le point le plus éloigné qui dépend que du cercle de B. Une clef privée, sur la machine de A, permet également de signer les envois afin que B puisse certifier que le message vient bien de A.

    MesInfos_matchupbox

    Plusieurs problèmes sont identifiés dans la BlockChain. En dehors du réseau, rien ne rattache l’identifiant de A à son identité réelle (c’est pour cela que l’on dit que le Bitcoin est formidable pour le blanchiment d’argent).

    La matryochka est un système de lettre digitale. La Blockchain permet elle de créer un système de lettre digitale recommandée.

    Jorick Lartigau prend un exemple dans la santé : une entreprise qui permet à des patients à risques – équipés d’objets connectés – de recevoir des alertes ou d’en envoyer à des services d’urgence doit pouvoir faire remonter aux services d’urgences des données fiables (par exemple : Mr A est en train de faire un infarctus, il est de groupe AB+), d’où l’intérêt d’un échange “recommandé”. Cela n’évite pas l’erreur si Mr A a mal renseigné son groupe sanguin, mais cela permet à l’entreprise qui alerte de prouver qu’elle a bien reçu cette donnée de cette personne.

    Pour quels usages ? Pikcio, un Pims pour agréger et partager ses données

    Pikcio utilise le réseau de MatchUpBox. C’est un service qui permet d’échanger de façon sécurisée. Le serveur de données est sur les machines des utilisateurs donc tout ce qu’ils peuvent échanger au sein de ce réseau est sur leurs machines. Il existe ensuite des API pour se connecter au réseau MatchUpBox.

    “Pikcio est une plateforme de services intelligente. Elle utilise le réseau propriétaire MatchUpBox, de type Blockchain. Pikcio centralise des données de différentes sources (compte personnel ameli.fr, centres de soins, dossier médical partagé…) et de différents types (santé, identité, banque, assurance, etc.) pour faciliter et protéger les échanges entre consommateurs, médecins et établissements de santé.”

    L’ambition de Pikcio est de devenir un Pims (Personal Information Management System) : un espace d’agrégation des données de l’individu, aujourd’hui éparpillées dans différents services.

    Pourquoi cette ambition ? Parce que le grand problème du P2P est l’usurpation d’identité, la validation de l’identité sur le réseau (pour reprendre l’exemple précédent : comment justifier que c’est bien Arthur qui me demande comme ami et pas quelqu’un d’autre ?). L’objectif premier était donc de récupérer des données éparpillées par l’individu et d’en faire l’analyse pour donner un indice de confiance aux profils utilisateurs.

    En faisant ça, on permettait à l’individu de récupérer beaucoup de données : les données Facebook, les données Twitter etc. Récupérer de la donnée pour permettre de vérifier l’identité d’un utilisateur c’est bien, en faire d’autres choses, c’est encore mieux ! Un travail est réalisé en ce moment pour permettre aux utilisateurs d’agréger des données de différentes sources. Par exemple un travail avec les API de Qwant. Mais cela doit se faire toujours sous le contrôle de l’individu, qui doit être le déclencheur de cette agrégation.

    Retrouver la présentation de Jorick Lartigau ici.

     

    Quatre interventions, quatre visions du Self Data qui se rejoignent dans les principes, dans les enjeux et qui démontrent que si les pistes techniques sont là en terme d’architecture, de stockage, de moyen d’identification/d’authentification ou d’agrégation des données, elles doivent encore être discutées, unifiées pour s’articuler et permettre à ce nouveau marché du Self Data de se développer.

    Merci à tous les participants de cette rencontre, et retrouvez-nous pour la prochaine des Rencontres du Self Data le 22 février après-midi pour un moment d’échange sur les défis juridiques du Self Data !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-architectures-et-defis-techniques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-architectures-et-defis-techniques-du-self-data
    Par: Manon Molins
    Publié: February 7, 2017, 7:36 am

  • Rejoignez-nous le 22 février après-midi pour un moment d’échange sur les défis juridiques du Self Data.

     

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… Le pilote MesInfos sera l’occasion de tester des éléments de réponses, d’élaborer des pistes et de les expérimenter. En lien avec le pilote, des Rencontres du Self Data, ouverts à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La troisième des rencontres du Self Data portera sur les défis juridiques : comment garantir que les individus seront véritablement maîtres de ce qui est fait de leurs données : quelles CGU « nouvelles générations » imaginer, quels outils sont disponibles ? Comment faire en sorte qu’un monde de Self Data fournisse aux individus à la fois plus de pouvoir et de sécurité sans créer d’incertitudes juridiques pour les organisations ? Quelle relation entre Self Data et le nouveau droit à la portabilité instauré par le GDPR ?

    Cette rencontre sera nourrie par des contributeurs qui nous feront partager leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Un membre de la Cnil sur le travail engagé avec eux sur le chantier juridique du pilote MesInfos et les questions inhérentes à la restitution des données (responsabilité, droit d’accès, droit à la portabilité) ainsi que sur les initiatives propres à la Cnil (CookieViz, …)

    - Hugo Roy nous présentera le projet ToS;DR (Terms of Service; Didn’t Read) et sa vision des enjeux de privacy.

    - Thomas Saint Aubin nous racontera les résultats, avancées et prochaines étapes du projet collaboratif « design your privacy ».

     

    Bref l’occasion de découvrir et d’échanger sur des questions et éléments de réponses juridiques essentiels à la mise en place d’une démarche Self Data !

    La rencontre aura lieu à l’espace du Laboratoire d’Innovation Numérique de la CNIL. Rendez-vous le 22 février de 15h à 17h, au 3 Place de Fontenoy, 75007 Paris, pour un moment d’échange !

     

     >> INSCRIPTION ICI <<

    NB : l’inscription est gratuite mais nécessaire. Munissez-vous d’une pièce d’identité le 22 février pour accéder à la rencontre.


    Objet : Les Rencontres du Self Data « les défis juridiques : portabilité, CGU, responsabilité… »

    Lieu : CNIL – Place de Fontenoy, 75007 Paris – Munissez-vous d’une pièce d’identité.

    Date&Heure : 22 Février 2017 // 15h-17h




    Article importé: http://mesinfos.fing.org/22-fevrier-les-rencontres-du-self-data-les-defis-juridiques-du-self-data-portabilite-cgu/?utm_source=rss&utm_medium=rss&utm_campaign=22-fevrier-les-rencontres-du-self-data-les-defis-juridiques-du-self-data-portabilite-cgu
    Par: Manon Molins
    Publié: January 30, 2017, 3:35 pm

Conception & réalisation : Facyla ~ Items International

Plateforme construite avec le framework opensource Elgg 1.8

Feedback

Vous avez une remarque à faire, de nouvelles idées à proposer ou un bug à signaler ? Nous serions ravis d'avoir votre retour.
Humeur :  

A propos de :  

 

» Afficher les précédents feedbacks