MesInfos

MesInfos

Une expérimentation de la Fing autour du partage et de la ré-utilisation des données personnelles


En ce moment sur "MesInfos"

> Le projet continue, venez le suivre sur le site Mesinfos !

 image 

Blog de MesInfos

  • La troisième édition de la conférence MyData fut l’édition “familiale”. La communauté travaillant à transformer l’économie de la donnée personnelle, qui s’est réunie pour la première fois dans son intégralité lors de la première édition de 2016 à Helsinki, semble aujourd’hui un objet plus familier pour ses participants. On retrouve des têtes connues, on s’enquiert des avancées du projet du voisin, on est moins timide pour se joindre au sauna… La famille “MyData” prend racine et ses principes, affirmés haut et fort dans la déclaration MyData, permettent de se réunir sous une même bannière, tous complices pour renverser l’ordre établi de la donnée personnelle au seul pouvoir des organisations.

    Tous les ans, cette conférence, qui se divise en plusieurs thématiques, allant jusqu’à 6 sessions différentes sur le même créneau horaire, offre un panorama des cas d’usages du monde MyData. Cette année, plus qu’aucune autre, nous avons souhaité mettre l’accent sur des cas d’usage concrets. Fatigués d’entendre “mais vous êtes des rêveurs, tout se passe sur papier, avec des concepts, il n’y a pas de cas d’usage encore”, nous avons choisi de présenter dans le “use case track” des entreprises privées, des acteurs publics, des startups, qui démontrent aujourd’hui la tangibilité du modèle MyData/Self Data.

    MyData_Use_Cases_Track

    Il s’agit de réinventer le web, rien de moins.

    La première session de la thématique “cas d’usage de MyData” a permis de poser quelques éléments de contexte. Robert Guinness souhaite proposer une nouvelle forme de réseau social, Pondenome, dans lequel l’individu est le maître de ses données. Ce n’est pas sans échos avec l’initiative actuelle de Tim Berners Lee (qu’on attend toujours à MyData. Sir Berners Lee, vous êtes le bienvenu) et sa startup Inrupt, qui propose un espace personnel sous son contrôle pour échanger, chatter et réutiliser ses données via des applications tierces, cette plateforme semble aujourd’hui centrée autour des données de réseaux sociaux, mais à long terme veut se positionner sur le modèle intersectoriel des PIMS (pardon, des PODs selon TBL). Pondemone, lui, n’existe pour le moment qu’à l’état de concept. On voit régulièrement fleurir ce genre d’initiatives pour “remplacer” les GAFA : Mastodon pour Twitter en est l’un des exemples emblématiques. Mais pour Robert Guiness, il s’agit de bien plus qu’un “remplacement”. Les services et cas d’usage de MyData ne doivent pas juste se penser comme “privacy compliant” et “portability compliant”, mais doivent également réinterroger la manière dont nous utilisons nos services numériques. Il ne s’agit pas de “cloner Facebook” avec un service qui protégerait notre vie privée et qui nous permettrait de réutiliser nos données, mais de profiter du nouveau marché MyData pour réinventer ces services numériques, en faire des espaces capacitant pour leurs utilisateurs plutôt que des espaces qui les rendent captifs, qui profitent de leurs données, de leur force de travail, de leurs capacités attentionnelles, sans transparence ou explicabilité de leurs systèmes… Si le mouvement MyData cherche à réinventer l’économie de la donnée personnelle – et les services et cas d’usage qui vont avec, alors autant en profiter pour les repenser dans leur ensemble.

    Mais les individus sont-ils prêts à se saisir de ces nouveaux types de services ? Cela fait plusieurs années que les études se succèdent et se ressemblent : les individus souhaiteraient plus de maîtrise sur leurs données. Mais les outils de cette maîtrise sont encore loin d’être adoptés en masse. Le second intervenant de cette session d’introduction, Michael Becker a restitué l’enquête annuelle du Mobile Ecosystem Forum auprès de 6500 personnes pour évaluer les usages et perceptions des individus vis-à-vis de leurs données personnelles. Les chiffres habituels autour de la crise confiance refont surface, selon lui, nous entrons dans une phase de “grand réveil” des individus.  Deux chiffres semblent se détacher du lot : selon l’étude, 63% des individus sont prêts à gérer leurs données personnelles et lorsqu’on leur demande “à qui faites-vous confiance pour gérer vos données ?”, 47% des individus répondent “c’est en moi que j’ai confiance pour gérer mes données”. Michael Becker prend ensuite un temps pour décrire les comportements des individus, qui se protègent plus qu’avant (#deletefacebook), mais encore trop peu. C’est donc une contradiction par rapport aux chiffres démontrant l’inquiétude des individus et leur volonté affichée de prendre le contrôle. Il profite de cette dichotomie pour parler de “privacy paradox” (les individus disent être inquiets pour leur vie privée, mais ne font rien pour y remédier) – pourtant mis à mal par de nombreux chercheurs et militants, mais revenant régulièrement dans les sessions de MyData. Comme si seul le privacy paradox permettait de justifier le besoin de construire de nouveaux services, de nouveaux outils. Seul Mikko Hyppönen de F-Secure, sur la scène principale, parvient, à force d’exemple, à rappeler à quel point le monde actuel des services web n’offre aucune échappatoire aux individus (invalidant alors le terme de “paradoxe”), et ce quelque soit leur volonté de s’affranchir des intrusions dans leur vie privée. Il prend l’exemple de Youtube preemium, qui, malgré le fait que les individus paient (et donc pourraient s’attendre à ne pas voir leurs données personnelles collectées), signent les mêmes conditions d’utilisation, sans possibilité d’opt-out sur l’usage de leurs données. En d’autres termes : “Youtube veut votre argent ET vos données”.

    L’usage passe avant tout

    Nous ne cessons de le répéter dans MesInfos, c’est par l’usage que les individus deviendront les maîtres de leurs données. La question de la protection et du consentement, offrir aux individus la possibilité de contrôler leurs données, qui y a accès, pour combien de temps, pour quelle finalité, est importante, oui. Mais il ne s’agit “que” de contrôle. Les individus ne sont-ils que les intermédiaires de leurs données personnelles ? Ce rôle de passeur doit s’accompagner d’un rôle plus proactif où les individus, seuls ou en groupe, tirent des usages de leurs données.

    Lors de la conférence MyData de nombreux cas d’usage ont été présentés. Portés par des startups, des acteurs privés, des acteurs publics, tous ont en commun de prôner la valeur d’usage des données personnelles (ouf, cette année on a échappé à la valeur monétaire – les data brokers personnels), mais ne se positionnent pas forcément sur la même architecture, les mêmes services/données, voire la même temporalité.

    Deux expérimentations clefs en Europe : Digime en Islande et MesInfos en France

    Comme tous les ans, les deux “usuals suspects” de MyData étaient présents. Cozy Cloud et Digime sont deux PIMS, Personal Information Management Systems, qui permettent aux individus d’agréger leurs données, de les stocker, mais surtout d’en tirer des usages via des services tiers. Acteurs majeurs du modèle MyData, c’est par les actions réalisées via leurs plateformes que la plupart des cas d’usage se révèlent dans cette session.

    Chloé Beaumont de la Maif et Sarah Medjek de la Fing ont donc présenté le Pilote MesInfos : 2000 testeurs ont pu récupérer leurs données personnelles sur leur Cozy et profiter de services tiers pour mieux gérer leurs consommations énergétiques, bénéficier d’un tableau de bord pour comprendre leurs dépenses liées à leur habitat, etc. Le pilote MesInfos fait de la France l’un des pionniers en matière de MyData/Self Data. C’est un projet multipartenaire, porté par la Fing, qui a fait l’objet d’un rapport de synthèse en présentant les résultats et les principaux enseignements. Nous ne le décrirons donc pas plus en avant dans ce billet, mais nous vous encourageons à lire nos travaux !

    La grande surprise de cette année fut Digi.me. Depuis 3 ans, ce service, qui, à l’origine (de son ancien nom “SocialSafe”), permettait d’agréger ses données de réseaux sociaux pour en tirer des histoires, des threads, pour faire des recherches dans ses données, annonce qu’il se transforme en PIMS, soit en plateforme d’agrégation et de contrôle de ses données. L’architecture et les possibilités de stockage de Digime ne sont pas exactement les mêmes que celles de Cozy, mais l’idée de permettre aux individus de tirer des usages de leurs données est bel et bien présente dans les deux cas.

    On entend des rumeurs d’expérimentations autour des données de santé avec un pays où il fait froid, de hackathons, d’APIs… Mais nous n’avions pas plus d’informations. Cette année, Rory Donnelly a ouvert grand les portes de Digime et le résultat est bluffant : en partenariat avec le gouvernement islandais et en particulier le ministère de la santé, Digime permet à un groupe de testeurs de récupérer une copie de leurs données de santé aujourd’hui dans le système d’information de l’acteur étatique. Bien sûr les testeurs peuvent également récupérer leurs données bancaires, d’objets connectés, de réseaux sociaux, mais celles-ci sont plus facilement récupérables au vu des API développés par les acteurs ou des logiciels de scraping qui permettent de collecter ses données. Non, le vrai tour de force réside dans ce partenariat : avoir convaincu un acteur public majeur de partager avec les citoyens les données qu’ils ont sur eux. Et non des moindres : des données sensibles, de santé ! Selon Rory Donnelly, l’Islande est le terrain idéal pour ce type d’expérimentation. Avec seulement 350 000 habitants, il est plus facile d’accéder et de convaincre les décideurs clefs dans les organisations détentrices de données.

    Permettre aux individus de récupérer leurs données est une chose (et de notre expérience c’est déjà énorme…). Mais Digime a mis l’accent, comme nous avons choisi de le faire dans MesInfos, sur la réutilisation de ces données. Grâce à des concours, des hackathons et la mobilisation d’une communauté de développeurs, de nombreuses applications ont été développées afin de fournir une valeur d’usage à aux testeurs. Digime se dit “agnostique” quant à la sélection des applications. N’importe qui peut développer pour Digime, qui s’assure seulement que l’application fait bien ce qu’elle dit (retrouvez les slides de Digime ici) :

    >> “Retina Risk”. Une application qui permet aux individus de monitorer les risques dus à leur diabète grâce à des visualisations de leurs données, à l’établissement d’un “score santé”. L’objectif est de permettre aux individus de reprendre le contrôle sur leurs données pour savoir à quel moment consulter un spécialiste, et à quel moment la consultation n’est pas nécessaire (économisant alors un “pognon de dingue” à la sécurité sociale islandaise).
    >> “HealthyMe”. Cette application permet de retrouver en un seul endroit ses données de vaccinations, d’objets connectés, d’allergie, de prescriptions, etc. Il devient alors plus facile de les transmettre à d’autres, par exemple en cas de déménagement, pour changer de médecin traitant…
    >> VaxAbroad. En se concentrant sur les données de vaccinations, l’application en retrace l’historique et informe son utilisateur lorsqu’il doit en réaliser de nouveaux, selon sa destination de voyage.
    >> MyDuchenne. Destinée aux enfants atteints de dystrophie musculaire, elle permet aux enfants et à leurs aidants de suivre leurs conditions et d’obtenir des conseils. Il est également possible d’ajouter des données comme le ressenti, l’état d’esprit du moment, pour améliorer le suivi.

    Digi.me Third Party Apps Showcase v.2.7

    D’autres applications, non centrées sur la santé, mais basées sur les données bancaires, de réseaux sociaux ont été imaginées et développées pour Digime.

    >> Finsights. Un PFM (Personal Finance Manager), une application de gestion et de suivi bancaire.
    >> SocialSafe. Un moteur de recherche dans ses données de réseaux sociaux.
    >> HappyNotHappy? Sur la base des données de réseaux sociaux, les individus peuvent analyser leurs état d’esprit dans le temps.
    >> FinLove. Application de rencontre, se basant sur les données bancaires pour faire des recommandations…

    Cette dernière application était listée comme un clin d’oeil, mais permet de soulever la question du risque de la personnalisation. Les services “MyData” ne risquent-ils pas de répéter les erreurs du passé, de fournir des bulles de filtres, desquelles des individus ne pourront sortir ? La personnalisation se base sur des données, mais en a besoin de toujours plus pour fournir des outils pertinents, sommes-nous en train de constituer un cercle vicieux où la donnée appelle la donnée ?

    Rory Donnelly nous partage ensuite quelques enseignements clefs de leur expérimentation en cours, dont beaucoup se recoupent avec ceux du Pilote MesInfos :

    >> Les questions juridiques et techniques sont longues et complexes à résoudre pour avancer.

    >> Obtenir des jeux de données pour permettre aux utilisateurs de développer des applications est extrêmement difficile.

    >> Le calcul embarqué (les applications fournissent un usage sur les données sans jamais y avoir accès, les données restent sur l’espace personnel de chaque individu) offre de grands avantages.

    >> L’approche multisectorielle, où l’individu agrège ses données, casse les silos de données est un moteur puissant pour les usages.

    >> Les organisations qui fournissent des services économisent sur certains coûts, par exemple de serveurs, de sécurisation des données personnelles, etc.

    >> Faciliter le développement d’applications par des tiers est crucial.

    Cette expérimentation en Islande, comme le pilote français, permet de démontrer le potentiel du partage des données avec les individus : techniquement, juridiquement, socialement ce nouveau paradigme peut être implémenté. De quoi donner des idées à d’autres participants dans le public, qui terminent la session par une phrase pleine de promesses : “on devrait le faire chez nous aussi…!”.

    Les “pas si MyData que ça” ? Citizen.me et S-Group

    Deux autres acteurs ont eu l’opportunité de présenter en détail les cas d’usages qu’ils portent. S-Group, un géant de la distribution en Finlande et ailleurs, était représenté par Kai Kuikkaniemi. Il nous a présenté une application censée permettre aux individus d’utiliser leurs données de consommation (enregistrée par la carte de fidélité) : MyPurchease. Offrant visualisations (“combien de fromage ai-je acheté sur l’année”), conseils pour consommer moins cher, manger plus sain, recoupements avec des données de référentiels pour permettre de connaître la composition des produits achetés (équivalent d’Open Food Facts) le service a été testé auprès de milliers de clients de S-Group et semble aujourd’hui disponible à tous les Finlandais.

    Kai Kuikkaniemi est honnête avec nous : il ne s’agit pas d’un service MyData à proprement parler, puisque l’individu est captif de l’application et n’a pas de possibilité de réutiliser ses données avec un autre service et n’a donc pas de réelle maîtrise sur celles-ci (il est possible, bien sûr, de télécharger un fichier .CSV, mais l’API reste fermée à des tiers). Mais ce cas d’usage démontre bien le potentiel qui règne autour de telles données ! Les participants à la session n’ont pas hésiter à imaginer d’autres fonctionnalités qui pourraient émerger si les individus pouvaient récupérer ces données de consommation dans leurs espaces personnels et les croiser avec d’autres, par exemple ses données de santé pour adapter ses courses à ses allergies, à son régime particulier, etc.

    StJohn Deakins, de CitizenMe, très actif dans la communauté VRM et MyData, annonce lui aussi la couleur tout de suite. Sa vision de l’empowerment des individus via leurs données n’est peut-être pas celle que tous les membres de la communauté MyData partagent, mais son service, lui, est passé à l’échelle. À ses débuts en 2014, CitizenMe permettait aux utilisateurs de mieux comprendre les permissions données aux différentes applications. Il s’agissait donc de garantir une certaine transparence. Mais ce type d’outils ne permettait pas d’obtenir de réels usages et les individus ne l’utilisaient qu’à court terme. Il a donc fallu pivoter : aujourd’hui les utilisateurs de CitizenMe peuvent répondre à des petits questionnaires contre rémunération (selon ce test en répondant à 10 questions, on récupère 0,13 centime d’euros…). Plus de 120 000 personnes sont actives, dans plus de 180 pays, pour plus de 1000 clients et 3.5 millions d’échanges de données. StJohn Deakins insiste : “vous pouvez faire beaucoup de choses avec vos données grâce à Citizenme : les offrir à une cause, obtenir une meilleure connaissance de soi, consommer plus éthique, plus écologique, mais aussi obtenir des compensations financières”

    Si le modèle prôné par Citizenme semble un peu loin des promesses de MyData/du Self Data telles que nous les entendons à la Fing, StJohn Deakins ouvre la discussion sur un point essentiel : la compétition entre cas d’usage et services du monde MyData. Selon lui, les acteurs de MyData, outillant les individus dans la maîtrise de leurs données, se voient en compétition, alors que chacun occupe un espace différent dans un marché potentiel immense. La véritable compétition ne se situe pas entre services de la communauté MyData, mais plutôt entre ces derniers et les grandes organisations fournissant des services sur la base des données personnelles sans jamais adopter le modèle MyData. Cette dernière remarque nous rappelle la demande de Valérie Peugeot lors de la plénière de 2016 : plus que de la compétition nous avons besoin de coopétition, l’union des PIMS au niveau international n’est pas une option, mais un véritable moyen et levier de renversement vers le modèle MyData.

    L’énergie, un secteur pionnier de l’approche “MyData”

    Animée par Fabien Coutant, d’Enedis et réunissant des distributeurs d’énergie européens, la session “Energy Data Sharing” a permis de lever le voile sur l’un des secteurs les plus avancés en termes de partage des données avec les individus. Les compteurs intelligents se multiplient en Europe. Plusieurs millions d’entre eux sont déployés dans les foyers européens. Dans un monde où le système de production de l’énergie est de plus en plus diversifié, la flexibilité du système nécessite un nombre grandissant de données pour administrer le réseau en temps réel.

    Bart Janssen, d’Alliander nous raconte comment les habitants des Pays-Bas peuvent maîtriser leurs données de consommation énergétique. Le distributeur a créé ce qu’il appelle un “EnergyID” pour permettre le partage de données depuis son système d’information (des données personnelles produites par le compteur intelligent) à un service tiers, sous le contrôle de l’individu. André Alnor d’Energinet (Danemark), estime lui aussi que le système électrique basé sur les énergies renouvelables (vent, solaire, hydraulique) est plus volatile, et demande un ajustement en temps réel grâce aux données. Ils ont donc construit un portail nommé “My Data Access”, une API sur laquelle des services tiers (sous contrôle de l’utilisateur toujours) peuvent accéder aux données, par exemple pour fournir un service qui permet de savoir à quel moment charger son véhicule électrique, des services ludiques pour intéresser les gens à leurs données de consommation, etc. André Alnor nous partage ensuite quelques précieux retours de terrain. Depuis qu’Energinet a créé son API, plus de 140 développeurs tiers ont demandé à y avoir accès pour créer ce type de services ! Une démonstration de plus que le droit à la portabilité ouvre un réel potentiel d’innovation, avec une réserve cependant : ceux qui s’intéressent à maîtriser leurs données pour maîtriser leurs consommations semblent sensiblement être des acteurs commerciaux plutôt que des foyers d’individus. Selon lui, et comme tous les participants au track “use cases” les données en elles-mêmes n’ont que peu d’intérêt, seul compte l’usage que l’on en fait. Il faut donc des services tiers qui réutilisent les données personnelles, or ces services font face à des problématiques de coûts et de volume – pour leur permettre d’exister, ils doivent pouvoir se déployer sur tout le territoire européen. Il faudrait alors “permettre à 450 millions de citoyens de réutiliser leurs données, et pas à seulement 6 millions”. Energinet travaille donc à mettre en place un système (basé sur Sovrin – self-sovereign identity – et OAuth2.0) qui “dépasserait les frontières” pour permettre à des applications de tous les horizons de réutiliser des données de distributeurs de différents pays européens.

    En France, GRDF et Enedis, les deux distributeurs à mission de service public, ne sont pas en reste. Vous avez forcément déjà entendu parler du compteur communicant Linky et de son contrepoids gaz : “Gazpar”. Selon un récent article du Monde, “on ne sait pas” si Linky permettra aux individus de réaliser des économies : le système a ses limites, les données donnant la consommation non pas en euros, mais en kWh, “bien moins parlante”, et seulement “500 000 foyers ont créé un espace client en ligne, pour 13 millions de compteurs installés, soit moins de 4 % des utilisateurs de Linky.”.

    Et pourtant ! Enedis et GRDF ont construit bien plus qu’un énième espace numérique à ouvrir, dans lequel voir ses données en kWh. Les données issues des compteurs communicants sont partagées aux individus qu’elles concernent via une API (nommée respectivement “Enedis Data Connect” et “GRDF Adict”). Le parcours utilisateur, les règles de transparence et de consentement ont été particulièrement travaillés pour permettre aux individus de récupérer et d’utiliser leurs données via des services tiers (et de résilier facilement cet accès des services tiers à leurs données). Selon Xavier Furst de GRDF, sans ces cadres de confiance, les individus ne se saisiront pas de leurs données pour en tirer des usages.

    Après avoir écouté les nombreuses initiatives des distributeurs d’énergie pour partager les données avec les individus, Lukas Keller d’InnoEnergy/Power2U (Suède) ouvre les perspectives. Il prône une approche non sectorielle de MyData, la même que nous tentons d’expérimenter et d’implémenter dans MesInfos : les individus doivent être capables de récupérer leurs données de compteurs connectés, mais également d’autres sources de données, à commencer par les données issues de la domotique lorsqu’on parle énergie. Deux startups démontrent actuellement en Suède cette création valeur, Greenely et Watty, permettant aux individus de jouer avec leurs données de consommation énergétique, de se comparer avec leurs voisins et d’adopter des comportements plus “vertueux”.

    Si le point clef de la session semblait être que le secteur de l’énergie est le seul à vraiment se mobiliser au niveau de ses distributeurs pour créer des cadres communs de transmission, démontrant une dynamique rare, nous n’avons pas évité la déception de certains dans la salle quant aux cas d’usage démontrés : “la gamification, le tableau de bord pour gérer sa consommation, vraiment ?”. Il est bon de rappeler, dans ces cas-là, que nous ne sommes qu’aux prémices des usages possibles et services réutilisateurs de données, que construire les canaux de transmission est un travail de longue haleine, à saluer, et que du partage au cas d’usage innovant il n’y a qu’un pas : qu’un autre détenteur de données fasse de même, pour permettre des croisements nouveaux.

    Une question a, elle, été évitée : nous n’avons pas adressé le point brûlant de l’empreinte carbone de MyData. Si des cas d’usages MyData permettent, grâce à ses données, de calculer son empreinte carbone, de la réduire, etc, est-ce que le coût environnemental des services MyData dépasse les économies réalisées ? Après tout, il s’agit de dupliquer les données : elles seraient dans les systèmes d’information des organisations, et, dans une approche “MyData/Self Data/Droit à la portabilité”, dans celui des individus, sous leur contrôle, dans leurs PIMS ou directement chez un service tiers de leur choix. Le schéma MyData reposant sur les PIMS ouvre cependant à long terme la voie vers moins de stockage de données. Les organisations ne stockeraient aucune donnée (exit les data centers), et pour fournir leurs services (facturation, fonctionnalité, etc), elles viendraient interroger le cloud personnel de leur client/usager/utilisateur.

    Les acteurs publics finlandais se placent sous la bannière MyData

    Depuis que la conférence MyData prend place, on nous pose souvent la même question : pourquoi Helsinki ? Pourquoi la Finlande ? La réponse est simple. Oui l’organisation est portée en grande partie par Open Knowledge Finland, mais surtout, la principale source de financements de la conférence vient d’acteurs publics Finlandais comme Trafi, dépendant du ministère finlandais des Transports et des Communications.

    Il ne s’agit pas uniquement d’un soutien financier à “la cause”. Trafi implémente concrètement des logiques MyData/Self Data. Cette année nous avons eu la possibilité de voir où en étaient leurs efforts de plus de trois ans, sobrement intitulés “MyData Pilot”.

    Mika Huhtamäki et Noora Lähde nous ont donc partagé quelques développements et enseignements clefs. Trafi est un détenteur de données personnelles de mobilité majeur : données de permis de conduire, données de professionnels de la mobilité (pilote, marins, cheminot …), en Finlande et en Suède. À ce titre, Trafi souhaite développer une approche dans laquelle les individus ont un meilleur accès, un meilleur contrôle et surtout une vraie capacité de réutilisation sur leurs données. Leur modèle actuel ne met pas l’utilisateur au centre de ses données, le partage de donnée se fait entre organisations, sur la base du consentement de l’individu. Selon Trafi “les individus, dont nous traitons les données, ne sont pas impliqués dans les processus. Cela limite leurs options d’accès et de réutilisation en dehors des consentements préétablis”. Il était temps de changer cela, et le modèle MyData permet d’imaginer de nouvelles formes de gouvernance de la donnée personnelle, mettant les individus qu’elles concernent au centre de celle-ci. Le pilote s’est concentré sur un cas d’usage, pour 200 testeurs. Trafi a développé une API et une plateforme personnelle “MyData Wallet” pour permettre aux professionnels de la route de récupérer les données de leurs permis de conduire afin de les partager plus facilement pour prouver une compétence (“oui je suis habilité à conduire ce camion de XX tonnes, transportant des matières toxiques) et ainsi fluidifier les parcours et les démarches des conducteurs. Ce type de demandes et de vérification se fait au quotidien, et les données des conducteurs sont régulièrement mises à jour, d’où l’importance de construire les canaux de transmission de données : permettre aux individus de maîtriser leurs données apporte des gains de coût et de ressources importants à Trafi. À terme, Trafi souhaite se positionner comme “MyData Operator”, une sorte de PIMS de la mobilité pour agréger différent type de données afin de permettre des usages plus divers via des services tiers.

    trafi

    Second acteur public présent dans la session, Koski, représenté par Samuli Mustonen, est l’un des systèmes d’information de la “National Education Agency”.  Détenteur de données personnelles, cette fois liée à l’éducation, cette agence nationale est en train de monter un pilote MyData. Les données personnelles de Koski sont riches. Elles concernent le parcours académique des enfants, mais également des adultes (student record), ainsi que les données concernant leurs droits (student rights). Ce système a pour premier objectif de rassembler les données liées à l’éducation, auparavant dispersée dans différentes bases de données. Le second objectif a été d’offrir un accès à ces données, des visualisations, et – déjà – la possibilité de partager certaines données (création d’un lien) pour postuler à une offre d’emploi. Cette fonctionnalité de partage est utilisée plusieurs milliers de fois par mois selon Samuli Mustonen. La troisième étape est de mettre en place une API, un moyen pour les citoyens de réutiliser leurs données via des services tiers. Le pilote s’est concentré sur un type de données, les informations de statut étudiant, pour permettre à ces derniers, via des services tiers, de calculer les aides auxquels ils peuvent prétendre, prouver un droit plus facilement… Koski ne propose pas de plateforme comme Trafi, mais met en place, un peu à la manière des distributeurs d’énergie, des outils de traçage des permissions accordées aux services tiers, pour que les données soient toujours sous le contrôle des individus.

    koski

    Ces deux acteurs publics Finlandais embrassent le modèle MyData, construisent des APIs, des cadres de consentements, pour des projets pilotes qui ont vocation à passer à l’échelle. S’ils mobilisent des architectures différentes, la grande différence avec d’autres pays européens est qu’ils se réunissent sous la bannière MyData, partagent leurs expériences, leurs échecs, leurs ambitions. Soulevant l’optimisme de la salle, ils nous enjoignent cependant à la prudence : seuls quelques départements au sein du gouvernement sont aujourd’hui à ce niveau d’implémentation, la plupart des autres services ne sont pas aussi en avance. Mais qu’importe si les cas d’usage sont encore en petits nombres, un détenteur de données personnelles qui fait le choix de les partager avec les individus pour qu’ils puissent les réutiliser est toujours une bonne nouvelle.

    Momentum

    Nous avons soulevé dans cet article quelques points manquant encore aujourd’hui à la conversation : la remise en cause du privacy paradox, la difficulté à définir précisément ce que recouvre un cas d’usage MyData, le coût environnemental du partage des données… La grande inquiétude partagée par les participants aux sessions se trouve en effet ailleurs : dans le passage à l’échelle. La majorité des cas d’usages présentés fin août reposait sur des expérimentations, des pilotes, et bien que parfois portés par des acteurs majeurs, l’adoption du modèle MyData préoccupe.

    Pourtant, pour la première fois depuis trois ans que la conférence existe, nous avons la sensation que la vision MyData/Self Data se stabilise.  Le mouvement est lancé, et les principes de MyData – l’individu doit être le maître de ses données – sont ancrés chez les participants. Tous ceux qui ont lancé des pilotes, des expérimentations en Europe, expriment le besoin d’acculturation et de médiation auprès des individus, mais également des détenteurs de données et des réutilisateurs. Le concept est complexe, et va à l’encontre de décennies de gouvernance de la donnée, en silos, sans partage. Noora Lähde, de Trafi, l’affirme : “le concept est encore jeune et assez difficile à communiquer”, même au sein de l’organisation qui l’implémente. Tous s’accordent à dire que la clef réside dans la réutilisation des données, dans la valeur d’usage pour les individus, possibles uniquement grâce aux croisements de données diverses. Les cas d’usage puissants de MyData émergent lorsque plus d’un type de donnée sera partagé aux individus.

    C’est aussi à ça que sert la communauté MyData – à mettre autour de la table des acteurs de secteurs aussi divers que l’assurance, la santé, l’éducation, les transports, réunissant détenteurs de données, startups/réutilisateurs, représentant de la société civile, chercheurs, pour partager de bonnes pratiques et imaginer les cas d’usage de demain.

    > Retrouvez les présentations des intervenants sur le site de la conférence MyData 2018.

    > MyData Global, l’ONG internationale pour promouvoir le mouvement et rassembler la communauté est lancée ! Rendez-vous le 15 novembre à Barcelone pour l’assemblée générale de ses membres.




    Article importé: http://mesinfos.fing.org/retour-sur-mydata-2018-des-cas-dusage-concrets-pour-les-sceptiques/
    Par: Manon Molins
    Publié: October 26, 2018, 2:42 pm

  • Depuis 2016, la conférence MyData réunit à Helsinki, fin août, plus de 700 participants sur trois jours, venant de plus de 30 pays différents. Co-organisée par la Fing, Open Knowledge Finland et Aalto University, elle a pour objectif de réunir la communauté internationale travaillant à rééquilibrer l’économie générale des données personnelles au bénéfice des personnes. Chaque année, l’équipe MesInfos vous offre un retour sur cette conférence (voir ici pour 2016 et ici 2017). Cette fois, nous vous proposons trois articles pour appréhender la richesse des échanges de la communauté : MyData Futures (un peu de prospective pour imaginer l’avenir d’un monde “Mydataïsé”), “Nos données – Initiatives pour le bien public et la justice sociale” (retour sur l’un des tracks phares de la conférence, la question de la valeur sociale des données personnelles »), “MyData 2018, des cas d’usage concrets pour les sceptiques” (un aperçu des nombreux cas d’usage présentés lors de la conférence, cette fois-ci plus de concepts, on vous parle POC et implémentation partout en Europe).

    Le track OurData ou les enjeux d’une approche collective des données personnelles

    Parmi les 11 thématiques de l’événement MyData 2018, l’une d’entre elles s’intéressait aux liens entre données personnelles et bien public (“Nos données – Initiatives pour le bien public et la justice sociale”). Cinq sessions devaient alimenter la réflexion : “Mécanique de l’équité” questionnait le rôle des algorithmes, la nécessité de leur transparence et le lien nécessaire à faire entre algorithmes et données ; “Gouvernances alternatives” passait en revue les modèles de gouvernance des données, basés sur des modèles existants, et les défis qu’ils représentent ; “Débattre les droits et responsabilités” ouvrait la discussion sur les tensions entre le collectif et l’individuel, entre le privé et le public, autour des droits et responsabilités liés aux données personnelles ; “Données personnelles pour le bien commun” mettait en avant des exemples d’utilisation des données pour le bien commun ou pour le collectif et les leviers pour les concrétiser ; “Collectives ET personnelles” revenait sur la dimension collective des données personnelles.

    Cet article se propose de faire un retour sur l’ensemble de ces interventions, le constat qu’elles font de l’état actuel de l’économie et la société numérique, les modèles alternatifs proposés et les propositions faites pour le court ou le moyen terme.

    Le constat : la gestion actuelle des données personnelles s’intéresse peu au collectif

    MyData s’intéresse à toutes les dimensions que recouvre le contrôle des données personnelles : si la privacy occupe souvent le devant de la scène, MyData explore également la transparence des organisations et des technologies, l’équité et la dimension collective des données personnelles.

    L’entrée en vigueur du RGPD a clairement été l’événement marquant de 2018 et beaucoup d’intervenants s’y sont référés. Le principe d’équité y est affirmé. Or il s’agit d’un principe qui recouvre une dimension collective : l’équité suppose un groupe, contrairement aux autres principes (transparence, légalité, limitation de but, rétention, intégrité et confidentialité, minimisation des données, précision). Toutefois le texte ne donne pas de définition de l’équité dans le contexte de la gestion des données personnelles a fait remarquer Jussi Leppälä, Privacy Officer (Global) chez Valmet. Finalement, les intervenants s’accordaient à dire que le RGPD est un texte axé sur les besoins individuels plutôt que collectifs. Il protège l’individu, mais ne porte pas de vision véritablement collective des données personnelles.

    Par ailleurs si les individus sont mieux protégés grâce à ce texte, les entreprises ne sont pas incitées à exercer de véritable Responsabilité Sociétale. Afef Abrougu (Ranking Digital Rights) constatait que les entreprises manquent toujours de transparence vis-à-vis des politiques et des pratiques affectant la liberté d’expression et la vie privée de leurs utilisateurs. Malgré le RGPD, la plupart n’ont toujours pas dévoilé aux utilisateurs les informations de base concernant la conception, la gestion et la gouvernance des plateformes et services numériques affectant les droits humains.

    Sur cette question de l’équité, l’exemple d’openSCHUFA donné par Walter Palmetshofer (Open Knowledge Allemagne) est inspirant : une campagne de collecte de données a été faite auprès de milliers d’individus pour comprendre l’algorithme de credit-scoring (pointage de crédit) de SCHUFA, bureau de crédit privé allemand. Cela a permis à des individus de pouvoir demander, preuves à l’appui, à corriger des décisions prises par l’algorithme. De manière générale, le biais algorithmique est un enjeu sociétal important, surtout pour les groupes les plus fragiles dont les données personnelles sont plus exposées et davantage victimes de biais algorithmiques (à ce sujet, lire Internet Actu).

    D’autres intervenants ont insisté sur la nécessité d’accompagner les entreprises vers plus de prises en compte de leur responsabilité sociale. Le modèle de gouvernance qui domine actuellement étant l’hégémonie d’acteurs économiques (GAFA, BATX) raconte Bruno Carballa Smichowski, de Chronos, le rééquilibrage des pouvoirs doit venir des Etats. Ces derniers disposent de données personnelles, mais peuvent également demander des comptes et pousser les acteurs qui utilisent les données à être plus ouverts et actifs : littératie, infrastructure, open innovation, construire la confiance et faire reculer la peur, ou encore impliquer les personnes concernées (Hetan Shah et Jeni Tennison), sont autant d’actions que les pouvoirs publics peuvent mettre en place.

    Dans une approche plus marxiste, Christopher Olk (Humboldt Institute for Internet and Society) postule que les données reviennent logiquement à la société puisque ce sont les relations entre ses membres qui génèrent l’intelligence “enracinée dans les machines”.

    La piste de communs est-elle OurData compatible ?

    Depuis le lancement de MyData, la nécessité de développer les enjeux collectifs des données personnelles apparaît chaque année plus forte. En parallèle, les communs numériques apparaissent de plus en plus comme un modèle alternatif désirable face aux comportements abusifs des acteurs dominants. Les communs autorisent par nature une gestion transparente et au service de la communauté, car gérés par leurs membres. Ils se définissent comme étant “une ressource partagée, gérée, et maintenue collectivement par une communauté ; celle-ci établit des règles dans le but de préserver et pérenniser cette ressource tout en fournissant la possibilité le droit de l’utiliser par tous. La propriété n’est pas conçue comme une appropriation ou une privatisation mais comme un usage”.

    On trouve de plus en plus de références aux communs numériques et aux données personnelles dans les travaux français : Valérie Peugeot en a fait son cheval de bataille et nous invitait déjà lors de la première conférence MyData à explorer le sujet en profondeur.

    Si sa remarque a donné naissance au track “OurData” en 2017 et en 2018,, le terme de “commun” était pourtant quasiment absent des discussions du track OurData, essentiellement tourné vers l’acteur public et la régulation. L’exemple d’OpenSCHUFA se rattache néanmoins au courant des communs en donnant un exemple concret.

    En ce sens, la session “Coopératives de consommateurs” a permis de creuser les défis d’un cas de gestion des données personnelles en tant que commun.

    La voie des coopératives numériques

    Avant de revenir sur le contenu de la session, nous proposons un rapide aperçu des différentes formes de coopératives pour préciser celles dont il a été question dans la session “Coopérative de consommateurs” (notez le “consommateur” et non le “citoyen”…)

    Les coopératives peuvent être traditionnellement de deux types : coopératives de production et coopératives de consommation.Il existe des coopératives de personnes physiques et des coopératives d’entreprises. Un nouveau type de coopérativisme est également apparu avec le numérique : le coopérativisme de plateforme (ex: “la ruche qui dit oui”).

    Certaines entreprises ont récemment annoncé la création de coopératives pour mettre en commun les données personnelles qu’elles détiennent, pour mieux cibler les consommateurs… faut-il préciser que le modèle qui intéresse MyData est à l’opposé ?

    L’idée derrière la coopérative de données qui s’intègrerait au modèle MyData/Self Data viserait plutôt à créer un commun : une association d’individus développant des outils et services (chat, moteur de recherche,…) leur permettant de gérer leurs données de A à Z. Il existe plusieurs coopératives de données de ce type : diglife.coop, schluss, open.coop,…

    Plusieurs participants à cette session étaient membres de coopératives. Ils ont pu partager leur expérience et leurs questionnements sur ce modèle de réappropriation de la maîtrise des leurs données personnelles.

    Cette session était improvisée, dans le cadre de l’Open Space de MyData, chacun pouvait proposer un thème et Laura James (doteveryone) a suggéré  cette session afin d’échanger avec les participants sur la faisabilité de créer une ou des coopératives “de masse”, appartenant à leurs membres et gérées par eux. L’objectif serait d’offrir aux gens de meilleurs services que les géants de la technologie et les entreprises de type Silicon Valley. Laura James constate que si le problème avec les géants numériques est leur modèle d’entreprise (capitalisme de surveillance) et le modèle de propriété (extraction de richesse au profit de quelques-uns), la “data coop” doit permettre d’offrir une technologie en laquelle nous pouvons avoir confiance – c’est-à-dire préservant notre vie privée, accessible, fiable, équitable, basée sur les sources ouvertes existantes, avec un meilleur support et une véritable durabilité.

    Avec un grand nombre de membres (par exemple 10 000), et des contributions même modestes (par exemple 100$/an), pourrions-nous disposer de ressources importantes permettant de fournir une technologie open source bien conçue, pratique et répondant aux besoins quotidiens, tels que le courriel, la messagerie, le calendrier ? Pourrions-nous nous l’approprier ensemble, tout en ayant la certitude que ces services sont mieux gouvernés que les services techniques des géants de l’entreprise ?

    Il n’existe pas d’offre de ce genre aujourd’hui. Digital Life Collective compte moins de 150 membres après 18 mois d’existence, et ceux)ci ont des idées très différentes de ce que le coopérative devrait être. Pourtant le modèle de coopérative semble un horizon souhaitable : que peut-on apprendre d’autres expériences ?

    Les gens souhaitent-ils vraiment reprendre le contrôle de leurs données personnelles?

    Est-ce que le peu de succès de Digital Life Collective est dû à un manque d’intérêt de la part des consommateurs pour les questions liées aux données personnelles ? Ou bien est-ce que les enjeux ne sont pas encore bien compris par les gens ?

    Les porteurs de coopératives présents à la session échangent sur plusieurs éléments de réponse. D’abord, il n’y a pas une absence d’intérêt pour les questions de privacy mais une perception et un traitement différent selon les personnes (par les « millenials » par exemple). Ensuite, les consommateurs veulent-ils avoir à supporter la responsabilité qui va avec la reprise du contrôle sur leurs données ? Rien n’est moins sûr : comme les services gratuits d’aujourd’hui, cela doit être simple. Mais le contrôle implique nécessairement des responsabilités… Les consommateurs ont aussi besoin de services pratiques. Il faut travailler l’expérience utilisateur. Enfin, il faut une littératie des données pour créer un véritable intérêt et dissiper la peur et les malentendus autour de ce sujet.

    Combien d’argent faut-il pour proposer un service aussi bien que Google ?

    Digital Life Collective s’est concentré sur des services qui n’ont pas besoin de s’appuyer sur l’effet de réseau, qui requièrent un budget marketing important. L’e-mail n’a pas besoin d’effet réseau pour fonctionner, donc c’est un service par lequel les coopératives peuvent facilement commencer. Toutefois, combien d’investissement faudrait-il pour être aussi bon que Gmail ? Laura James n’en a aucune idée. Mais postule que “bon” peut avoir un sens différent de celui de simplement bien trier les spams… Des partenariats avec des solutions comme Protonmail peuvent être envisagés et permettre d’avoir accès à des solutions performantes.

    Comment avoir une véritable gouvernance partagée tout en ayant une organisation suffisamment grande ?

    A peine 10 personnes sont vraiment actives au sein de Digital Life Collective. Schluss recherche une manière de faire participer davantage les membres. C’est un problème récurrent pour les coopératives, et toute organisation dont la gestion s’appuie sur l’ensemble de ses membres.

    Toutefois, l’un des participants soulignait que même si seul 1% s’implique dans la prise de décisions, tous reçoivent les bénéfices de la coopérative ! Ca n’est pas la gestion parfaitement partagée et idéale, mais cela fonctionne quand même.

    Avant de renoncer au modèle participatif, quelques modèles de gouvernance pourraient être expérimentés pour faciliter les prises de décision participatives au sein de la coopérative : les jurys citoyens, sociocracy 3.0 (utilisé par certaines entreprises télécom en Finlande), …

    Est-ce que le modèle de coopérative de consommateurs numérique est réaliste?

    Définitivement oui. L’un des participants faisait remarquer que la moitié des entreprises américaines sont des coopératives. Signe qu’il ne s’agit pas d’une chimère, Fiban, un réseau d’investisseurs finlandais s’intéresse lui aussi aux coopératives comme un modèle économiquement viable et rentable .

    Tous les participants étaient d’accord pour dire qu’il faudrait pouvoir définir une proposition de valeur, un récit qui raconte le modèle coopératif pour gérer en commun les données personnelles et qui permettra à d’autres de se projeter. Même si cette proposition est encore difficile à identifier, elle se dessine : les coffres-forts numériques, la décentralisation, les serveurs indépendants à domicile, l’identité numérique, … il faut assembler et packager cette offre, en s’adressant aux early adopters qui peuvent ensuite entraîner les autres. Le message porté doit montrer clairement les convictions de la coopérative. Les coopératives pourraient aussi coopérer entre elles, pour atteindre le volume recherché par chacune.

    Les participants ont suggéré deux lectures susceptibles d’enrichir les démarches de création ou de développement de coopératives : “State of UK coops” et le livre “Everything for everyone” de Nathan Schneider.

    Quelques propositions pour une gestion sociale et politique des données personnelles

    Dans les sessions de la thématique “OurData”, nous avons eu le plaisir d’entendre à chaque fois (ou presque) que la propriété appliquée aux données personnelles n’a aucun sens. Bien que ce track, plus qu’aucun autre, soit prédisposé à un tel constat,depuis quelques années, la position de la communauté MyData s’est éclaircie à ce sujet et on voit de moins en moins de personnes prôner ce modèle de propriété et de revente individuelle de ses données..

    En découle un modèle collectif basé non pas sur des titres de propriété individuels mais sur des droits d’usage. Le RGPD en crée quelques-uns mais d’autres questions restent en suspens, comme le droit à la mémoire collective, notamment pour les catégories les plus défavorisées, ou encore l’équité, qui s’oppose à une régulation par les lois du marché.

    La plupart des intervenants postulent que c’est l’acteur public qui doit agir : en créant de nouveaux droits associés aux données personnelles, en accompagnant les acteurs privés à fournir des solutions plus éthiques et transparentes, en s’engageant pour une culture et une littératie de la donnée pour tous, en actant juridiquement que les données personnelles sont le résultat d’un processus collectif qui appartient à la société qui l’a co-généré et qu’il ne peut y avoir de propriété associée (en France la CNIL est très claire sur ce dernier point, nous avons besoin d’une voie aussi claire au niveau européen !), en promouvant leur valeur sociale, et non commerciale, et enfin qu’il fasse que le fruit de ce travail doit servir à répondre à des problématiques collectives telles que la santé, l’éducation, la culture, la protection de l’environnement, …

    D’autres participants souhaitent faire avancer eux-mêmes la création de communs, à l’instar d’openSCHUFA, de Digital Life Collective, ou encore de Schluss. Dans tous les cas, MyData semble bien vouloir prendre la voie du collectif et du bien commun. La Cnil en parlait déjà avec l’idée d’un “droit à la portabilité citoyen”, côté MesInfos si nous parlions depuis longtemps de contribution et de partage des données, le modèle du Self Data, dans lequel les individus sont outillés chacun de leur côté, doit explorer d’autres voies, y compris celle de la gouvernance en commun des données personnelles. C’est ce que nous ferons cette année, au travers du projet “Self Data Territorial”.




    Article importé: http://mesinfos.fing.org/retour-sur-mydata2018-quelles-approches-collectives-des-donnees-personnelles/
    Par: Chloé Friedlander
    Publié: October 9, 2018, 3:55 pm

  • “What would a future digital society where the ‘Mydata’ perspective’ has become reality look like?” This was the question behind both the “Imaginarium of MyData Futures” session during MyData 2018, and the “Speculative Data Futures” workshop ahead of the conference.

    The rosy ‘MyData perspective’ could play like this: thanks to a combination of innovation and regulation, individuals have access to their personal data, be it data that they themselves have produced or data that organizations have captured about them and their transactions; through convenient services and technologies, they are able to understand their data and, more importantly, to come up with meaningful ways to use them to their own ends; this shift in the data economy enhances self-confidence as well as trust between people and organizations, it produces a new wave of innovations (that, in part, reduces the stranglehold that a small number of platforms exert on the data economy), and the creation of new, shared knowledge through participatory science.

    The Happy Self Data Vision

    thehappyversionselfdata

    What Do We Expect from Data?

    But how could it happen, or happen otherwise, in reality? The workshop participants had been asked to produce a short story envisioning a speculative data future. These provide an insight on the hopes, expectations and worries that we express towards this future. Jesse Haapoja’s story was about a future where humans have internalized the fact that they are so much worse at making the right decisions than well-programmed computers:

    “Sometimes I feel lonely. It was recommended that I should start a long-term relationship at the age of 31. [...]

    I guess that this is as happy as I can be at the moment. Acting against the recommendations usually leads to suboptimal decisions. Maybe I would be happy for a while, but humans are bad at considering long term rewards and instead look for short term gains.

    I don’t really date that much anymore. [...]”
    Jesse Haapoja

    Is that a happy or an unhappy future? The workshop kicked off with a discussion on “personalization”, including when computers make choices that are supposed to be good, or better, for us. What makes personalization “comfy” or “creepy”?

    comfy_creepy_howwell

    Aside from classic, yet important, privacy consideration, one idea emerges: Personalization should be about opening people’s horizons and deepening their understanding, rather than producing closed and opaque decisions, whatever their intrinsic value. Happily, Oguzhan Gencoglu’s presentation taught us that even machine-learning algorithms were now becoming able to produce “interpretable” results, hence open to feedback and discussion.

    Personal and Collective Empowerment

    So we expect a data-driven digital society to be empowering, rather than to passively steer us into the “right” direction. But how can this come about? Focusing on health-related issues, the workshop’s participants identified 3 scenarios. One is a engineer’s dream: data provide awareness, leading to understanding, allowing for solutions to emerge, that can then be executed through and by programs. The second, focused on preventative healthcare, introduces several countermeasures, such as the need for doctors to remain in the loop. While a third scenario focuses on community action, whereby the production and interpretation of data is done by humans (with the help of computers) and combines personal and collective sense-building.

     

    3 Scenarios Inspired by Health Data

     3_Scenarios_Inspired_by_HealthData

    There are several conditions for a MyData future to be truly empowering, the main one being data literacy, or at least a combination of knowledge and tools that allow people to make sense and use of their data, without becoming data scientists. Otherwise, we could produce a “Data Without Self” scenario, in which people are overwhelmed by the data they have access to, consider them as one more digital hassle to manage – or even one more digital risk – and end up distrusting the data economy even more than they do today.

    Data Without Self

    datawithoutself

    Julia Velkova’s story nicely captures this situation:

    “Linda’s personal data future is getting more and more complicated the more data about herself she collects. In the same way as a manager job requires one doing more administration rather than applied work, so has she suddenly found herself building personal data storage facilities, and doing strategic investments in storage infrastructure rather than actually doing something she would find meaningful with data. […]

    She has a pile of unsorted and uncategorised data which she just dumped in a virtual folder the same way one hides a mess in a wardrobe before the guests arrive. She knows she needs to clean-up but there is never time for that. Instead, she needs to hire a data cleaner […]

    Her personal data future has become absorbed by her data storage infrastructure.”
    Julia Velkova

    Or… we could just enjoy more of the same: Today’s large data platforms leverage our ignorance to lure us into entrusting all our data to them and providing us with ever more convenient services, at the cost of our autonomy as well as an increased dominance over all sectors of the economy.

    Selfie Data

    selfiedata

    An Infrastructure Issue?

    Now, achieving an empowering MyData future requires a major change in data infrastructures, which are today entirely designed with the needs of organizations in mind and do not consider persons as legitimate data controllers. The most obvious roadblock in the way of this future is the unavailability of data to individuals.

     Self Without DataSelf Without Data

    What are the conditions for a MyData-enabling architecture to emerge? The workshop provided several insights, all of which, interestingly, combine technical, design and policy considerations. In one vision, the pervasiveness of data processing (materialized by bodily implants) requires a super-secure and usable technology stack, combined with “liquid democracy” capable of questioning and/or orienting individual as well as collective data-enabled decisions. In another, a tax on data centers is levied to finance open data-based science and to govern the use of data for the common good, on top of the private use of data for profit.

    A third vision focuses on identities, both individual and collective. At a personal level, data would be managed on the edge, at the level of individuals, allowing both deep self-understanding and the projection of public identities through “skins” and masks. At a collective level, anonymized data would be managed as a commons, and used to continuously search for patterns and hidden knowledge, most of which would become public.

    Distribute Power, Not (or: on Top of) Data?

    But are these infrastructural conditions sufficient to produce a positive Mydata future? Probably not, if only because we might have different visions of what “positive” means. In her talk during the Imaginarium session, Linnet Taylor speculated on 4 different futures related to different human communities.

    In the U.S., people gain the right to become their own data brokers, however the data they have access to does not include derivative data. So people need to compete with the data derivatives produced by existing brokers. Most people just can’t, with the exception of a new class of self-data traders. US inequality rises exponentially.

    In South-East Asia, people use portability and data sharing tools to influence their social risk scores. Local cooperatives emerge where people create risk scores for neighbours, and are rewarded by government through increased data access. Over time, the surveillance system decentralizes and democratizes. A lot of people like such systems. Those who don’t, too bad.

    Stateless communities and refugee collectives use self data to provide self-sovereign identities and related data based on a blockchain (which states might actually love because they don’t have to take responsibility for it), producing a global energy crisis – all the more because when people die, the records would persist.

    The fourth scenario is based on the idea of forgetting, where MyData provides both access to data, and a reset button for our lives. Predpol’s possible offenders can be directed to social services then their criminal history is reset. One can use information about genetic risk selectively and make the data inaccessible once they have used it. A somewhat similar, yet more radical idea can be encountered in Sanna Vellava’s “No-Data Nation” story:

    “In the future, wastelands of today, filled with electronic devices, will be squatted by no-data activists, […] who are collecting their forces together in order to establish a new nation, starting their manifesto by a motto saying ‘no more data, back to ignorance, into the unknown future’. [...]

    The handwritten messages have lured and enchanted no-data activists from all across the globe, having grown tired of their over-intelligent smart-ass machine colleagues, tired of being in the optimal condition all the time, everything being so smooth that no one can tell what is dream and what is real.

    So, they decide to conquer iMount and establish there a new nation called No-Data Nation, mining old computer parts from the piles of waste, and trading them with those who still believe that Bitcoin will make them rich and powerful one day.”
    Sanna Vellava

    Linnet ended her talk by quoting Evgeny Morozov: “The true challenge for the data distributist left is to find a way to distribute power, not just data.” Even a fully realized MyData future may not be inherently good. Relating to the “distributist left” or not is up to the reader, but the question remains: How can we engage with social systems to distribute both data and power? And if this is not the case, what will we have really achieved with MyData?




    Article importé: http://mesinfos.fing.org/mydata-futures-what-how-and-for-whom-insights-from-mydata-2018/
    Par: Daniel Kaplan
    Publié: September 28, 2018, 4:34 pm

  • La Fing, au travers du projet MesInfos, travaille depuis plusieurs années sur la question de la valeur économique du Self Data : le partage des données personnelles avec les individus qu’elles concernent. D’abord sur la question des services : en 2014, nous avons recensé différents services et applications qui permettent aux individus de tirer une valeur d’usage de leurs données. Depuis le tableau de bord au comparateur personnalisé jusqu’aux assistants de gestion de son budget, nous avons analysé leurs modèles de revenus et nous en avons tiré une première typologie. En 2015 et 2016, nous avons choisi de travailler avec Without Model, une communauté ouverte et pluridisciplinaire qui cherche à construire et généraliser des modalités ouvertes, collaboratives et responsables de création et de partage de la valeur. Nous avons mis à jour nos travaux de 2014, mais nous nous sommes surtout concentrés sur la valeur que le Self Data génère pour les organisations détentrices de données. Nous avons alors publié le livret “Quelle valeur du Self Data pour les détenteurs de données”.

    (Différentes configuration des modèles de revenus des services – retrouvez la cartographie complète dans le livrable « Quelle valeur du Self Data pour les détenteurs de données »).

    Nous avons souhaité nous intéresser cette année à l’un des acteurs clefs du Self Data : les plateformes du Self Data, ou PIMS (Personal Information Management Systems). Tiers de confiance, elles permettent le stockage des données personnelles des individus, leur administration et se font l’intermédiaire entre les organisations, les individus voire même les services/applications tierces qui permettent aux individus de tirer des usages de leurs données. Si leur place dans le schéma du Self Data est essentielle, leurs modèles de revenus se situent dans le cadre d’un marché multiface et se cherchent encore. Issu d’une série d’interviews menées en octobre 2017, le billet suivant permet de faire le point sur les motivations, les défis et les visions des PIMS en France et dans le monde.

    Cinq représentants de PIMS ont été interviewés : Cozy Cloud est un cloud personnel sécurisé qui propose de stocker ses données et des services tiers liés à ses données ; MatchupBox est une plateforme d’authentification numérique, qui s’appuie sur la blockchain ; Digi.me une plateforme de mise en relation de données des individus avec des services tiers ; Fair&Smart, y ajoute la dimension de reporting lié au RGPD ; enfin, Mydex est une plateforme de stockage de données des individus, et de mise en interaction avec des entreprises.

    Quels sont les leviers de confiance des PIMS ?

    Si tous les PIMS interrogés n’ont pas un seul et unique modèle de revenu, il nous semblait intéressant de nous arrêter sur leurs problématiques communes et leurs solutions, parfois complémentaires. En effet, les interviews ont pu éclairer des différences de modèle d’affaires : freemium pour les individus, complètement gratuit pour les utilisateurs et payants pour les entreprises, freemium pour tous, ajoutant des prestations extérieures, bénéficiant de levées de fond, commissions fixes ou proportionnelles au volume de données échangées, etc. Les modèles sont aussi nombreux que différents, nous nous sommes donc davantage intéressés aux visions et aux stratégies déployées par les PIMS pour générer de la valeur.

    Un élément fondateur identifié par tous les PIMS est évidemment le rapport à la vie privée. Non seulement il s’agit de la promesse principale de leurs plateformes – avoir enfin la main sur ses données et les exploiter comme on le souhaite -, mais l’origine de ces plateformes est aussi parfois une réponse personnelle à cette problématique. C‘est le cas de Xavier Lefevre, créateur de la plateforme Fair&Smart, née de la lassitude de voir ses données personnelles lui échapper. La question de la protection de la vie privée est devenue un enjeu essentiel aujourd’hui, identifié comme tel par les citoyens, exigeant des garanties, mais également des entreprises elles-mêmes, conscientes de la nécessité d’opérer un changement dans la gestion des données personnelles de leurs clients.

    Tous les PIMS interviewés constatent une évolution dans les mentalités, dont l’exigence n’était pas si forte il y a quelques années seulement. Cette sensibilité n’est pas déconnectée des scandales récents liés à la fuite des données personnelles, comme le très médiatisé Cambridge Analytica. Mais plus décisives sur le long terme, l’accroissement des réglementations, notamment européennes comme le RGPD, a joué un rôle. En effet, les PIMS notent tous un avant/après l’annonce du RGPD, à la fois auprès des citoyens, davantage conscients de leurs droits, mais surtout de la part des entreprises qui considèrent la privacy déterminante dans leur stratégie : non seulement dans leur relation clients, mais également dans leur vision d’entreprise.

    Enfin, le désir d’opérer un changement dans la gestion des données personnelles est également lié à l’inquiétude grandissante des entreprises vis-à-vis des GAFA. Ces géants du Web apparaissent pour certains comme une menace auprès des opérateurs de confiance, notamment des banques qui craignent la perte de leur rapport privilégié avec leurs clients, et avec, la perte de leurs données. Cela s’exprime aussi par la peur de voir ses clients se détourner de leurs services, ne tolérant plus la complexité et le temps perdu à devoir prouver son identité, notait MatchUpBox, plateforme spécialisée dans l’authentification numérique en certifiant des documents d’identité par la blockchain.

    Un pivot s’est opéré : à la fois au sein de la société civile, d’un point de vue réglementaire, mais également dans la stratégie des entreprises sur la nécessité d’inventer un nouveau paradigme autour des données personnelles : le Self Data.

    Derrière cet enjeu de vie privée, se glisse celui du renforcement de la confiance et de gages de garanties. Comme Cozy Cloud nous le confiait : la vie privée n’est pas un objectif en soi, mais un moyen de garantir la confiance. Si cet objectif de devenir un “tiers de confiance” est partagé par tous les PIMS interrogés, leurs stratégies pour l’atteindre sont diverses, mais non-exclusives.

    Cela peut tout d’abord passer par le modèle d’affaires : pour Fair&Smart, le freemium apparaît le meilleur modèle, car il permet aux individus comme aux entreprises de tester le produit avant de s’engager définitivement. A l’inverse, pour Digi.Me la seule façon d’être complètement transparent est d’être totalement gratuit pour les individus ; il est intéressant de noter que la plateforme a opéré un changement de business model, précédemment basé sur du freemium.

    Pour d’autres, cette confiance passe par la technologie mise en place sur la plateforme, les échanges cryptés de bout en bout par exemple ou la qualité de l’onboarding, ou encore MatchUpBox qui appuie sa solution sur la blockchain et la décentralisation de la certification et de la traçabilité des documents personnels échangés.

    Par ailleurs, la confiance peut être garantie par la structure juridique de la plateforme. Mydex, l’une des premières plateformes PIMS à avoir vu le jour en 2007, a un statut légal particulier : celui de Community Interest Company (CIC), une société d’intérêt général, qui lui impose de réinvestir 65% de leurs profits à des fins d’intérêt général, et ne peut pas être vendue si l’objectif s’éloigne de leur raison d’être.

    Enfin, le renforcement de la confiance peut se transmettre par la garantie du respect des réglementations, et notamment du RGPD, avec les plateformes les plus récentes privacy-by-design, bâties pour être RGPD-compliant, comme Fair&Smart. Dans une autre démarche, afin d’éviter tout risque vis-à-vis du stockage, la plateforme Digi.me a mis en place un simple connecteur auprès des lieux de stockages, tels que Google Drive, ou Dropbox, et n’a donc ni accès, ni ne stocke les données transmises par les individus.

    Plusieurs stratégies peuvent donc ainsi être déployées et cumulées par les PIMS, afin de répondre à cet impératif de rétablir et d’entretenir la confiance des utilisateurs, citoyens ou entreprises, sur la gestion et transfert de leurs données, afin d’accroître l’adoption par les utilisateurs. Mais quelles sont les stratégies des plateformes pour accroître leurs nombres d’utilisateurs ?

    D’une bonne idée au grand public : comment faire passer à l’échelle le Self Data ?

    Le second enjeu identifié par les PIMS lors de ces interviews est le passage à l’échelle : ces plateformes réunissent des individus souvent sensibilisés aux questions de privacy, mais elles rencontrent des difficultés à attirer le grand public. Comment attirer des personnes non spécialistes du numérique, parvenir à être accessible et attractif pour des individus, sans perdre la précision qui a amené les early-adopters ? Ce problème d’ouverture du public des utilisateurs se pose également auprès des entreprises clientes. Car derrière la question de l’attractivité, se cache le véritable défi de toute plateforme : comment attirer des entreprises (détenteurs de données, réutilisateurs de données) si peu d’usagers utilisent de la plateforme ? A l’inverse, comment attirer de nouveaux utilisateurs si il n’y a pas assez d’entreprises dont les services sont utiles aux usagers ? Nous faisons face à une question récurrente pour toute plateforme, en particulier celles dont le modèle de revenu est majoritairement basé sur la mise en relation de services tiers avec des utilisateurs.

    Pour y répondre, différentes stratégies sont mises en place par les PIMS. Pour certains, il s’agit d’être totalement gratuit et accessible aux individus, cette stratégie est plébiscitée par Digi.Me et par MyDex : d’une part, parce que les usagers non sensibilisés ne sont pas prêts à payer pour garantir leur vie privée, mais surtout parce qu’ils sont un moyen d’attirer les entreprises, qui, elles, sont à la recherche d’utilisateurs de leurs services. Il faut donc proposer un service directement et facilement accessible pour attirer les utilisateurs. Le modèle économique ne repose donc pas sur l’inscription des individus, mais souvent sur une commission payée par les services tiers, lorsque les individus décident de les utiliser via la plateforme.

    Une autre stratégie est de s’appuyer sur le soutien des institutions publiques. Cela a par exemple été le cas dans le cas de Digi.Me qui a pu organiser un hackathon en Islande basé sur de vraies données de santé, en partenariat avec le ministère de la santé.

    Pour impliquer davantage la communauté et accélérer l’amélioration de la plateforme, les PIMS peuvent organiser des opérations de visibilité et des expériences exclusives : Cozy Cloud s’appuie sur une communauté de bêtatesteurs sur son forum, et, de même que Fair&Smart, lie bêtatesteurs et entreprises pour réaliser des POC. On retrouve aussi des logiques de hackathons, comme ceux de Digi.me évoqué précédemment.

    D’un point de vue stratégique, tous notent l’importance de proposer un vrai service à la fois à l’utilisateur, mais aussi aux entreprises. Pour ces derniers, un des atouts réside souvent dans le gain de ressources : temps, argent, notamment en authentification d’identité, transmission automatisée de preuves de consentement, etc., et bien sûr sur la création de valeur via la proposition de services innovants pour les usagers. On peut noter également la constitution de prestations à destination des entreprises : des prestations de consultant Blockchain pour MatchupBox, d’aide au lancement de connecteurs pour Cozy Cloud, etc.

    Sans cette double exigence de valeur ajoutée à la fois pour l’usager, mais aussi pour les entreprises, il ne sera pas possible d’atteindre un haut niveau d’adhésion. D’une manière générale, la diversité des données que les individus peuvent recueillir joue également, et c’est l’un des objectifs de Digi.me pour se rendre encore plus attractif : au départ conçue comme un agrégateur de données de réseaux sociaux, la plateforme intègre aujourd’hui la possibilité de récupérer des données de santé, de musique, de wearables. La diversité des données permet d’augmenter l’attractivité du service à la fois pour l’individu, mais aussi pousser des entreprises à créer des services tiers attractifs.

    Plusieurs réponses et stratégies coexistent pour répondre au défi de la double-attractivité à destination des individus et des entreprises. Les PIMS interrogés proposent une grande variété de solutions, d’architecture, de choix techniques et juridiques et de modèles de revenus. Tous les PIMS ne se ressemblent pas, mais tous se positionnent sur ce nouveau marché de la confiance et du contrôle des données personnelles par les individus eux-mêmes.




    Article importé: http://mesinfos.fing.org/strategie-et-modeles-de-revenus-des-pims-tiers-de-confiance-du-self-data/
    Par: Emma Gauthier
    Publié: September 12, 2018, 10:47 am

  • L’économie numérique actuelle, qui repose sur la collecte, la production et l’exploitation d’un nombre sans cesse plus important de données, notamment personnelles, génère trop de défiance, de controverses. Elle n’est plus soutenable.

    Au sein du projet MesInfos, la Fing a tenté d’ouvrir des perspectives et de proposer une alternative- devenue beaucoup plus réelle, depuis l’entrée en vigueur du RGPD en mai 2018, et l’apparition du “droit à la portabilité” : la piste du Self Data, à savoir « la production, l’exploitation et le partage de données personnelles par les individus sous leur contrôle et à leurs propres fins. »

    Une piste iconoclaste s’il en est ! Après tout il ne s’agit rien de moins que de renverser le paradigme actuel de l’économie de la donnée et de proposer un nouveau modèle dans lequel l’individu maîtrise ses données et en tire des usages utiles pour lui. Une première expérimentation en 2013 nous a permis d’éprouver nos intuitions, de les confronter à la réalité du terrain et d’en tirer des premières leçons. En 2016, après 5 ans d’exploration du sujet il était temps de faire franchir un cap au Self Data, d’en proposer une vision plus longue-termiste, porteuse de confiance et de nouvelles formes d’innovations. Le contexte législatif favorable, la volonté d’un acteur – la MAIF – d’équiper ses sociétaires d’un cloud personnel leur permettant de contrôler leurs données (Cozy), la solidification d’un écosystème autour du sujet, nous a incités à lancer le Pilote MesInfos, première implémentation au monde du Self Data à grande échelle.

    Le pilote MesInfos rassemble des organisations détentrices de données, une plateforme, un territoire et un écosystème d’innovation afin d’explorer concrètement le potentiel du Self Data. Des organisations partenaires partagent avec plus de 2000 individus les données qu’elles ont sur eux, pour qu’ils en fassent… ce qui a du sens pour eux !

    Nous vous livrons aujourd’hui le fruit de plus de deux ans de travaux sur ce pilote : synthèse de nos actions, principaux enseignements clefs et pistes pour faire avancer le Self Data. Découvrez le résultat des chantiers juridiques et techniques que nous avons mis en place pour accompagner les organisations dans le partage des données, les stratégies d’accompagnement auprès de réutilisateurs de données pour créer des cas d’usage et des services innovants, et la dynamique de recrutement et d’animation des 2000 testeurs du pilote MesInfos.

    > Télécharger le livret Fing, «Pilote MesInfos 2016-2018 : synthèse / enseignements / actions !», 2018.




    Article importé: http://mesinfos.fing.org/pilote-mesinfos-synthese-enseignements-actions/
    Par: Equipe MesInfos
    Publié: June 20, 2018, 11:00 pm

  • After Torino, Aarhus, Berlin, London, Paris and Brussels, the French Hub (Fing and Tubà) is pleased to invite you to the next MyData Global Meetup in the City of Lyon on the 19th and 20th of june.

    Moreover, on the 21th you will have the opportunity to attend the MesInfos Open Conference, a full day dedicated to the learnings of the MesInfos Pilot, a 2000 testers experiment of the MyData model.

    > “A very MyData evening” -19th of June from 3pm till 8pm – Adress : Tubà – 145 cours Lafayette, Lyon.

    > “MyData Workshops” – 20th of June from 9am till 6pm – Address : Tubà – 145 cours Lafayette, Lyon.

    > Open Conference MesInfos – Sharing the power of personal Data – 21th of June from 9.30am till 5;30pm – Adress: Musée des Confluences, 86 Quai Perrache, Lyon

    More info and registration here!

     

     




    Article importé: http://mesinfos.fing.org/mydata-global-meetup-lyon-city-19th-and-20th-june/
    Par: Manon Molins
    Publié: May 3, 2018, 2:40 pm

  • Si les données personnelles sont tellement utiles aux entreprises et aux administrations, pourquoi ne le deviendraient-elles pas aussi pour les individus ?

    Le 21 juin prochain de 9h30 à 17h30, au Musée des Confluences (Lyon), la Fing, ses partenaires et la Métropole de Lyon vous proposent une journée pour découvrir les enseignements du pilote MesInfos : un projet unique au monde qui vise à mettre le pouvoir des données personnelles entre les mains des personnes qu’elles concernent !

    Rejoignez-nous pour comprendre toute la richesse qu’offre le Self Data, ses liens avec le nouveau droit à la portabilité du RGPD, et découvrir les enseignements d’un pilote précurseur, incarnant cette dynamique.

    Découvrez le programme et inscrivez-vous !

     

     

     




    Article importé: http://mesinfos.fing.org/open-conference-mesinfos-21-juin-2018-lyon/
    Par: Manon Molins
    Publié: May 2, 2018, 3:02 pm

  • Le « droit à la portabilité des données personnelles » qu’introduit l’article 20 du Règlement général sur la protection des données (RGPD) est sans doute celui auquel les entreprises sont aujourd’hui les moins préparées.

    Il crée en effet une obligation qui va bien au-delà de la simple protection des données personnelles, pour s’étendre à leur réutilisation par les individus qu’elles concernent. Pour des entreprises habituées à considérer ces données comme des actifs jalousement gardés, il s’agit d’un gros changement. Mais quelles données sont précisément concernées ? À quelles fins et de quelle manière leur mise à disposition et leur réutilisation peuvent-elles s’envisager ?

    Il y avait manifestement besoin d’aider les entreprises à y voir clair. C’est le premier objectif que se sont fixé les entreprises réunies autour du projet Dataccess, piloté par la Fing dans le cadre plus large du programme MesInfos.

    MesInfos, c’est un peu « la portabilité avant la portabilité ». Ce projet réunit de nombreux partenaires pour explorer ensemble la notion de Self Data : permettre aux individus de devenir maîtres de leurs données en les récupérant depuis le système d’information des organisations avec lesquelles ils sont en relation, en les stockant dans des espaces sécurisés où ils peuvent administrer leurs données et surtout en tirant de celles-ci une valeur d’usage grâce à des services tiers. http://mesinfos.fing.org/selfdata-2/

     

    Mais nous avons choisi d’aller plus loin. En définissant des spécifications communes, utilisables par tout type d’organisation, nous avons voulu faire de l’exercice de ce droit un moment positif dans la relation entre les organisations et les individus (clients, usagers, collaborateurs…), ainsi qu’une source de création de valeur.
    Nous nous sommes ainsi attachés à concevoir des lignes directrices pour permettre une mise en œuvre de la portabilité lisible par les utilisateurs et cohérente d’une entreprise à l’autre. Nous avons fixé un niveau d’exigence raisonnable, mais significatif, qui pourrait permettre à terme l’émergence d’un label Dataccess, celui des « entreprises dataresponsables », qui considèrent que la mise à disposition des données portables dans de bonnes conditions fait partie de leur engagement vis-à-vis des individus que ces données concernent.
    Les spécifications Dataccess s’organisent ainsi tout entières autour de « l’expérience utilisateur » de la portabilité. Elles tentent sur cette base de répondre aux questions pratiques que se posent les entreprises : comment délimiter le périmètre des données portables ? Peut-on mettre des conditions à leur mise à disposition ? Que faire une fois que les données ont été portées, éventuellement vers un service tiers ? Quelle est la responsabilité de chacun ?…

    Le document qui en résulte est publié en anglais, sous une licence Creative Commons, de manière à en favoriser la mise en œuvre en France et ailleurs. Il ne s’agit que d’une première version : certains sujets moins urgents n’ont pas été traités (nous en proposons une liste en fin de document), certaines questions émergeront à l’occasion des premières mises en œuvre.

    La Fing n’a cependant pas vocation à gérer l’évolution de Dataccess. D’autant que Dataccess n’est pas seulement un document de spécifications : doit-il devenir un label et si oui, qui l’attribuera (et le retirera) ? Faut-il un annuaire des entreprises dataresponsables, des données et/ou des services disponibles ? Des actions d’information et de communication ?

    Il appartient désormais aux entreprises et aux organisations publiques dataresponsables de prendre le relais, soit à l’échelle nationale, soit à une échelle plus large. Pour l’instant, nous sommes fiers de mettre à votre disposition le premier travail collectif au monde sur la mise en œuvre positive, cohérente et ambitieuse du droit à la portabilité.

    Téléchargez le livrable « Dataccess – Data-responsible Enterprises – User Experience and Technical Specifications » (Eng) – V1 – February, 2018  – Fing

    Ces spécifications UX et Techniques se complètent d’indications techniques simples, sur le périmètre des données concernées par ce droit et surtout, d’une description des étapes types d’un projet de portabilité. Une analyse plus poussée de ces deux derniers points peut se retrouver dans le cahier « La portabilité des données en pratique », résultat d’un travail commun réalisé dans le cadre de deux projets aux expertises complémentaires de la Fing : celles de “Parlez-vous Data ?” en matière de diffusion d’une culture Data et celles de “MesInfos” en matière de Self Data.

    Téléchargez « La portabilité des données en pratique » (Fr) – février 2017 – 14 pages – Fing




    Article importé: http://mesinfos.fing.org/dataccess-pour-une-portabilite-des-donnees-personnelles-coherente-et-positive-rgpd/
    Par: Daniel Kaplan
    Publié: March 8, 2018, 11:20 am

  • Le 18 janvier 2018, nous avons tenu la cinquième « Rencontres du Self Data ». Elle s’inscrit dans le cadre du pilote MesInfos, qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent en 2017 et 2018, pour la première fois de manière pérenne, des données de leurs clients pour qu’ils en fassent ce qui a du sens pour eux.

    Dès la première expérimentation MesInfos en 2013, nous avons pu constater à quel point le design (notamment celui des applications proposées aux testeurs) jouait un rôle essentiel dans l’utilisation de ces services, ainsi que dans la compréhension et l’adhésion au concept de Self Data de manière générale. Il était donc naturel pour nous de porter une attention particulière à cette question tout au long des différentes « saisons » du projet, et d’y consacrer un moment de partage et d’échange.

    Cette cinquième édition des rencontres self data avait donc comme objectif de comprendre le rôle du design dans un contexte de restitution des données personnelles aux individus. Comment le design peut-il contribuer à ce que le Self data devienne la norme et pas l’exception? Comment aide t-il les individus à devenir acteurs de leurs données personnelles?

    Pour alimenter la discussion et enrichir la réflexion, nous avons eu le plaisir d’accueillir trois intervenantes dont les travaux traitent de ce sujet :

    L’article qui suit est une synthèse écrite de leurs présentations et des échanges avec les participants de la rencontre :

    La rencontre a débuté avec l’intervention d’Estelle Hary autour des méthodes prospectives en design, et plus précisément le design fiction. Cette technique consiste à se projeter dans le future et à explorer les évolutions selon trois axes : le(s) future(s) possible(s), le(s) future(s) plausible(s) et le(s) future(s) probable(s). L’intérêt pour un designer d’emprunter la voie du design fiction est de se libérer des contraintes du présent, et de laisser libre court à son imagination.

    Le design fiction, qui par ailleurs va se concentrer sur les futures plausibles (en questionnant leur dimension « préférables »), va surtout permettre la création d’espace de discussion et de débat propices à la stimulation de la créativité. Pour nous montrer un exemple de mise en application du design fiction, Estelle nous fait découvrir La Cité des Données, un atelier participatif de design réalisé par Design Friction sur la Smart City, un lieu particulièrement favorable à la production des données personnelles.

    Grâce à une balade à travers la ville de Nantes et les différents lieux qui la composent : la Place Tournante, le Haut Château, la Halle Numérique, le Neo Square, nous découvrons les caractéristiques de cette ville intelligente/future, et les implications que ces caractéristiques imposent aux habitants/usagers. S’emparant de cette matière à réfléchir, les participants de l’atelier ont proposé par la suite des visions complémentaires des futurs possibles de la Smart City.

    Ainsi, la ville intelligente est vivante, très vivante (ça grouille, ça fourmille), elle supporte mal l’immobilisme et la stagnation conduisant à la mise en place d’une taxation qui réduit la flânerie et empêche l’inertie : s’assoir sur un banc mène au paiement d’une redevance d’un euro par minute.

    Autre trait de personnalité de la ville intelligente, c’est son obsession pour l’image (lisse et propre), dans cette optique l’accès à l’espace public se fait sur la base de la e-reputation, plus la réputation d’un individu/citoyen est positive, plus l’accès à la ville lui est élargi.

    La ville intelligente rend également possible toute une palette de pratiques comme la personnalisation de son environnement de vie grâce à des lunettes filtrantes. En mettant ces lunettes, nous pouvons choisir ce que nous voyons/voyons pas, exemple ; grâce à ces lunettes un végétarien ne verra pas les boucheries.

    À ce stade de l’intervention, un échange s’engage à propos des lunettes filtrantes et de leur utilité. Si certains participants sont plutôt pessimistes quant à l’utilisation de cet outil (enfermement dans des silos et conformisme) d’autres pointent les côtés positifs des lunettes comme la possibilité de les enlever (il s’agit avant tout d’un objet que nous décidons de porter ou pas) ainsi que de la possibilité de régler les filtres pour découvrir de nouvelles choses.

    D’autres participants se sont interrogés sur la pertinence du dispositif du design fiction et sa capacité à apporter des solutions à certains scénarios/situations. Une piste de réponse à cette interrogation serait de considérer le design fiction comme un outil de création d’espaces de débat avant tout. La finalité de ce dispositif n’est pas tant d’apporter des solutions (notamment techniques) mais de susciter le dialogue.

    Présentation Estelle HARY : les méthodes prospectives du design.

    La rencontre se poursuit avec l’intervention de Sylvia Fredriksson sur la littératie des données. Afin de mieux appréhender ce sujet, Sylvia nous invite à découvrir les actions de la School of Data, ce réseau d’individus et d’organisations présent dans 34 pays explore la question de la mise en capacité des citoyens à travers leurs données. Différentes thématiques (en lien avec les données) y sont abordées telles que transparence démocratique, la corruption (Amérique Latine) ou encore les problématiques sanitaires (Philippines).

    Au sein de cette école, la littératie des données passe par des formations, les individus qui souhaitent acquérir des compétences concernant les données peuvent suivre des programmes appelés « expéditions », celles-ci ont pour missions d’apporter les connaissances de bases aux participants en s’articulant en 5 étapes :

    • Etape 1 : choix du sujet (souvent une polémique) : pollution de l’air à Paris, satisfaction des usagers de la CAF, coût du RSA…etc.
    • Etape 2 : apprendre à rechercher des données (identification sources)
    • Etape 3 : apprendre à collecter et à préparer les données.
    • Etape 4 : apprendre à analyser et visualiser les données.
    • Etape 5 : apprendre à publier les données (respect des formats et des licences, renseigner les métadonnées, protéger les données personnelles)

    Chaque étape appelle à la mise en place d’outils, tel que l’InfoViz (Kit tangible de visualisation) pour faciliter à des non-experts la compréhension des données, le DataViz catalogue pour associer des scénarios à des modèles de représentation. Enfin, cet apprentissage passe par le Laboratoire Social où les ateliers sont organisés pour transmettre la littératie acquise à de nouveaux apprenants.

     Avec cette montée en compétence(s), la School of Data souhaite construire un socle de connaissances communes pour :

    • Participer à une logique de partage des savoirs.
    • Apporter une lecture critique des informations.
    • Comprendre comment mobiliser les données nécessaires au service de la résolution d’un problème ou d’une cause.

    Par ailleurs, cette montée en compétences (littératie des données) peut être facilitée par le design. En effet, en s’appuyant sur le RGPD qui permet la portabilité des données et en encourageant la création de services respectant la privacy by design cela deviendrait d’autant plus simple et plus pratique pour les individus d’avoir accès aux données, de les comprendre et de les (re)utiliser.

    Le design peut également avoir un rôle dans la construction d’une approche collective de la gouvernance des données personnelles, notamment à travers les hyper-objets qui sont connectés, liés et en relation avec d’autres objets. Cette approche est présentée par de nombreux experts comme un moyen qui permettrait de faire face à l’asymétrie des pouvoirs qui existe entre entreprises (GAFA de la Silicon Valley) et leurs clients/usagers.

    En tant qu’individus nous ne sommes pas tout à fait en mesure de faire basculer ce (dés)équilibre établi, mais en tant que collectif nous pourrions changer ce paradigme en instaurant des outils/dispositifs tels que le faisceau de droits (Valérie Peugeot) et le domaine public des données (Evgeny Morozov).

    Enfin, le design peut nous aider à adopter une démarche multidisciplinaire dans notre réflexion autour des données, à expérimenter, à anticiper et à dessiner des modèles complètement neufs dans la collecte et l’utilisation des données (en général) et des données personnelles (en particulier).

    Présentation Sylvia Fredriksson : la littératie des données personnelles.

    La discussion s’est poursuivie avec Rose Dumesny qui nous a présenté son travail de recherche sur la perception sensible des données numériques

    Cela commence par un constat concernant les données numériques : elles n’ont jamais été aussi présentes dans nos vies quotidiennes. Chaque recherche que nous effectuons sur internet, chaque pas que nous faisons au cours de la journée, chaque interaction sur les réseaux sociaux est enregistrée. Nous constituons ainsi d’énormes bases de données mais que nous n’arrivons pas à en saisir le sens. Comment faire alors pour les rendre intelligibles ?

    Depuis quelques années, cette questions est devenue un enjeu majeur au point que des dizaines d’outils nous sont proposés et notamment les fameuses Dataviz, des outils qui se proposent de nous aider à mieux saisir le sens de nos données en les mettant sous forme de schémas, dessins et autre graphes qui sont censés nous être plus accessibles.

    Mais en réalité ces dataviz faites par Google, Facebook..etc. sont leurs propres représentations et leurs propres analyses, qui de plus, considèrent les données comme un matériel purement objectif et en occultent toute dimension humaine. Ainsi, ces outils tendent à se répandre comme s’il était possible de représenter toutes les données, de toutes les situations et de tout le monde de la même manière.

    Dés lors, il semblait nécessaire de mener un travail de recherche pour dépasser cette schématisation strictement visuelle des données et en déceler le caractère sensible. Pour ce faire, différents travaux de matérialisation des données ont été mis en place (ateliers datapics) cela permet de toucher les données et de les rendre plus tangibles (elles ne sont plus ces objets lointains). Dans cette optique de matérialisation, nous passons d’un schéma traditionnel dans lequel les données sont :

    Enregistrées => traitées => calculées => représentées => matérialisées.

    À un nouveau schéma où les données sont :

    Enregistrées => matérialisées (touchées, goûtées, entendues…etc.)

    Cette mise en forme tangible des données permet aux individus de mieux les apprécier/discerner et ainsi de devenir acteurs de leur environnement numérique. Cela permet également à chacun d’apporter sa propre représentation matérielle des données, tout en soulevant des questions concernant la finalité, les interactions et l’usage des données numériques.

    L’échange avec les participant s’est articulé autour de trois idées :

    • S’éloigner du discours affirmant que individus ne sont pas capables de comprendre leurs données.
    • Ne pas nier l’utilité des représentations visuelles, mais elles ne constituent qu’un moyen « facilitateur » parmi beaucoup d’autres.
    • Il est important de ne pas restreindre la diversité des représentations et d’en favoriser la pluralité.

    Présentation Rose Dumesny : Sensibles Données, une recherche en design sur la perception sensible des données numériques.

    Cette rencontre a été l’occasion d’échanger sur le sujet du design qui est primordial dans la concrétisation du Self Data. Les différents outils d’acculturation, approches prospectives et méthodes d’apprentissage constituent autant de moyens qui permettraient aux individus de gagner en capacité et de devenir acteurs de leurs données personnelles.




    Article importé: http://mesinfos.fing.org/les-rencontres-self-data-design-et-donnees-personnelles/
    Par: Sarah Medjek
    Publié: February 21, 2018, 4:18 pm

  • image_meetup_mesinfos-fing

    Le 22 mars, de 16h à 18h, Profitons de la 6e #RencontreSelfData pour faire le point !

    Au programme : partage des premiers résultats de recherche du pilote, zoom sur les modèles économiques des plateformes du Self Data et retour sur nos travaux autour du droit à la portabilité (RGPD).

    Inscription

    Dans le cadre du Pilote MesInfos, la Fing organise depuis un an « Les Rencontres du Self Data », des moments d’échange et de discussion pour tester des éléments de réponses et élaborer des pistes d’action aux nombreux défis soulevés par le changement de paradigme qu’est le Self Data.

    Venez nombreux !

     

    Objet : Rencontres du Self Data n°6 : les coulisses du pilote mesinfos

    Lieu : Paris (précisions à venir)

    Date : 22 mars de 16h à 18h

     




    Article importé: http://mesinfos.fing.org/rencontre-self-data-les-coulisses-du-projet-mesinfos/
    Par: Manon Molins
    Publié: February 1, 2018, 10:37 am

  • La prochaine édition des Rencontres Self Data : Design, données personnelles & vie privée, aura lieu le 18 janvier 2018 de 16h à 18h, dans les locaux de l’ENSCI au 48 Rue Saint-Sabin, 75011 Paris.

     

    Lors de cette rencontre, nous nous pencherons sur le rôle du design dans les concepts de Self Data et de la vie privée.

    Dans un contexte de partage des données personnelles aux individus, quel sera le rôle du design ? Comment peut-il permettre aux individus de comprendre leurs données et d’en appréhender la valeur ? Comment le design peut-il aider à la conception de services Self Data permettant de réutiliser et de tirer des usages des données, tout en assurant protection et sécurité de la vie privée ? Comment le design peut-il contribuer à l’empowerment des individus grâce à leurs données personnelles ?

    Pour nourrir et enrichir cette réflexion, nous aurons le plaisir d’accueillir des artistes et des experts en design :

     

    • Quand ? 18 janvier, 16h-18h
    • Où ? ENSCI – 48 Rue Saint Sabin, 75011 Paris

     

    Inscription

     

    l’inscription est gratuite mais nécessaire !

    Pour des questions de sécurité, merci de vous munir d’une pièce d’identité le jour J. 




    Article importé: http://mesinfos.fing.org/rencontre-self-data-design-donnees-personnelles-vie-privee/
    Par: Sarah Medjek
    Publié: January 16, 2018, 11:01 am

  • La Fing coorganisait pour la seconde année consécutive la conférence MyData2017, qui se tenait du 30 août au 1er septembre dernier, à cheval sur deux villes : Tallinn et Helsinki.

    Nous vous proposons de revenir sur quelques-uns des enseignements ou faits marquants de cet événement. Après un premier article d’introduction, centré sur le réseau MyData – son organisation, ses principes (et ses malentendus) puis un second article sur la valeur sociale et sociétale des données (partie I et II), nous avons souhaité nous attarder sur la question du consentement éclairé.

    Sujet récurrent du traitement des données personnelles ; à la fois tangible, universel et partie intégrante de l’agenda du GDPR, le consentement avait bien évidemment une place de choix à la conférence MyData 2017. Entre solutions, visions, mais peut-être aussi égarements, ce fut une fois de plus un sujet richement traité. C’est particulièrement troublant de constater comme ce sujet, qui semble isolé et précis, est à la fois une métaphore et la face immergée de l’iceberg de MyData dans son ensemble.

    mydata_consent_icon_draft

    La situation actuelle

    On retrouve, sur le sujet du consentement, les adversaires habituels de MyData : « mais cela ruinerait mon business model », « de toute manière, l’utilisateur clique sans regarder … », « je ne sais pas, je ne me suis jamais posé la question »… Les grands gagnants actuels de la collecte et du traitement des données personnelles (GAFAM, régie de publicité en ligne, brokers de données …) ont perfectionné au fil des années leurs techniques pour obtenir ou se passer de consentement. C’est le classique « Lie and Agree » évoqué par Michele Nati désignant la case à cocher en haut des nombreuses pages de CGU. Mais c’est aussi le cas de très nombreux services et applications de startups.

    Cette méthode de « non-faire » est devenue un standard, dans un milieu où les GAFAM restent le modèle à suivre. C’est d’ailleurs le constat de Ziad Wakim : alors que le respect des (futurs) utilisateurs, et donc de leur vie privée, fait souvent parti des valeurs principales de la startup aux premiers pas de l’aventure, la gestion respectueuse des données personnelles, et le soin apporté au recueil du consentement sont souvent délaissés, parfois par choix, mais surtout par facilité, conformisme puis négligence.

    On le sait, les utilisateurs ne lisent pas ces pages de CGU, ou simples lignes de demande de consentement, qui sont donc seulement des irritants dans le parcours utilisateur. On ne peut que confirmer ce constat, en pensant aux bannières quant à l’usage des cookies qui ont fleuri sur les sites web européens.

    Pour compléter le tableau, comme pour le sujet des données personnelles en général, de nombreuses entreprises constatent le grand désordre qui règne au sein de leur système d’information et de leurs produits sur ces questions. À MyData, les témoignages de consultants étaient, sur ce point, concordants ( Sami Laine, Sabri Skhiri). Si dans de nombreux cas, les consentements sont rigoureusement recueillis conformément au droit en vigueur ; leur présentation, leur dénombrement, leur consultation ultérieure par le responsable de traitement, comme par la personne concernée sont beaucoup plus difficiles et aléatoires ; sans évoquer les cas de sous-traitance, carrément opaques.

    #GDPR
    C’est dans ce contexte que va entrer en vigueur (le 25 mai 2018, dans un peu plus de 6 mois) le GDPR, qui est très strict quant au recueil du consentement, à la conservation et à l’auditabilité des preuves de consentement. Si les lignes n’ont que peu bougé par rapport au droit actuel (en tous cas en France où ces principes sont en vigueur depuis 40 ans !), c’est surtout l’importance des peines encourues qui donne naissance à un sentiment de panique.

    Un éventail de solutions techniques pour répondre à cette nouvelle contrainte juridique

    Nouvelles contraintes juridiques, nouveau marché ! Entreprises, startup, consultants, chercheurs, groupes de standardisation, projets open source …, tous ont des solutions pour se mettre en conformité, et même tirer parti du GDPR.
    La Digital Catapult présentait les avancées sur leur projet de Personal Data Receipt, déjà présenté l’année dernière. Ce dispositif propose de fournir un « reçu » des consentements, et de l’usage qui en a été fait par le responsable de traitement, directement par email à la personne concernée. Un peu plus tard, dans la même session, Joss Langford présentait des standards ouverts et matures, pour faciliter et rationaliser la gestion des données de consentement. On dénombre aussi plusieurs initiatives pour proposer une sémantique autour des CGU et des consentements, afin que puissent émerger des services sur ces données (présentation uniformisée, agents intelligents de négociations de conditions …).

    Robert Madge nous rappelait également que pour une entreprise, dans la plupart des cas, il suffisait de supprimer les données personnelles, pour supprimer les charges et risques associés. De l’autre côté, Stuart Lacey et son entreprise proposent leur solution pour mieux gérer les consentements, et ainsi permettre d’améliorer la relation des services avec leurs utilisateurs, charge ensuite à l’utilisateur de mieux capitaliser ses “biens” (oui, il parlait de données personnelles. Nous y reviendrons).

    t&C_kinggafa

    (« King GAFA and the Magical 0-1 Crop » un projet d’un collectif de designer)

    Mais de quoi parle-t-on en fait ?

    La conférence MyData, c’est heureusement également un temps qui permet de prendre un minimum de recul sur deux types de visions : d’une part, celle de nombreux fournisseurs de services, où le consentement est une simple étape imposée par la réglementation, qui se résout via des dispositifs techniques et d’autre part, la vision des utilisateurs militants, qui voient le consentement comme une arme de défense.

    La présentation de Richard Gommer (“Designing for meaningful consent”) prenait un peu de hauteur sur le sujet. Déjà, en replaçant le consentement dans le contexte global de la relation entre le service et l’utilisateur (qui est souvent celle entre l’entreprise et son client), dépassant l’écueil où l’on cherche uniquement à comprendre pourquoi l’utilisateur n’a pas cliqué sur la case de consentement, plutôt que de comprendre pourquoi il n’a pas consenti. R.Gommer démystifie l’aspect numérique de ces interactions, en replaçant ces interactions « en ligne », comme faisant partie du monde réel : le privacy paradoxe (se dire inquiet de sa vie privée en ligne, mais ne rien faire pour se protéger) n’est alors pas plus paradoxal que la difficulté à arrêter de fumer, ou celle de suivre un régime. Pour lui, le consentement est une interaction avec l’utilisateur, que celui-ci peut voir comme un moment de choix, d’approbation du service : « je donne mon consentement, car je souhaite utiliser le service » ou au contraire « jusque là je n’étais pas très intéressé, ou je n’avais pas bien compris ce que faisait ce service, alors non, je ne suis pas intéressé de poursuivre l’expérience, je ne donne pas mon consentement ». Richard Gommer pousse alors un outil très simple pour changer l’état d’esprit des concepteurs de service : changer les « metrics » qui guident les concepteurs :
    1) Thoughtfulness VS speed (la prévenance plutôt que la vitesse),
    2) Dropability vs retainment (la propension à l’abandon plutôt que la rétention),
    3) Consentfulness VS sign-ups (le consentement plutôt que les inscriptions)

    Pour poursuivre sur la démystification, la même session a donné la parole au Dr Frances Burns et à Elizabeth Nelson qui nous exposent leurs recherches sur l’opinion des individus par rapport au traitement de leurs données personnelles, et au consentement. Dans le cadre d’un grand programme d’étude du gouvernement sur la santé des personnes âgées de plus de 50 ans en Irlande du Nord, les chercheurs ont été amenés, comme la loi au Royaume-Uni le leur permet, à croiser ces données médicales avec d’autres données personnelles, détenues par l’État (impôts, domicile, revenus …). Dans un souci de transparence, les deux chercheuses ont réuni quelques personnes de ce panel (~20) pour leur présenter ce qu’elles souhaitaient faire avec leurs données personnelles, dans quel but, avec quelles mesures de précaution, etc, puis leur ont soumis un questionnaire pour recueillir leur consentement. Les résultats furent quasiment unanimes : “oui vous pouvez réutiliser nos données. Mais pourquoi avez-vous attendu tout ce temps pour le faire !?” Cette expérience montrant que si les personnes ont confiance dans le responsable de traitement (au Royaume-Uni, 90% des individus ont confiance dans l’état, 50% dans les NGOs, et 40% dans les entreprises quant au respect de leurs données personnelles) et si la finalité est comprise et approuvée par les individus, alors ceux-ci sont enclins à accepter l’utilisation de leurs données personnelles.

    Ces deux présentations viennent appuyer les constatations que nous avons pu faire au cours du projet MesInfos. Notamment les résultats de recherche de l’expérimentation MesInfos (2014), qui faisaient apparaître que le facteur le plus décisif, était bien celui de la confiance de l’utilisateur dans sa propre maîtrise d’internet : moins ils maîtrisent cet aspect, plus l’étendue de la confiance qu’ils doivent accorder aux services est importante.
    Les services n’ont d’autre choix que de construire une relation de confiance pour engager leurs utilisateurs. La confiance c’est se mettre en situation de vulnérabilité, avec optimisme. L’utilisateur se sent déjà en situation de vulnérabilité du fait du manque de maîtrise sur le potentiel et la portée de ses actes sur les dispositifs numériques, or c’est dans cette situation là qu’on lui demande d’accorder sa confiance aux services, en lui demandant de se dévoiler, de fournir un consentement pour permettre au service de s’immiscer dans sa vie privée.

    Après un tel tableau, on comprend mieux que le consentement éclairé semble difficile à obtenir. C’est le rôle de ces nouveaux outils (comme ceux cités plus haut) : redonner un peu de pouvoir à l’utilisateur. Mais ce sont bien les services eux-mêmes qui ont le plus d’opportunités de se montrer dignes de confiance. Le coeur de la question reste bien évidemment la finalité : est-ce que le service qui a besoin de ces données personnelles est réellement intéressant ? Par exemple, est-ce que donner l’information des lieux où je suis, l’accès à mes photos, pour permettre l’affichage plus ciblé de publicité, m’intéresse vraiment ? Encore une fois, il ne s’agit pas de négocier sur le prix de vente du droit à l’image de mon chat, mais bien de décider si l’on laisse un inconnu intangible toucher à notre vie privée (comme me le rappelait vivement Christophe Benavent, membre de l’équipe recherche MesInfos, entre deux conférences).

    Le GDPR, n’est pas nécessairement une grande avancée pour les droits des individus, c’est surtout un constat de l’absence de respect qui est peu à peu devenu la norme des relations entre services numériques et usagers ; mais souvent aussi entre les entreprises et leurs clients grand public. Tout dépendra de ce que les acteurs (entreprises, acteurs publics, startups, concepteurs de services…) en feront. Espérons qu’il aidera ou sera le contemporain d’améliorations qui permettront réellement de faire progresser le sujet de la confiance, et donc du consentement “éclairé” et ne rajoutera pas seulement de nouvelles clauses dans les CGU et de nouvelles bannières sur les sites…




    Article importé: http://mesinfos.fing.org/retour-sur-mydata-2017-consentement-eclaire-all-im-askin-is-for-a-little-respect/
    Par: Guillaume Jacquart
    Publié: November 2, 2017, 12:37 pm

  • Des avancées locales et nationales pour le Self Data ?

    La Fing co-organisait pour la seconde année consécutive la conférence MyData2017, qui se tenait du 30 août au 1er septembre dernier, à cheval sur deux villes : Tallinn et Helsinki.

    Nous vous proposons de revenir sur quelques-uns des enseignements ou faits marquants de cet événement. Cet article se concentre sur la valeur sociale et sociétale des données, c’est la deuxième partie de l’article publié il y a quelques jours.

    Sans doute davantage qu’en 2016, MyData2017 accordait une place aux institutions et collectivités qui commencent à s’engager sur la voie du Self Data.

    Des initiatives nationales sectorielles : Self Data or not Self Data ?

    Trafi, l’agence nationale finlandaise des transports, positionne sa stratégie actuelle en lien avec MyData. Kirsi Pulkamo, de Trafi, explique que l’agence poursuit actuellement plusieurs objectifs autour des données : fournir un accès plus simple aux données pour les individus, permettre de nouveaux services autour des données et soutenir des expérimentations innovantes. Faciliter l’accès aux données pour les individus semble dans ce cas autant concerner des données de transports (il s’agit cependant davantage d’accès à de l’information) que des données personnelles : accéder à ses données de permis de conduire par exemple, via un portail “MyData e-services”. Ces données personnelles pourront si les individus le souhaitent, être transmises automatiquement à des compagnies de location de véhicules, pour leur faciliter les démarches de location. Un use case très “Self Data”, en somme…!

    Le positionnement de l’agence est cependant moins clair sur les autres volets. Permettre l’émergence de nouveaux services basés sur les données passe ainsi par une collaboration directe entre Trafi et des entreprises tierces, sans que l’individu ne soit remis au centre de la relation… Une confusion entretenue durant l’événement par d’autres interventions, qui passent du sujet “données” au sujet “données personnelles” (et vice-versa) un peu facilement, à l’image d’un intervenant qui présentait Xroad, la grande infrastructure d’échange de données de l’Estonie (n’oublions pas que l’Estonie est la pays de la dématérialisation des services et se qualifie volontiers de “e-Estonia”, ce qui signifie que beaucoup de données circulent !). L’infrastructure Xroad est en train de s’ouvrir à la Finlande. Si celle-ci peut permettre aux individus de transférer certaines de leurs données d’un pays à l’autre et d’utiliser de nouveaux services, il est difficile de savoir à l’issue de cette présentation dans quelle mesure cette infrastructure leur permet réellement de retrouver la maîtrise de leurs données ou si elle est simplement un nouveau “tuyau” pour transférer de la donnée entre organisations, sans qu’ils n’y jouent aucun rôle.

    En Islande, c’est dans le domaine de la santé que la piste MyData est explorée, avec le déploiement national du Portail Patient unique (Heilsuvera.is), lancé en 2014. Compte tenu de la topologie particulière du pays (relativement rural, avec des zones isolées), il est essentiel d’avoir un système permettant une prise en charge rapide des patients et donc permettant aux professionnels de santé d’avoir accès aux dossiers médicaux des patients en cas d’urgence. A priori, ce système ne semble pas très éloigné – dans l’intention – du DMP français (Dossier Médical Partagé), qui vise avant tout la coordination des professionnels de santé. Les individus peuvent accéder à une copie de leurs données de santé (allergies, historique des prescriptions, vaccinations, visites…), ainsi qu’à un ensemble de services (prise de rendez-vous en ligne, messagerie sécurisée, renouvellement d’ordonnances, gestion des préférences de donneur d’organes). D’un simple portail, le dispositif devrait évoluer prochainement, puisque le Ministère de la santé Islandais est actuellement en train de développer une API en lien avec digi.me, qui permettra aux individus d’utiliser leurs données du portail grâce à des services tiers (hors portail), mais aussi d’utiliser des données issues de mesures qu’ils auront eux-mêmes effectuées. L’individu devrait donc être davantage au coeur du dispositif à l’avenir. Un bémol tout de même : encore une fois, la question du consentement reste absente, reléguée au rang de “non-problème” : les données des individus sont accessibles de fait à tous les professionnels de santé qui peuvent accéder au portail.

    cities_mydata

    (table ronde « Cities driving for Personal Data » lors de MyData2017)

    L’émergence du sujet Self Data dans les stratégies data des villes

    Francesca Bria le disait précédemment, avancer vers un modèle de gestion de données davantage centré sur l’individu (en somme, vers le Self Data) nécessite de travailler à plusieurs échelles. Et les collectivités peuvent être motrices en la matière, comme le laissait supposer l’intitulé d’une des sessions de MyData2017, “Cities driving for personal data”. Les grandes villes déploient aujourd’hui de vastes stratégies en matière de données.

    Pour le Grand Lyon, les enjeux d’une stratégie claire en termes de données sont multiples : améliorer les politiques publiques, optimiser le fonctionnement de la ville, placer les citoyens au coeur de l’action publique et casser les silos (notamment de données), outiller l’engagement citoyen, appuyer le développement économique… Le tout en assurant le respect de l’intérêt général et en protégeant les données personnelles. Sur ce dernier sujet, le Grand Lyon participe actuellement activement au pilote MesInfos mené par la Fing, en s’appuyant sur le Tuba (un lieu de croisement entre industriels, startups, étudiants, citoyens autour des données), en mobilisant des testeurs localement et en restituant prochainement des données à ces citoyens-testeurs (consommation d’eau).

    Les enjeux pour Barcelone sont relativement proches : il s’agit de mettre au coeur de la stratégie data de la ville les principes de transparence, de respect de la vie privée, de souveraineté numérique, de sécurité des données et d’un usage éthique des données pour l’innovation, mais aussi d’aller vers de “l’open”, notamment en termes d’architectures. Francesca Bria, dans une seconde intervention lors de l’événement, égrène ainsi pêle-mêle quelques-uns des aspects de cette stratégie données menée par la ville : portail open data, budget ouvert et participatif, outil de lutte contre la corruption…  Mais en matière de données personnelles et de Self Data, les avancées de la ville semblent à ce jour modestes, et se résument peu ou prou à son engagement et ses actions déjà mentionnées dans le cadre du DECODE project : comment construire les outils et l’infrastructure permettant aux individus de maîtriser l’usage et le partage de leurs données ?

    Hervé Groléas – directeur de la DINSI du Grand Lyon – évoque quant à lui un enjeu au coeur du Self Data, particulièrement important pour les collectivités qui s’engagent dans cette voie : la nécessité de diversifier le marché des plateformes/PIMS (Personal Information Management Systems) si l’on souhaite éviter la reproduction du système actuel, dans lequel les individus sont souvent captifs des plateformes qu’ils utilisent. Éviter les monopoles est également important pour empêcher qu’une plateforme dominante ne fasse payer des frais trop importants aux fournisseurs de services, ce qui nuirait aux écosystèmes locaux, dans le cas d’une démarche Self Data territoriale. La collectivité peut donc choisir d’encourager le développement de plateformes “neutres” et open-source, pour contrer ces risques.

    lyon_mydata

    (Hervé Groléas lors de MyData 2017)

    Données personnelles ou non personnelles, toujours est-il que la mise en place de stratégies “data” transverses nécessite un véritable changement culturel en interne chez les acteurs publics, nous dit Francesca Bria, même pour une ville comme Barcelone qui s’est déjà doté d’un service spécialisé dans l’analyse des données (un “Mayor’s Office for Data analytics” qui existe également dans d’autres villes comme New York). Le sujet des données personnelles est tout récent sur l’agenda des collectivités territoriales, souvent focalisées sur l’ouverture de leurs données ou sur les possibilités ouvertes par le Big Data ; leur prise de conscience des enjeux du Self Data est pour elles encore très embryonnaire. Pourtant, les exemples de Barcelone et du Grand Lyon montrent bien la pertinence, pour une collectivité locale, d’être active sur le sujet, dans un esprit d’intérêt général : il s’agit pour elles de remettre leurs citoyens en capacité de comprendre et de maîtriser leurs données, d’en faire des acteurs engagés dans la coproduction de nouveaux services locaux, tout autant que de stimuler l’innovation.

    L’engagement de projets publics nationaux ou territoriaux se rapprochant (plus ou moins) de l’esprit du Self Data montre l’appétence de ces acteurs pour le sujet, tout comme leur volonté d’expérimenter ; leur présence sur scène cette année n’est pas anodine, et laisse à penser que c’est sans doute par ces initiatives que passera le développement du Self Data.




    Article importé: http://mesinfos.fing.org/mydata-un-empowerment-individuel-ou-collectif-22/
    Par: Marine Albarède
    Publié: October 25, 2017, 4:43 pm

  • Capture d___e__cran 2017-10-19 a__ 16.54.45

    Nous vous invitons le mardi 7 novembre à 18h au Tuba (Lyon) pour une conférence autour du Self Data et du pilote MesInfos.

    Depuis deux ans, la Fing porte un projet pionnier : le pilote MesInfos, qui implique de grandes organisations partenaires partageant avec leurs clients/usagers les données dont elles disposent sur eux. Le pilote MesInfos incarne la dynamique Self Data en France et permet à des milliers de testeurs de reprendre le contrôle sur leurs données personnelles.

    À l’heure où les données personnelles prennent une importance croissante dans l’activité des organisations, les individus, eux, réclament plus de clarté et de transparence. Au-delà des démarches de protection, qui demeurent indispensables, une autre voie se dessine, celle que nous appelons le Self Data : devenir l’acteur de ses données personnelles.

    Inscription

    —————————————————————————————————

    Quoi ? Conférence « Les enjeux du Self Data, tout savoir sur le pilote MesInfos »

    Où ? TUBÀ -1 Place Charles Béraudier, 69003 Lyon

    Quand ? Le mardi 7 novembre à 18h




    Article importé: http://mesinfos.fing.org/711-a-18h-conference-self-data-tubalyon/
    Par: Manon Molins
    Publié: October 23, 2017, 2:49 pm

  • La Fing co-organisait pour la seconde année consécutive la conférence MyData2017, qui se tenait du 30 août au 1er septembre dernier, à cheval sur deux villes : Tallinn et Helsinki.

    Après une premier article d’introduction, centré sur le réseau MyData – son organisation, ses principes et ses malentendus – nous vous proposons de revenir sur quelques-uns des enseignements ou faits marquants de cet événement.

    MyData : vers des individus “point d’intégration de leurs données personnelles”

    En baptisant “MyData” le mouvement qu’ils étaient en train de créer il y a quelques années, puis l’événement dédié, les chercheurs finlandais de l’université d’Aalto (Helsinki) ont pris le parti d’une sémantique quelque peu centrée sur l’individu. Ils n’étaient pas les premiers, le gouvernement britannique ayant lancé en 2011 MiData, alors que la Fing lançait quelques mois plus tard le projet MesInfos. Les enjeux étaient de taille : comment redonner à l’individu la maîtrise de ses données personnelles, comment rééquilibrer la relation entre les organisations sur-outillées pour collecter et traiter des informations et des individus totalement démunis face à elles ? Si les organisations ont déjà des systèmes d’information et des outils de CRM, à quoi pourraient ressembler les systèmes d’information personnels des individus ? Quels usages un individu pourrait-il faire de ses données, s’il y accédait réellement ? Pour toutes ces raisons et pour faire progresser la réflexion collective sur le sujet, il semblait (et semble toujours) pertinent de s’intéresser aux individus.

    Mais l’an dernier déjà, Valérie Peugeot, qui clôturait la conférence MyData2016, pointait les limites de cette approche. Et si se focaliser sur des individus plus responsables de leurs données nous conduisait à leur faire retomber toutes les responsabilités dessus ? “Tout le monde ne veut pas ou ne peut pas prendre de telles responsabilités quotidiennes”, prévenait la chercheuse.

    “Quel poids de l’individu isolé dans un monde où le pouvoir est fondamentalement asymétrique ? Si ce transfert de responsabilité a lieu sur des individus isolés, ne renforçons pas cette asymétrie ?” (Voir le billet MyData 2016 : convergences et tensions, quel bilan de l’événement)

    L’édition 2017 de l’événement tentait de combler les limites de cette approche en interrogeant la dimension collective du modèle MyData (que nous nommons Self Data en France).

    Privacy et données personnelles : des concepts “personnels”, vraiment ?

    La chercheuse Linnet Taylor, s’intéresse avec ses collègues de l’Université de Tillburg (Pays-Bas) à la notion de group privacy. Elle pointe l’accélération du profiling d’une part, et d’autre part le fait que le système actuel – y compris réglementaire (RGPD notamment) – se focalise totalement sur les données personnelles. Cette focale se justifie par l’hypothèse que l’on peut “dé-identifier” complètement certaines données.

    linnet_taylor

    (Linnet Taylor à MyData 2017: https://www.youtube.com/watch?v=BsZ05MVFXLU)

    Mais cette hypothèse présente des limites fortes, selon la chercheuse. Comme le leurre du contrôle pour l’individu (au coeur du modèle libéral de gestion des données) et certains risques : même lorsqu’il n’y a pas forcément de réidentification, les systèmes peuvent dire beaucoup d’une foule ou d’un groupe, leurs pratiques et préférences, leurs mobilités, s’ils sont un danger ou pas… et sur ce point-là, l’illusion du contrôle s’efface : nous n’avons pas notre mot à dire, en tant qu’individu, face à ces traitements.

    Contrairement à une approche classique, qui laisse imaginer qu’un groupe est un ensemble de “privacies” attachés à des individus, la perspective des data analytics raconte qu’un groupe est un ensemble fluide, basé sur une catégorie déterminée. Les individus dans le bus, les individus prêts à payer tant d’euros pour tel produit, etc. Les data analytics identifient des “types”, en s’appuyant sur des proxies (proximités/interrelation) : par exemple, les personnes dont les enregistrements des GPS suggèrent qu’ils sont musulmans parce que des récurrences sont détectées à certaines heures de la journée lors des heures de prière.

    Et ce qui pourrait donner lieu à des analyses sans conséquence est en réalité loin d’être innocent. Même si une photographie ne contient pas de données personnelles, elle peut avoir des conséquences dramatiques pour certaines personnes ou groupes de personnes, nous dit la chercheuse en prenant l’exemple d’une photo aérienne montrant des huttes brûlées ou non au Soudan, qui est venue appuyer les tensions locales.

    La chercheuse termine son intervention en dissociant bien ce que recouvre “my data” (mes données : des données qui me concernent – comme mon historique de géolocalisation, mes données de téléphone – et des données qui concernent les gens qui me ressemblent, comme l’affiliation politique ou le facteur de risque), et ce qu’est “our data”. Une notion complexe, qui renvoie à notre processus de construction identitaire, à notre liberté et notre autonomie (Floridi 2013), à des informations qui peuvent être anonymes, qui disent des choses sur des groupes, réseaux, villages…

    Mais alors, est-ce que le concept de MyData est vain, est-ce que la perspective du contrôle des individus sur leurs données restera un mirage ? Pas totalement nous dit la chercheuse ; certes, le concept de MyData est centré autour de la notion de donnée personnelle, mais il peut donner des prises collectives pour comprendre les données et contribuer à poser les bases d’une prise de conscience et d’actions politiques, et est en cela très positif et important.

    => Retrouvez les publications de Linnet Taylor : Linnettaylor.wordpress.com

    Données personnelles et données non personnelles : comment construire des approches collectives de l’empowerment autour de nos données ?

    Parler d’empowerment sur la base de ses données n’a rien d’une évidence, puisque d’un côté existe une approche très individuelle (données, privacy, droits) et de l’autre un concept – l’empowerment – bâti originellement sur une approche collective et communautaire, nous dit Valérie Peugeot, chercheuse s’intéressant depuis longtemps au sujet des communs. Par ailleurs, comme l’évoquait Linnet Taylor, la vie privée peut être menacée même lorsque les données sont agrégées ; dans le même temps, il n’est plus tellement certain qu’internet soit l’internet utopique des débuts, qui devait redistribuer des capacités d’action… Bref, pour toutes sortes de raisons, données personnelles et empowerment – un couple au coeur du modèle Self Data/MyData – ne vont pas obligatoirement de pair.

    “Il faut aller au-delà de l’idée que les individus n’ont pas leur mot à dire une fois les données anonymisées, alors que la plupart des données sont coproduites !” nous dit la chercheuse. Il nous faut penser en termes de cycle de vie des données. Une piste intéressante se profile pour que la valeur d’usage des données soit réellement partagée, notamment entre les individus, celle des “communs de données”, par exemple : Open Health en France, Data for Climate Action…  des modèles à l’opposé de certains modèles “anti-communs”, comme celui d’Airbnb, qui ne veut pas partager ses données, alors même qu’elles seraient utiles pour les autorités publiques.

    Mais comment sortir de la situation actuelle de non-valeur, avec une majorité de modèles “anti-communs” ? Valérie Peugeot évoque au moins 3 scénarios : si des “datactivistes” libèrent les données de systèmes d’information, si les autorités publiques en font une obligation, ou si les individus eux-mêmes apportent leur aide pour fournir volontairement des données personnelles “dé-anonymisées” (ex. midata.coop en Suisse). Tout l’enjeu est de bâtir cette “capacité collective” autour des données, afin que celles-ci aient une réelle valeur sociale… Il est d’ailleurs tout à fait possible que des individus décident de partager des données personnelles si celles-ci peuvent bénéficier au bien commun (par exemple les fournir à une ville), mais si ce sont eux qui le décident, et sous un régime leur assurant la dé-identification de leurs données !

    OURDATA AND MYDATA

     

    logo_ourdata_Mydata_crop

    Peter Wells, de l’Open Data Institute, prolongeait ces réflexions, allant même jusqu’à parler d’une nécessaire “relation de symbiose” entre les données personnelles et les données “collectives” (MyData et OurData) à construire ; évoquant (avec un certain humour anglais) la carte des données de l’expansion du choléra réalisée par John Snow au 19e siècle, basée sur le recensement de tous les cas et ayant permis d’identifier la source de la contagion.

    Des pistes territoriales pour impulser la création de communs de données

    Quelques initiatives visant à créer des communs de données, tout en impliquant activement des citoyens, commencent à voir le jour ; outre celles évoquées par les intervenants déjà cités. Francesca Bria, Chief Technology and Digital Innovation Officer de la Ville de Barcelone, était à MyData pour présenter le DECODE Project, qui vise à assurer la souveraineté des individus sur leurs données.
    Le DECODE (Decentralised Citizens Owned Data Ecosytem) project est un projet Européen rassemblant des partenaires publics et privés, des acteurs de la recherche et deux municipalités activement impliquées, Barcelone et Amsterdam, afin de bâtir des approches des données personnelles autres que celles du paradigme aujourd’hui dominant : des individus cibles des traitements, point. Il s’agit ainsi dans ce projet d’imaginer un cadre et des outils qui leur donnent le contrôle de leurs données personnelles, qu’ils souhaitent les conserver pour leur usage personnel ou les partager dans un objectif de bien commun.

    Pour avancer sur ce chemin, nous dit Francesca Bria – qui navigue dans sa présentation entre le sujet des données personnelles et celui des communs de données – il est nécessaire de travailler et de réfléchir à plusieurs échelles (celle de la ville, de l’Etat, de l’Europe… pour avoir du poids face à des modèles de plateformes américaines), mais aussi de rassembler des acteurs divers : municipalités, chercheurs, juristes, entreprises technologiques, etc. Et le cadre de collaboration doit reposer sur plusieurs piliers : l’existence de communs de données, un usage des données transparent et respectueux de la vie privée, des formes de régulation, des règles claires et partagées pour le partage de données, etc.

    francescabria_image

    (Francesca Bria à MyData 2017 https://www.youtube.com/watch?v=WDWFcLUMpJU)

    Nous devrions être, en tant que citoyens, en mesure de décider avec qui nous souhaitons partager nos données, selon quelles règles, à quel moment et pour quels buts/usages ; mais une souveraineté “réelle” sur les données ne se construit pas du jour au lendemain. Le cadre bâti et expérimenté par DECODE associe plusieurs briques : une plateforme open source, un OS, des smart contracts permettant d’assurer la traçabilité des échanges de données… Francesca Bria ne rentre pas dans les détails, mais explique que les défis sont autant techniques (comment construire des architectures de stockage de données distribuées ? des standards ouverts ?), socio-économiques, que sociaux : l’adoption de masse d’un contrôle accru sur les données par les citoyens n’est pas gagnée d’avance.

    Si le DECODE project semble explorer de nombreuses dimensions du sujet, Francesca Bria passe rapidement sur les chantiers menés à l’échelle européenne, s’attardant sur quelques exemples de réalisations barcelonaises menées dans ce cadre, puisqu’elle tente actuellement avec son équipe d’intégrer le projet dans une stratégie plus large de “Ville construite et pilotée grâce aux données” (Data Driven City). Dans la continuité de “smartcitizen”, projet de capteurs citoyens mené depuis plusieurs années dans la ville,  le projet MakingSense s’intéresse aux conditions de partage et de mise en communs de données émanant de capteurs citoyens ou de l’IOT, avec l’ambition de permettre aux individus de décider à qui et sous quelles conditions partager leurs données ; BCNow, sur un autre plan, vise à construire des tableaux de bord “personnalisés” à destination des citoyens, construits grâce à des communs de données.
    Francesca Bria achève son intervention en présentant deux plateformes collaboratives qui constituent elles-mêmes des communs : un réseau social local ouvert existant aux Pays-Bas, pour lequel Barcelone réfléchit à une déclinaison locale (Gebieonline), ainsi qu’une plateforme coopérative et équitable de logement entre particuliers, Fairbnb, qui constitue une alternative possible à Airbnb. Ces modèles de gouvernances partagées – parfois un peu loin du sujet des données – constituent d’autres pistes redonnant davantage de maîtrise aux individus.

    → retrouvez cette semaine sur notre Blog la deuxième partie de cet article “un empowerment individuel ou collectif ? (2/2) Des avancées locales et nationales pour le Self Data ?”




    Article importé: http://mesinfos.fing.org/mydata-un-empowerment-individuel-ou-collectif-12/
    Par: Marine Albarède
    Publié: October 23, 2017, 2:41 pm

  • 3 jours, 2 villes (Tallinn et Helsinki), plusieurs centaines de participants de pays différents, la deuxième édition de la conférence MyData a été l’occasion pour notre petite communauté de se retrouver, un an après la première rencontre. Mais de quelle communauté parlons-nous ? Qui se trouve derrière ce “réseau” MyData et quels objectifs poursuivons-nous ?

    Pendant 3 jours, chacun a pu trouver son bonheur : juriste, designer, technicien, acteur public, privé, professionnel de la donnée, du marché, du RGPD… Il y’en avait pour tous les goûts grâce aux 10 thématiques qui rythmaient la conférence, comprenant 2 à 3 sessions chacune (oui, 36 sessions sur 3 jours ! Un petit jeu sur le badge des participants nous aidait d’ailleurs à faire notre choix)

    Print

    Des envies et des objectifs communs

    La conférence MyData, c’est avant tout un programme collaboratif et ouvert. Qui le souhaite peut proposer un sujet, une session, un intervenant via un formulaire (“call for proposal”) disponible plusieurs mois avant l’événement. Sur la base de ces propositions, l’équipe éditoriale de la conférence (dont la Fing fait partie) a élaboré plus d’une dizaine de thématiques : RGPD (Règlement Général sur la protection des données personnelles) ; Consentement ; Design ; Éthique ; …

    Imaginez un peu : à un mois de l’événement nous étions 120 à faire partie de l’équipe de programmation, soit en tant qu’organisateur d’une thématique, d’une session, comme intervenant, comme animateur, comme assistant ou encore en qualité de conseiller ponctuel.

    Cette conférence, c’est donc l’occasion d’échanger régulièrement, plusieurs mois avant l’événement, sur l’organisation des 3 jours, certes, mais aussi sur des sujets de fonds. De confronter nos expériences, nos attentes et de créer des synergies nouvelles. C’est ça la communauté MyData. On s’y perd un peu sur Slack, Trello et dans les mails parfois, si nos raisons sont parfois différentes (militantisme pour certains, recherche de position stratégique, de nouveaux marchés pour d’autre, etc), nous sommes tous là avec un objectif, changer de paradigme : un modèle où les données personnelles sont entre les mains des individus qu’elles concernent.

    > Une gouvernance qui se solidifie
    “Avons-nous avancé en un an ?” C’était le titre de l’intervention d’introduction à Tallinn par Antti Poikola d’Open Knowledge Finland, l’un des acteurs les plus actifs derrière MyData. Sans surprise, nous avons encore du chemin à parcourir. Mais la naissance d’un réseau et sa solidification nous permettent d’envisager la suite plus sereinement. Des organisations en Espagne, au Brésil, au Japon, en Italie, au Danemark, en Suisse, en Estonie, en Finlande et, bien sûr en France – via votre humble serviteur, la Fing – se reconnaissent dans les mêmes valeurs et principes. Suffisamment pour se regrouper sous la bannière “MyData”. C’est la naissance des “Local Hubs” : chacun porte, via des publications, des expérimentations, des projets de recherche, le message d’un nouveau modèle de gestion des données personnelles. La plupart de ces hubs locaux, rejoints par des complices ou curieux, se retrouvent lors de rencontres trimestrielles à travers l’Europe. Depuis la fin 2015, tous les trois à quatre mois, entre 30 à 50 acteurs du milieu – depuis de grandes organisations privées et publiques jusqu’aux startups qui proposent des outils pour que les individus soient maîtres de leurs données – se sont retrouvés à Bruxelles, Paris, Helsinki, Londres, Berlin, Tallinn, et bientôt, le 23 novembre prochain, à Aarhus au Danemark (les rencontres sont bien évidemment ouvertes. Inscription ici). L’occasion d’échanger, de partager nos avancées et pourquoi pas de monter des projets ensemble. Ce sont ces rencontres qui ont donné naissance à la MyData Declaration : un texte qui clarifie les principes qui nous rassemblent, que chacun peut signer, en son nom ou au nom de son organisation et qui permet d’affirmer publiquement notre engagement et notre réseau. La gouvernance de ce réseau se concrétise à grands pas. A terme cela nécessitera la création d’une organisation légère qui jouerait un rôle de fédérateur, d’attracteur de nouveaux projets et de porte-voix pour ses membres.

    > Un concept qui grandit
    La conférence MyData de l’année dernière s’était conclue par la synthèse de Valérie Peugeot, qui nous a permis de pointer certaines limites. A travers la sémantique employée (“MyData”, the” internet of me”, “the person is the platform”,  “API of me”, “Me-ecosystem”), les participants s’étaient beaucoup focalisés sur l’individu, en oubliant souvent l’aspect collectif des données et la nécessité de penser les données personnelles comme un outil d’empowerment individuel oui, mais également social. Cette année, ce sujet a été beaucoup évoqué, amenant de nouveaux acteurs et de nouveaux enjeux à la communauté. Contrairement à l’année précédente, de nombreux territoires étaient par exemple présents. La session “National Governments moving towards Mydata” a permis de pointer vers plusieurs projets : en Islande, avec le travail réalisé par l’Etat autour des données de santé ; en Finlande avec l’agence publique pour les transports sur les données de mobilité ; ou à Barcelone avec le Decode Project (multipartenarial). La thématique “Our Data”, inédite cette année a également permis d’évoquer cette question sociale et sociétale de l’économie de la donnée au travers d’interventions sur la souveraineté des données, les communs des données, ou encore la notion de group privacy par Linette Taylor, qui a fait sensation. Vous pourrez retrouver très bientôt sur ce blog deux articles “MyData : un empowerment individuel ou collectif ?” pour explorer plus en détail ces aspects.

    > Le consentement, des progrès notables ?
    Sujet phare de la communauté MyData depuis ses débuts, la question du consentement n’a pas fait défaut cette année. Le “Self Data” suppose que les individus puissent exprimer leurs préférences et leur volonté quant à l’usage des données personnelles qu’ils détiennent désormais, vis-à-vis des applications qu’ils choisissent d’utiliser et auxquelles ils choisissent de soumettre certaines données, sous certaines conditions. Or le soin apporté au recueil du consentement est souvent délaissé actuellement, les Conditions Générales d’Utilisation (CGU) ne représentent pas, dans la plupart des cas, un véritable choix pour l’utilisateur. Comment permettre aux individus de contrôler ce qui est fait de leurs données ? Une thématique entière était dédiée à ce sujet lors de la conférence, au titre sans équivoque : “Making Consent work”. Le prochain article “Retour sur MyData 2017” se propose donc de se concentrer sur les nouvelles contraintes juridiques autour du consentement (présentes dans le Règlement Général sur la protection des données personnelles – RGPD), sur les multiples solutions présentées lors de la conférence et essaie de prendre un peu de recul sur le sujet grâce aux différentes interventions sur ce thème.

    > Des cas d’usage plus aboutis
    Le concept Self Data/MyData s’explique rarement mieux qu’avec un exemple. Il nous a donc semblé nécessaire dès le début de la mise en oeuvre du programme d’avoir une thématique entière consacrée au cas d’usages et surtout au partage d’expérience. Nous avons donc demandé à la communauté MyData élargie de soumettre les exemples qui leur semblaient les plus emblématiques, les plus avancés ou encore les plus prometteurs. Nous avons eu un nombre impressionnant de suggestions, et avons sélectionné un petit échantillon d’une dizaine de porteurs de projet, chercheurs, startupers qui ont “pitché” leurs cas d’usage en 7 minutes chacun (vous pouvez retrouver les vidéos des présentations sur ce lien). Trois gagnants ont ensuite été désignés par le public pour mettre en avant l’aspect concret de MyData. Ils sont révélateurs du contexte actuel, de notre point d’avancement et de la diversité des acteurs de la communauté : Enedis, le principal distributeur d’électricité en France met en place les canaux de transmission pour permettre aux individus de transmettre leurs données de consommation (compteurs connectés Linky) à des services tiers qui leur fourniront ensuite une valeur d’usage sur ces données ; Digime, une startup de gestion de ses données personnelles propose un espace d’administration de ses données de santé ; Andy Brooks, un chercheur de l’université de Californie, Berkeley a étudié l’entreprise finlandaise Suunto (objets connectés) et l’environnement très “MyData” qu’elle a conçue il y a plus de 10 ans. Ces trois gagnants et dix use cases ne représentent cependant qu’une petite partie des cas d’usage du mouvement. Nous avons profité de la conférence pour afficher un segment plus large via une cartographie collaborative designée par le média “Internet of Me” et basée sur une version initiale publiée par la Fing en ligne. Elle reprend les 7 domaines d’usage qui ont été conçus pendant l’expérimentation 2013 de MesInfos, enrichie de 150 services, prototypes ou concepts qui démontrent que nous pouvons déjà faire des choses avec nos données.

    mydatacaseuniverse

    (En ligne : http://mesinfos.fing.org/cartographies/usecases/)

    Encore quelques malentendus à dissiper

    > L’inévitable question de la “propriété des données”
    Comme l’année dernière, nous avons sursauté lorsque nous avons entendu à de multiples reprises des phrases du type “les individus sont propriétaires de leurs données”, “il faut que les individus soient propriétaires de leurs données”… Comme nous le défendons dans MesInfos depuis le début, pour nous la question de la propriété n’est pas la bonne. Les données sont co-produites : par les organisations et par les individus. La question importante est donc la question de l’usage : les organisations peuvent déjà faire usage de nos données, il serait plus symétrique que nous disposions du même pouvoir. Le postulat de la propriété des données est d’ailleurs potentiellement dangereux, car il supposerait que les données personnelles puissent être un bien cessible… ce qui reviendrait à dire que les individus pourraient abdiquer de leurs droits sur leurs propres données.

    > Un problème de sémantique et de cadrage ?
    Nous l’avons vu, l’utilisation du terme MyData avait déjà prêté à confusion l’année dernière : quid de l’aspect social et collectif des données personnelles ? Ne mettons-nous pas trop l’accent et la responsabilité sur les individus ? Le “my” n’évoque-t-il pas trop la propriété ? Concept trop précis pour certains, trop large pour d’autres, le périmètre de MyData peut prêter à confusion (c’est  d’ailleurs l’une des raisons pour laquelle nous utilisons de notre côté le terme Self Data, plus inclusif). Certaines des initiatives présentées lors de la conférence n’étaient pas forcément très compatibles avec ce que nous mettons nous derrière le terme. Comme avec la conférence d’introduction par Siim Sikkut, le Chief Information Officer d’Estonie, présentant les multiples services numériques utiles aux citoyens mis en place par le gouvernement, sans jamais parler d’asymétrie informationnelle ou de consentement. Ou avec certaines présentations qui se concentrent sur la question de l’utilité des données personnelles agrégées et comment inciter les individus à les partager le plus possible. Ou encore la présence de quelques “databrokers” qui permettent aux individus de vendre leurs données personnelles, faux amis qui maintiennent un statu quo intenable. Bref, une représentation du concept parfois peu complémentaire avec la vision d’un monde où l’individu serait maître de ses données, dans le respect de sa vie privée. La multiplication des termes et éléments de langage autour du sujet n’aide d’ailleurs pas à sa prise en main par les acteurs et par les individus. Cette question fera l’objet d’un autre article de notre série “Retour sur MyData 2017”.

    > RGPD : la star du show
    Le RGPD (Règlement Général sur la protection des données personnelles) était sur toutes les lèvres des participants et sur la majorité des kakémonos de startups et entreprises présentées dans le hall principal. Si partout ailleurs il inquiète, à MyData 2017 il a été de nombreuses fois vu comme un levier d’innovation – particulièrement l’article 20 sur la portabilité, permettant aux individus d’’”emporter” leurs données. Il a cependant été malmené lors de nombreux ateliers et présentations, montrant encore une fois à quel point le sujet est sensible et demande un débat constructif et informé. Débats qui ne sont pas étrangers dans MesInfos, nous ayant même conduits à lancer un projet séparé pour faciliter la mise en oeuvre du droit à la portabilité (Rainbow Button / Datacess). Il est fort probable que l’année prochaine nous aurons un retour sur cette thématique, le règlement prenant effet fin mai 2018 ; seulement trois mois se seront écoulés, mais peut-être disposerons-nous déjà de cas et expériences relatifs à l’application du droit à la portabilité ?

    art20iscoming

    Un chemin à construire

    Ces quelques lignes ne représentent qu’une infime partie de tous les échanges qui ont eu lieu à MyData 2017. Les articles suivants iront plus loin sur la question du consentement, de l’aspect social des données et de la sémantique au sein du mouvement MyData, mais certaines thématiques telles que le design, les avancées techniques, l’éthique, les modèles de revenus, toutes évoquées pendant la conférence n’en sont pas moins importantes. Une chose est sûre : nous avons besoin de les explorer de manière collective, et le réseau MyData, qui fête tout juste ses deux ans, est un vecteur idéal pour cela.




    Article importé: http://mesinfos.fing.org/retour-sur-mydata-2017-la-naissance-dun-reseau-durable/
    Par: Manon Molins
    Publié: October 10, 2017, 10:10 am

  • MesInfos

    Startups, candidatez au challenge Self Data !

    Par MesInfos le 5 septembre 2017 Commentaires (1)

    Le pilote MesInfos initié en 2016 lance un Challenge Self Data afin de faire émerger des services & applications qui permettent aux individus de reprendre le contrôle sur leurs données.

    Coordonné par Cap Digital, 3 startups choisies en octobre, 70 000e de dotation, 3 mois pour développer : à vos marques, prêt ? Candidatez !

    – Les candidatures sont acceptées jusqu’au 22 septembre à midi sur le site http://www.poc-and-go.com/
    –  Kick off et réunion d’information du Challenge le 14 septembre matin chez Cap Digital, 75010. Inscriptions ici.

    banner_1600x900__3-logo_lhuquq

    Le pilote MesInfos, c’est quoi déjà ?

    En 2016-2017, La Fing lance le pilote MesInfos avec de grandes organisations publiques et privées partenaires pour implémenter concrètement le Self Data : l’empowerment des individus via leurs données.
    1) Chacun des 2000 testeurs du pilote reçoivent un Cozy Cloud (une plateforme et un espace de stockage privé et personnel)
    2) Plusieurs organisations (Maif, Orange, Enedis, GRDF, EDF, Grand Lyon, …) transmettent à chacun des testeurs (sur leurs Cozy) les données qu’elles ont sur eux. Les testeurs peuvent également ajouter plus de données à leurs Cozy (photos, fichiers, données bancaires …).
    3) Enfin, les testeurs pourront profiter de services disponibles sur l’app store de Cozy, pour tirer une valeur d’usage de leurs données

    Startups : c’est là que vous intervenez !

    Partager les données avec leurs clients est un pas énorme pour les entreprises (qui devront néanmoins s’y engager au-delà du pilote MesInfos d’ici mai 2018, afin d’être conformes au droit à la Portabilité instauré par le RGPD). Mais une fois qu’un testeur a récupéré ses données, les a stockées dans son Cozy, et a vu qu’en effet Orange, Maif, EDF, etc, disposent de beaucoup d’information à son sujet, il n’y voit pas beaucoup d’intérêt…

    Tout l’enjeu est donc de fournir aux individus des services utiles, aux fonctionnalités basées sur des croisements innovants de données encore jamais partagées.  En leur fournissant ce type de service, respectueux de leur vie privée, vous permettrez aux testeurs de reprendre le contrôle sur leurs données (Cozy propose des outils aux utilisateurs pour vérifier ce que les applications font avec leurs données et encourage les applications à effectuer les traitements dans le cozy : chez l’utilisateur).

    Nous lançons donc avec Cap Digital et nos partenaires le « Challenge Self Data » afin de soutenir le développement de ce type de services.

    Nous avons défini trois cas d’usage pertinents pour les testeurs du pilote MesInfos, nous espérons que l’un (ou plusieurs) d’entre eux vous parlera et que vous candidaterez au challenge :
    1) Agenda augmenté : assistant de la vie administrative, optimisation des déplacements, liens avec les données multimédias, système de recommandation, etc.
    2) Relation client réinventée : accès à l’ensemble de ses données personnelles clients et système d’interaction mutualisé avec les organisations.
    3) Réduction de l’empreinte carbone individuelle : accompagnement par l’analyse des données de consommation et stimulation par la proposition de défis personnels

    Pourquoi et comment participer ?

    En participant au Challenge Self Data vous pourrez bénéficier d’une subvention du PIA plafonnée à 70 000 € (montant cumulé partagé entre les 3 participants), rencontrer les organisations du projet pour profiter d’opportunités de partenariats et bénéficier d’un environnement idéal pour tester des manières de tirer parti du nouveau droit à la portabilité garanti par le RGPD.

    En effet, ce challenge vous permettra d’améliorer la fluidité de l’expérience utilisateur de votre produit en vous appuyant sur les données personnelles disponibles, ou même d’explorer des domaines inaccessibles sans ces données ! Les testeurs vous permettront alors de mettre au point ce service, qui pourrait ensuite être généralisé à d’autre plateformes, ou bien même adapté pour récupérer directement les données des partenaires dès mai 2018.

    Candidatez avant le 22 septembre sur http://www.poc-and-go.com/ (plus d’informations sur ce lien)

    ⇒ Le dossier de sélection doit comprendre une présentation du candidat (structure, activités, description) ainsi qu’une présentation de son projet et notamment :
    ◦    Un descriptif des solutions techniques analogues déjà développées
    ◦    Un descriptif des algorithmes, méthodes et outils que le candidat veut tester dans le cadre de ce Challenge
    ◦    Un descriptif des scénarios d’usage, fonctionnalités (wireframes, maquettes…) de l’application que le candidat propose de développer pour l’expérimentation

    Vous serez peut-être l’une des trois startups sélectionnées pour développer une application en 3 mois pour les testeurs du pilote MesInfos !

    Diapositive1




    Article importé: http://mesinfos.fing.org/startups-candidatez-au-challenge-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=startups-candidatez-au-challenge-self-data
    Par: Manon Molins
    Publié: September 5, 2017, 9:50 am

  • MesInfos

    You might have discovered MesInfos during MyData2017 conference. If you want to know all about the project, this blog post is for you !

    logoMesInfos2017_HDB2

    MesInfos project

    « If I (an organization) can use your data, you can too… however you please. » With this particular idea in mind, Fing and its partners launched the MesInfos project in 2012. The MesInfos project explores and implements the Self Data concept in France.
    What would happen if organisations that gather personal data actually shared those datasets with the individuals concerned? From this starting point, MesInfos has set out to explore what could be a real paradigm shift in the digital economy. We call it Self Data: the collection, use and sharing of personal data by and for individuals, under their complete control and designed to fulfil their own needs and aspirations.
    In 2016-2017, we decided to take actions so that the Self Data scenario arise from paper and experiments into reality. We have been leading the MesInfos Pilot since then – to gather organisations holding personal data, platforms/personal clouds, a territory, and an innovation ecosystem to pave the way for a concrete Self Data world (in which organisations are giving back data to their clients under no time limits). In 2017

    - Each of the 3000 testers will get a Cozy Cloud (Personal Cloud), thanks to the insurance provider Maif.

    - Several organisations (insurance, energy and telecom providers to start) will transmit the data they have on them directly to each of the Cozy Cloud, under their complete control.

    - The testers will then be able to add more data (photo, calendar, files…) to their Cozy and enjoy services to help them in gaining use value from their data (for instance services to better manage their lives, improve one’s self-knowledge, …).

     

    –> If MesInfos takes place in France and is mostly documented in French, we built a page with the key information and documents in English.

    –>Want to know more about Self Data ? The Self Data FAQ is made for you.

    –> You are asking yourself « The Pilot project was launched 1 year ago… but what have you been doing since then? », we wrote a blog post about this subject.

     

    MesInfos & MyData

    Fing – through MesInfos project team – is one of MyData conference founders and organizers, along with Open Knowledge Finland, Aalto University and Tallinn University.
    Our collective / cross-border journey began in 2015, when EU DG Connect organized a roundtable about PIMS topic. MesInfos project was invited; we met lots of people, projects, startups, researchers… in other words, this roundtable draw the first lines of a European Community on this subject. We met again and again in 2016 in different cities, helping OKF and Aalto University to design piece by piece the first event about MyData/Self Data model : MyData2016.
    In 2017, the European Community took a step forward : it’s not only about building a 1 shot event, but about building a movement that will last and grow. If MyData conference founders are still totally committed in organizing the event, we are also working with other members of the community on another front : we are participating in building an actual MyData Organization, with its principles, goals, governance…
    One of the first steps of this work is embodied into the MyData principles declaration. Here is an abstract of this declaration :
    « We are entrepreneurs, activists, academics, listed corporations, public agencies, and developers. For years, we’ve been using different words for what we do – MyData, Self Data, VRM (Vendor Relationship Management), Internet of Me, PIMS (Personal Information Management Services) etc, while sharing a common goal: to empower individuals with their personal data, thus helping them and their communities develop knowledge, make informed decisions, and interact more consciously and efficiently with each other as well as with organisations. »
    We are convinced that concrete pilot projects or experiments such as MesInfos (and others) can bring precious learnings that will help this movement to grow !




    Article importé: http://mesinfos.fing.org/mesinfos-mydata-everything-you-need-to-know-about-the-project/?utm_source=rss&utm_medium=rss&utm_campaign=mesinfos-mydata-everything-you-need-to-know-about-the-project
    Par: Marine Albarède
    Publié: August 28, 2017, 9:05 pm

  • MesInfos

    The MesInfos Pilot project – one year later

    Par MesInfos le 28 août 2017

    In early 2016, after four years of researching the ‘return of personal data to individuals’, we launched the MesInfos pilot with a clear goal in mind: move Self Data to the ‘next level’. Why, after many years of exploration and experimentation, did we feel it was time to change gears?

    We had three reasons.
    ●    We felt that the situation (people’s increasing distrust toward organizations – especially regarding the ways organizations use their personal data; the total asymmetry between them in terms of data access and processing capabilities, etc.) could not be allowed to last, and that the time had come to imagine a more sustainable economy and, above all, a desirable society.
    ●    We saw that a change was taking place: there was an ecosystem of services and platforms emerging around personal data (personal clouds, so-called ‘VRM’ services. etc.); more and more conferences were being held on the subject; we were having fruitful discussions with companies who shared our interest in conducting experiments or even creating strategies around Self Data; the European laws regulating personal data protection were evolving, the GDPR was passed, etc.
    ●    Finally, after four years of work with partners and collaborators – some of whom have been exploring the subject with us from the beginning – we knew that if we wanted to learn more about the future of Self Data (and its implications from a technical, organisational standpoint, as well as the uses we might find and the value it could offer to individuals, etc.), we had to move from theory into experimentation, and we launched this ambitious pilot project.

    The format we chose for this pilot was already – partially – tested in 2013 during a short, preliminary experiment using modest technologies (at that time we focused on data file transfer rather than developing an API to transfer data, for example). The goal of the present pilot was to get several large data-holding organizations around the same table and encourage them to return the data they hold to several thousand of their customers or volunteer test subjects (versus the 300 participants we had during the first experiment). To do this, it was necessary for potential testers to have dedicated tools that would enable them to receive, view, understand, store and reuse data with new third-party services (This is what we have termed ‘Self Data’). To give shape to this vision, we chose to collaborate with French personal cloud startup Cozy Cloud. Finally, since we wanted to broaden our knowledge of personal data use and value, we put together a team of researchers from various disciplines (sociology, marketing, ergonomics, etc.).

    A year has gone by. Where do we stand?

    A little more than a year after the launch of the pilot, what assessment can we make of it? It’s difficult to talk about our conclusions, considering that we are still in the middle of things. However, we have already learned a lot, especially about the challenges and difficulties inherent in personal data restitution by organisations. Much remains to be learned, as the majority of our pilot testers are not yet officially invested. So what happened during that first year?

    An in-depth study on making data available. Identifying appropriate data, setting up restitution procedures – which meant developing APIs, or relying on existing APIs – and documenting technology development efforts to make them ‘reusable by third parties’ was quite a long and involved process itself. But working on data restitution also means working on an overall framework (legal and technical), clarifying responsibilities in the data transfer chain and assuaging the concerns of data holders about making data available on the platform – especially in terms of security. Although holders are no longer responsible for the data once it is in the hands of individual testers (on their personal cloud) who can theoretically do what they want with it, restitution is still a jump into the unknown for organizations that have only just discovered Self Data. The ‘data’ area of the project is complex, and it took nearly 6 months to bear fruit.


    Getting from use cases to service prototypes proved to be a challenge. One of the pilot’s goals is to create use cases and Self Data services that testers can experiment with from their Cozy. This is perhaps one of the most complex aspects of the pilot, for reasons that we had already identified during the first experiment. There is the difficulty of attracting startups and entrepreneurs to an emerging market, especially on a new platform (Cozy in this case), the complexity of finding ways to approach a new subject and the quite limited scope of data being given back, which made it difficult to uncover rich cross-data use cases . . . Even though the work started about a year ago (producing about ten prototyped services), these complexities continue to be major obstacles that we still need to overcome. Remember: the Self Data ecosystem – beyond the pilot, in France and internationally – is still in its infancy.

    Platform evolution
    How were we to present not only personal data, but also this new ‘personal cloud’ space? Data visualization and personal clouds are familiar concepts for technophiles, but are alien to most people. Framing new concepts is always a challenge: how to make Self Data and personal clouds intelligible, appropriate and easy to use (among other things)? Cozy had to evolve its interface radically for it to be able to address the pilot’s wider audience.

    The evolution of the regulatory context: a green light – and a red one
    The MesInfos pilot was conceived from the outset as a collective project (explicitly involving partners in major decisions and project management) because Self Data development must necessarily be grounded in a wider ecosystem of data holders, personal data platforms, third-party services and individuals. We spent time reflecting on the evolution of this international ecosystem, the longer-term development prospects of Self Data, what should/could MesInfos become as of 2018 …

    All this was taking place within a shifting legal landscape, given that the (newly-passed) GDPR signaled major regulatory changes in terms of personal data, including granting individuals the right to data portability. The scope and limitations of this right were the subjects of intense debate between the autumn of 2016 and the spring of 2017. Article 29 of the GDPR has since provided a set of guidelines specifying data scope, data types and possible modalities of application. Article 29 has thus been the subject of many – sometimes paradoxical – debates between the actors involved in the MesInfos pilot, and more generally in the Self Data community. Should the scope of the data handed back and the data restitution process in the pilot be the same as defined by the right to portabiity? Does testing things in the pilot necessarily mean that organizations will have to implement these changes more broadly on long-term (after the pilot)?  How can we immediately get started on data portability modalities beyond the sample of 3,000? After all, in 2018, the right to portability will apply to all European citizens!

    To keep the MesInfos pilot on track, we launched a separate study that focuses exclusively on compliance with the right to portability legislation (how to support organizations implementing compliance measures and ensure that personal data offers value that can be shared equally by organizations and individuals?). The Rainbow Button project was born, and is advancing in parallel with the MesInfos pilot. While the MesInfos pilot aims to test, learn about and implement Self Data in a sandbox environment, the Rainbow Button project seeks to identify the specifications for a common framework (UX, technical, legal …) to guide compliance with EU portability legislation that takes effect in May of 2018. The MesInfos pilot and the Rainbow Button study are complementary and mutually beneficial. This work has taken a long time to mature, but is now truly beginning to take shape.

    What about the future?

    We set the bar very high. None of these projects is fully completed – much work remains to be done, especially on the service prototypes. The next few months will also be time for feedback, research, teaching, documentation and formalisation. Having discussed our experiences with other actors in the international Self Data ecosystem (MyData in Scandinavia and Europe, VRM elsewhere), we have come to realise just how unique and exciting the MesInfos pilot continues to be. That shift to the ‘next level’ will depend on how the personal data ecosystem takes shape beyond the MesInfos pilot, and on the long-term commitment of data holders. In this, the newly-legislated right to portability may very well help Self Data, and open the door to a whole new market, if everyone plays the game.

    –> Find here the Pilot Study Documentation – 1st draft

     




    Article importé: http://mesinfos.fing.org/the-mesinfos-pilot-project-one-year-later/?utm_source=rss&utm_medium=rss&utm_campaign=the-mesinfos-pilot-project-one-year-later
    Par: Equipe MesInfos
    Publié: August 28, 2017, 8:56 pm

  • MesInfos

    Le pilote MesInfos, 1 an après

    Par MesInfos le 24 juillet 2017

    Lorsque nous avons lancé le pilote MesInfos, début 2016, après quatre années de travaux sur le sujet du “retour des données personnelles aux individus”, l’ambition était claire : “faire franchir un cap” au Self Data. Pourquoi, après ces premières années d’exploration et d’expérimentation, avions-nous jugé temps d’accélérer les choses ?

    Essentiellement pour trois raisons :
    > Le sentiment que la situation (montée de la défiance des individus vis-à-vis des organisations, en particulier sur le sujet des données, asymétrie totale entre l’accès à l’information et les capacités de traitement des uns et des autres…) ne pouvait plus durer pour penser une économie durable et surtout une société désirable.
    > Le sentiment que quelque chose était en train de bouger : un écosystème émergent de services et plateformes autour des données personnelles (cloud personnels, services se revendiquant de “VRM”…), la multiplication des conférences sur le sujet, les échanges nourris avec des entreprises partageant un intérêt pour lancer des expérimentations voire des stratégies autour du Self Data, l’évolution à venir de la loi européenne en matière de protection des données personnelles, avec le RGPD
    > Enfin, après quatre années de travaux avec des partenaires et complices – dont certains creusent avec nous le sujet depuis le début, le sentiment que pour apprendre davantage de ce que signifierait le Self Data (en termes de défis techniques, organisationnels, économiques, en termes de valeur et d’usages, etc.), nous devions nous confronter au terrain, avec un projet pilote ambitieux.

    Le format que nous avions choisi pour ce pilote, nous l’avions déjà – en partie – éprouvé en 2013 lors d’une première expérimentation, limitée dans le temps et les dispositifs techniques (transfert de fichiers de données et non pas développement d’API pour transférer les données, par exemple). Il s’agissait, avec ce pilote de réunir autour de la table de grandes organisations détentrices de données – publiques ou privées, de les inciter à restituer les données qu’elles détiennent et utilisent dans leur SI à 3000 de leurs clients ou usagers volontaires (contre 300 pour la 1re expérimentation) ; pour cela, il était nécessaire que les futurs testeurs disposent de leur propre outillage, qui leur permettrait de recevoir les données, de les visualiser, les comprendre, les stocker en toute sécurité, et les réutiliser grâce à de nouveaux services tiers (c’est cela, que nous nommons le Self Data). Nous avons ainsi choisi de collaborer pour ce projet pilote avec la startup française de cloud personnel Cozy Cloud, pour donner corps à cette vision. Enfin, puisque nous cherchions à apprendre, nous avons constitué une équipe de chercheurs issus de disciplines diverses (sociologie, marketing, ergonomie…)

    Un an après, où en sommes-nous ?

    Un peu plus d’un an après le lancement du pilote, quel bilan pouvons-nous en dresser ? Difficile de parler de véritable bilan, puisque nous sommes en réalité au milieu du gué : nous avons déjà beaucoup appris, notamment sur tous les défis et difficultés inhérentes à la mise en oeuvre de la restitution des données personnelles pour les organisations. Mais beaucoup reste encore à apprendre, puisque la majeure partie des testeurs du pilote ne sont pas encore officiellement investis. Mais alors, que s’est-il passé pendant cette première année, durant laquelle nous avons beaucoup travaillé en sous-marin ?

    Un travail de fond sur la mise à disposition des données : Identifier les données, mettre en place les process de restitution – souvent, développer des API ou s’appuyer sur des API existantes, les documenter pour les rendre “réutilisables par des acteurs tiers” est un long chantier en soi. Mais travailler sur la restitution elle-même signifie également travailler sur le cadre global (juridique et technique), clarifier les responsabilités sur la chaîne de transfert des données, rassurer les détenteurs sur la plateforme de mise à disposition des données, notamment en matière de sécurité. Même si une fois que les données sont entre les mains des individus, sur leur cloud personnel, les testeurs peuvent théoriquement en faire ce qu’ils veulent – les détenteurs ne sont plus responsables – c’est un saut dans l’inconnu à faire pour des organisations qui découvrent juste le Self Data. Le chantier “données” est complexe, et à lui seul a pris près de 6 mois pour porter ses fruits.

    ImageDonnéesPIloteMI

    Des cas d’usage… aux services prototypés, un défi : Un des enjeux du pilote est de faire émerger des cas d’usage et des services Self Data que les testeurs pourront expérimenter depuis leur Cozy. Il s’agit peut-être d’un des chantiers les plus complexes du pilote, pour certaines raisons que nous avions déjà identifiées lors de la première expérimentation : la difficulté d’attirer des startups et entrepreneurs sur un marché émergent, en particulier sur une plateforme nouvelle (Cozy en l’occurrence) ; la complexité d’appréhender un sujet neuf, un périmètre de données mis à disposition parfois un peu limité pour imaginer des cas très riches de croisement de données… Si le chantier est amorcé depuis un an environ (produisant une dizaine de services prototypés), ces points sont des obstacles majeurs dans son déroulement, qui nous restent toujours à surmonter… Force est aussi de reconnaître que l’écosystème du Self Data – au-delà du pilote, en France et internationalement – est encore tout juste balbutiant. Les plateformes et services Self Data ont besoin de données pour se développer et fonctionner, et les détenteurs de données sont souvent en attente de cas d’usage voire de modèles économiques pour se lancer dans la restitution des données, ce qui limite à ce jour la structuration de ce marché.

    Le travail sur la plateforme
    Comment présenter les données, mais aussi ce nouvel espace “personnel” qu’est le cloud personnel ? Visualiser des données, mais aussi le concept du cloud personnel sont des choses familières pour les profils les plus technophiles, beaucoup moins pour la plupart des individus. C’est toujours un défi : comment rendre intelligible, appropriable, simple d’usage… le Self Data et le cloud personnel ? Il a été nécessaire pour Cozy de faire évoluer son interface, de façon radicale, au cours du pilote, afin de s’adresser à un plus grand public.

    L’évolution du contexte réglementaire : un levier, un frein
    Le pilote MesInfos a été conçu dès le départ comme un projet collectif (associant les partenaires aux grandes décisions et au pilotage du projet) ; le développement du Self Data repose nécessairement sur un écosystème, comprenant détenteurs de données, plateformes personnelles de données, services tiers, individus… Nous avons passé du temps à réfléchir aux évolutions de cet écosystème international, aux perspectives de développement du Self Data à plus long terme, à ce que devrait / pourrait devenir MesInfos à partir de 2018…
    Le tout dans un contexte réglementaire en mouvement, puisque le GDPR signifie des évolutions réglementaires significatives en matière de données personnelles, instaurant notamment un droit à la portabilité des données. Le périmètre de ce droit a été soumis à de nombreuses interrogations entre l’automne 2016 et le printemps 2017 ; le G29 a depuis apporté une série de lignes directrices précisant l’étendue, les données concernées et les modalités d’application possibles. L’article 20 a donc été le sujet de nombreux débats – parfois paradoxaux – entre les acteurs impliqués dans le pilote MesInfos, et plus globalement de la communauté du Self Data : le périmètre des données et les modalités de restitution devaient-ils s’aligner sur ce que serait ce droit ? Tester des choses dans le pilote signifie-t-il jurisprudence en matière de restitution des données personnelles ? Comment penser dès à présent des modalités de portabilité des données dimensionnées pour plus de 3 000 personnes, puisque le droit à la portabilité concerne à partir de 2018 tous les citoyens ?

    portability
    (Via Tristan Nitot)

    Pour ne pas perdre de vue les objectifs du pilote, nous avons choisi de lancer une réflexion autour de l’application du droit à la portabilité (comment accompagner les organisations dans la mise en oeuvre de ce droit et faire en sorte que cela soit porteur de valeur partagée, pour elle comme pour les individus ?), tout en dissociant cette réflexion du pilote. Le projet Rainbow Button était né, avançant parallèlement au pilote MesInfos : ce dernier vise à tester, apprendre, mettre en oeuvre le Self Data en bénéficiant d’un bac à sable concret ; le Rainbow Button vise quant à lui à définir un cahier des charges, un cadre commun (UX, technique, juridique…) de mise en oeuvre de la portabilité applicable à compter de mai 2018. Les deux se nourrissent et sont complémentaires ; cet édifice a mis du temps à mûrir et à se mettre en oeuvre, mais commence à prendre corps.

    >> Retrouvez la documentation de l’amorçage du projet sur 2016 et début 2017 (.pdf, un document qui évoluera à mesure des avancées et enseignements du pilote).

    Demain, quelles suites ?

    La marche que nous nous étions fixée était très haute. Aucun de ces chantiers n’est totalement terminé – il reste beaucoup à faire, notamment du côté des prototypes de services ; les mois prochains seront aussi le temps des retours d’usage, de la recherche, des enseignements, de la documentation et de la formalisation. Pour en avoir discuté avec d’autres acteurs de l’écosystème international autour du Self Data (MyData dans les pays scandinaves, VRM ailleurs…), un an après son lancement, le pilote MesInfos reste une expérience inédite et excitante. Le “passage de cap” dépendra, au-delà du déroulement du pilote lui-même, de la structuration de l’écosystème que nous mentionnions et de l’engagement pérenne de détenteurs de données. En cela, le droit à la portabilité pourrait bien aider le Self Data, ouvrant la porte d’un tout nouveau marché, si chacun joue le jeu.




    Article importé: http://mesinfos.fing.org/le-pilote-mesinfos-1-an-apres/?utm_source=rss&utm_medium=rss&utm_campaign=le-pilote-mesinfos-1-an-apres
    Par: Marine Albarède
    Publié: July 24, 2017, 10:51 am

  • Pour la seconde année consécutive, la Fing (au travers de l’équipe MesInfos) contribue à l’organisation et au programme de la conférence internationale MyData, qui se tiendra à Tallinn (Estonie) et Helsinki (Finlande) du 30 août au 1er septembre 2017.

    Près de 800 participants venus du monde entier y partageront leurs connaissances, expériences et projets à propos du développement du Self Data – l’utilisation des données personnelles par les individus eux-mêmes, à leur initiative et sous leur contrôle.

    Les conférences et ateliers s’organisent autour de 12 thèmes qui couvrent à la fois les usages, les modèles économiques, les défis techniques et juridiques, les initiatives en cours dans différents pays ou territoires… Plusieurs partenaires de MesInfos y interviendront.

    La conclusion de la conférence sera l’occasion d’annoncer la création d’une organisation globale qui fédérera les acteurs du Self Data. La Fing fait partie de ses initiateurs.

    Programme et inscription : mydata2017.org




    Article importé: http://mesinfos.fing.org/mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki/?utm_source=rss&utm_medium=rss&utm_campaign=mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki
    Par: Daniel Kaplan
    Publié: July 20, 2017, 12:19 pm

  • Que signifie pour une organisation se lancer dans le Self Data ? Comment faire pour restituer des données personnelles à ses clients ou usagers ? Une année de travail dans le cadre du pilote MesInfos nous a permis de documenter le process, les écueils, les leviers, les étapes… de la restitution des données, pour un détenteur qui souhaiterait se lancer dans le Self Data.

    Nous avons identifié 4 questions clés pour les organisations qui souhaitent lancer un projet de Self Data. Mais une partie de ces enseignements peut aussi nourrir les projets de mise en oeuvre de la portabilité, telle que définie par le GDPR (Règlement Européen de Protection des Données Personnelles).

    Ces éléments ont vocation à s’enrichir au fil de l’année, mais nous espérons qu’ils pourront d’ores et déjà nourrir les réflexions des uns et des autres !

    “Je souhaite engager mon organisation dans la restitution des données personnelles, mais je ne sais pas par où commencer. Quels collaborateurs associer en interne ? Quel est le premier chantier ?”

    La restitution des données personnelles aux clients ou aux individus est de fait un projet très transverse. Différents services et plusieurs personnes seront à associer à un moment ou à un autre du projet : innovation, marketing, DSI, services juridiques, métiers… un bon point de départ est de commencer par identifier des interlocuteurs, afin de présenter le projet en interne à plusieurs de ces collaborateurs, éventuellement en associant des acteurs de l’écosystème Self Data (Fing ou acteurs similaires, plateformes Self Data, etc.).

    Quelles étapes pour la restitution des données à proprement parler ? Comment mettre cela en oeuvre ?

    On peut décrire le processus avec les phases suivantes.

    1. Formuler une liste des données : établir une liste de ce qu’il y a dans vos systèmes d’information en termes de données, que vous envisagez de transmettre aux individus qu’elles concernent (idéalement en mobilisant des collaborateurs de la DSI – voire de la gouvernance de la donnée – des métiers, habitués à travailler avec ces données au quotidien, et de la relation client / marketing)

    2. Initier une procédure d’approbation de l’initiative, du principe et des modalités de transmission des données, et de la liste des données par votre organisation.

    Tous les partenaires qui transmettent des données en 2016 dans le pilote MesInfos ont dû passer par là. Ces procédures internes étaient dans chaque cas différentes, mais en général assez longues, et demandant de porter le message en interne dans différents services. Ici encore, associer des acteurs extérieurs peut être opportun.

    3. Formaliser la liste des données, en commencer la documentation. Cela permettra notamment de l’ajouter dans un outil indispensable au pilote : http://mesinfos.fing.org/cartographies/datapilote/. Cet outil est un support d’échange clé avec les acteurs du projet, et permet de faciliter l’appropriation des données par des ré-utilisateurs (cela mobilisera la DSI et ses métiers pour élaborer la documentation précise).

    4. Préparer un système de transmission : nous penchons vers des éléments automatiques, mais pour l’instant cela reste des solutions assez légères, dimensionnées pour les quelques milliers de testeurs du pilote.

    Ici, les questions à traiter (qui mobiliseront principalement la DSI) :

    - identification : comment relier l’individu qui demande ses données, à son identifiant client dans le SI (et ainsi à ses données) ?
    - authentification : comment s’assurer que la personne qui demande ses données est bien celle qu’elle prétend être ?
    - transmission : comment transmettre de manière sécurisée les données ?

    De quelles données parle-t-on ? Quel format, quel standard ? Quelles possibilités de visualisation ?

    On trouve en général différentes catégories de données personnelles :

    - Les données administratives et sur la relation client (CRM) : fiche client, données de segmentation, facturation, contrat, … On les retrouve dans toutes les organisations, souvent avec quelques spécificités. Elles amènent des cas d’usages assez administratifs. Par exemple, le cas d’usage de mise à jour automatique de ces données, de l’individu vers l’organisation, souvent évoqué comme une perspective intéressante par les organisations.

    - Des données transactionnelles souvent très liées et spécifiques au métier de l’organisation. Ce sont les relevés de consommation d’énergie (des compteurs connectés), les relevés de comptes, les sinistres (assurances), le journal d’appel, … Elles offrent souvent un regard et un point de vue objectif à l’individu sur des actions dont il n’a pas forcément pleinement conscience. Ce sont ces données qui ouvrent le plus les potentiels de cas d’utilisation, et la valeur d’usage des services sur les Self Data.

    - Des traces et des communications et points de contact entre l’organisation et son client, tels que les horodatages de connexion sur l’espace client Web, les dossiers de suivi du service client… On imagine immédiatement une exploitation partagée de ces données par l’organisation et l’individu, tant la transparence et l’efficacité sont précieuses dans ces moments pour les deux parties.

    Les modèles de données et formats sont peu challengés, mais font l’objet d’une traduction dans la plateforme (Cozy), afin de les rendre plus cohérents, d’un point de vue transsectoriel.

    Capture d’écran 2017-05-24 à 16.06.31

    Quelle responsabilité pour le détenteur de données ?

    De manière relativement simple, une société détentrice de données personnelles, qualifiée de responsable du traitement au regard de la loi « Informatique et Libertés », n’est plus responsable des données une fois que :

    - Celles-ci ont été transférées à la personne concernée ;

    - Et qu’elle n’opère plus de traitement sur lesdites données (ce qui exclut tout traitement, y compris par une application fournie par le détenteur sur le cloud privé).

    En d’autres termes, la responsabilité de traitement du détenteur s’arrête au moment où il n’a plus la maîtrise des données (en termes de finalité d’usage et de moyens de traitement) dans la mesure où il transmet ces dernières à la personne concernée.

    Par ailleurs, de manière plus générale, la transmission des données est sans incidence, d’un point de vue juridique, sur les obligations du détenteur quant au traitement initialement opéré sur les données.

     

    Mais alors, quel lien entre le pilote MesInfos et le GDPR ?

    Quel lien peut-on faire avec l’évolution de la réglementation européenne concernant les données personnelles, notamment au regard de l’article sur le droit à la portabilité du GDPR (General Data Protection Regulation) ?

    Le périmètre de ce droit, tel que défini notamment par la CNIL et le G29, est large. Il comprend toutes les données personnelles qu’un individu donné a fourni (“provided”) au détenteur de données/responsable de traitement (voir question suivante).

    L’article 20 du GDPR engage dans tous les cas les organisations à rendre ce droit à la portabilité effectif dans les deux années qui viennent (d’ici mai 2018).

    Ainsi, le pilote MesInfos est une manière pour les partenaires de réfléchir à ce droit ; une occasion de déterminer les manières de se mettre en conformité avec le règlement et donc d’appliquer le règlement le plus vite possible, pour prendre un temps d’avance et créer pour eux comme pour leurs clients de la valeur autour de ce nouveau droit. Pour le dire autrement ce droit n’a jamais été mis en pratique ;  en ce sens, le pilote MesInfos est une manière d’expérimenter des réponses techniques et juridiques. Il sera l’occasion de lister les questions et d’explorer des pistes qui permettent aux partenaires du pilote d’alimenter le travail des juristes dans les entreprises, en vue de l’implémentation du droit à la portabilité.

    Quelles données sont concernées par ce droit ?

    Le périmètre des données restituées dans le cadre du pilote MesInfos (qui correspond, en quelque sorte, à une mise en pratique du droit d’accès) ne sera probablement pas identique à celui du droit à la portabilité.

    En effet, la mise en oeuvre du droit à la portabilité ne concerne pas toutes les données concernées par le droit d’accès. Le règlement fait références aux données “fournies” par l’utilisateur d’un service ; le périmètre est ainsi évidemment plus large que les seules données de formulaire, fournies par un utilisateur à l’inscription.  Ces données “fournies” par l’individu couvrent à la fois (1) des données fournies proactivement (par exemple, adresse mail, âge, nom, etc.) et (2) des données “fournies” passivement par l’individu qui utiliserait un service.  Ce second cas concerne par exemple des données d’historique de recherche, de géolocalisation, de trafic, ou d’autres données “brutes” telles que les mesures effectuées par des capteurs, objets ou applications (par exemple “nombres de pas” dans le cas du quantified self, données de consommation des compteurs communicants, etc.).

    NB : Il peut y avoir des impossibilités justifiées de rendre ce droit à la portabilité pour certaines données (impossibilité technique, etc.), mais les motifs qui peuvent être invoqués sont très limités.

    Qui est le responsable de traitement lorsque les données sont portables ?

    La cascade de responsabilité est encore à définir. Mais globalement, la responsabilité d’un détenteur de données A s’éteint à partir du moment où il y a transfert des données vers un détenteur B.

     

     

     




    Article importé: http://mesinfos.fing.org/restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations/?utm_source=rss&utm_medium=rss&utm_campaign=restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations
    Par: Marine Albarède
    Publié: May 24, 2017, 4:27 pm

  • Le Blue Button américain – qui permet à 150 millions d’Américains de télécharger leurs données de santé et de les transmettre à des services tiers – a toujours été une inspiration pour le projet MesInfos. Mais les données de santé ne sont pas des données comme les autres. Éminemment sensible, la question du Self Data en Santé nous a semblé demander une approche différente de celle que nous menons dans le cadre de MesInfos.

    C’est pourquoi en 2015, le groupe MesInfos Santé – piloté par la Fing – rassemblait acteurs publics, privés et associatifs, issus pour les uns du monde de la santé et pour les autres du numérique, pour commencer à explorer la perspective d’un Blue Button à la française : partager le pouvoir des données de santé avec les individus qu’elles concernent. Nous avons organisé des ateliers de « chasse à la donnée », afin de cartographier les données pertinentes pour la santé des individus, des ateliers de co-conception de services pour imaginer les usages que les individus pourraient faire de leurs données et nous avons exploré plus en détail les défis et pistes de réponses qu’implique ce changement de paradigme.

    En 2016 nous avons voulu faire franchir un pas au Self Data en santé, en allant au-delà de l’exploration. Nous nous sommes associés à la Commission TIC&Santé (initiative interpoles de compétitivité) afin de créer un groupe de travail pour imaginer collectivement les conditions d’expérimentation du “Blue Button à la française”. Nous avons pu bénéficier des retours de terrain du Blue Button américain par la doctorante Sarah Medjek (Fing/Université Paris 10 – Nanterre) qui a rencontré de nombreux acteurs clefs aux États-Unis. Pendant plusieurs mois, associations de patients, professionnels de santé, Sécurité Sociale, mutuelles, industriels, startups, chercheurs, régulateurs… se sont réunis autour de deux objectifs. Le premier : coproduire une “Charte” commune, formalisant objectifs, principes et exigences, associés au retour des données de santé aux individus. Nous avons ainsi publié en novembre dernier la charte « mes données, ma santé », signée par les membres du groupe de travail. Le second objectif visait à préparer l’année 2017 et la mise en action des principes de cette charte : nous avons décrit le scénario d’une expérimentation du partage des données de santé avec les individus qu’elles concernent.

    En 2017, c’est donc cette expérimentation imaginée par des acteurs aux profils complémentaires qui se profile ! Portée par Cap Digital – en collaboration avec la Fing – elle réunira de grandes organisations détentrices de données acceptant de les restituer aux testeurs (assureurs, hôpitaux, laboratoires, institutions …), ainsi que des associations de patients, startups, acteurs de la donnée, chercheurs… Elle porte le nom « Mes Données, Ma Santé » et a pour objectif principal de démontrer la valeur d’usage du Self Data en matière de santé : quels bénéfices les individus peuvent-ils tirer d’un véritable accès à leurs données, mais aussi quelle valeur d’usage pour les autres acteurs du système de santé ?

    Comme prélude à cette expérimentation, nous publions aujourd’hui le résultat des deux années de travaux sur le Self Data en santé. Ce livret actualise une première publication de mai 2016. Il présente les grands enjeux de ce que pourrait être un dispositif “Blue Button” en France et s’enrichit des enseignements de l’année écoulée, de paroles d’acteurs membres du groupe de travail, des retours de terrain du Blue Button américain, de la charte « Mes données, Ma Santé » et du scénario d’expérimentation du même nom.

     

    > Télécharger directement Livret MesInfos Santé : « mes données, ma santé : pour un Blue Button à la française » 2e édition, Avril 2017, 56p, PDF

     

    L’expérimentation « Mes Données, Ma Santé » constitue une exploration inédite des opportunités et des défis de la reprise en main de leurs données par les individus en termes de santé et de bien-être, mais aussi d’innovation et de création de valeur. A vous de faire partie de la dynamique en rejoignant l’expérimentation et les réflexions à venir !




    Article importé: http://mesinfos.fing.org/de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition/?utm_source=rss&utm_medium=rss&utm_campaign=de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition
    Par: Manon Molins
    Publié: April 25, 2017, 11:32 am

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

  • Rejoignez-nous le 25 avril après-midi pour un moment d’échange sur le Self Data – Santé

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… En lien avec le projet MesInfos, des Rencontres du Self Data, ouvertes à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La quatrième des rencontres du Self Data portera sur les données de santé. Si la piste du Self Data est transverse et concerne tout type de secteurs, le domaine de la santé a été pionnier en la matière et est aujourd’hui un des plus dynamiques, avec des initiatives telles que le Blue Button aux États-Unis. Mais quels usages, connaissances, services pourraient émerger si les individus disposaient du contrôle et de l’usage de leurs données de santé ?

    Rendez-vous le 25 avril de 15h à 17h, au 8 passage Brulon (Interphone Fing) pour un moment d’échange !

    Cette rencontre sera nourrie par des contributeurs qui partageront leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Manon Molins (Fing) et Christelle Ayache (Cap Digital) : “Mes données, ma santé”, l’expérimentation menée en 2017 pour explorer le retour des données de santé aux individus qu’elles concernent.

    - Sarah Medjek (doctorante Université Paris-X, Fing) : retours de terrain du Blue Button américain

    - Jean-Christophe Despres (Sunnylake) : partager ses données de santé avec la recherche

    - Caroline Guillot (Fédération Française des Diabétiques) : le Diabète Lab, les données de santé utiles pour les patients

    Venez nombreux !

     

    >> INSCRIPTION ICI <<


    Objet : Les Rencontres du Self Data « les données de santé entre les mains des individus qu’elles concernent »

    Lieu : FING – 8 Passage Brulon 75012 Paris (interphone Fing)

    Date&Heure : 25 Avril 2017 // 15h-17h

    INSCRIPTION ICI

     




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante
    Par: Manon Molins
    Publié: April 3, 2017, 4:14 pm

  • Rejoignez-nous le 25 avril après-midi pour un moment d’échange sur le Self Data – Santé

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… En lien avec le projet MesInfos, des Rencontres du Self Data, ouvertes à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La quatrième des rencontres du Self Data portera sur les données de santé. Si la piste du Self Data est transverse et concerne tout type de secteurs, le domaine de la santé a été pionnier en la matière et est aujourd’hui un des plus dynamiques, avec des initiatives telles que le Blue Button aux États-Unis. Mais quels usages, connaissances, services pourraient émerger si les individus disposaient du contrôle et de l’usage de leurs données de santé ?

    Rendez-vous le 25 avril de 15h à 17h, au 8 passage Brulon (Interphone Fing) pour un moment d’échange !

    Cette rencontre sera nourrie par des contributeurs qui partageront leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Manon Molins (Fing) et Christelle Ayache (Cap Digital) : “Mes données, ma santé”, l’expérimentation menée en 2017 pour explorer le retour des données de santé aux individus qu’elles concernent.

    - Sarah Medjek (doctorante Université Paris-X, Fing) : retours de terrain du Blue Button américain

    - Jean-Christophe Despres (Sunnylake) : partager ses données de santé avec la recherche

    - Caroline Guillot (Fédération Française des Diabétiques) : le Diabète Lab, les données de santé utiles pour les patients

    Venez nombreux !

     

    >> INSCRIPTION ICI <<


    Objet : Les Rencontres du Self Data « les données de santé entre les mains des individus qu’elles concernent »

    Lieu : FING – 8 Passage Brulon 75012 Paris (interphone Fing)

    Date&Heure : 25 Avril 2017 // 15h-17h

    INSCRIPTION ICI

     




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-25-avril-2017-15h-retrouver-la-maitrise-de-mes-donnees-de-sante
    Par: Manon Molins
    Publié: April 3, 2017, 4:14 pm

  • Nous avons tenu la seconde de nos Rencontres Du Self Data le 13 décembre 2016. Elle s’inscrit dans le cadre du pilote MesInfos – qui rassemble l’effort collectif de différentes entreprises de s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017 pour la première fois de manière pérenne les données de leurs clients à leurs clients, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette seconde rencontre était d’explorer plus profondément les défis techniques du Self Data : comment les organisations restituent-elles les données ? Via quels canaux de transmission ? Sur quels espaces de stockage et d’administration personnel pour les individus ? Pour quelle sécurité ?

    Sans réponses à ces questions, le Self Data, ne deviendra jamais réalité. Quatre intervenants ont pu présenter leurs pistes de réflexions et d’action, leurs questionnements, leurs impressions et échanger avec les participants sur ce défi technique essentiel à la création d’un monde de Self Data :

    - Serge Abiteboul chercheur à l’Inria replace le contexte actuel « data-esque » dans lequel nous évoluons en tant qu’individu et dessine un horizon de solutions de systèmes d’informations personnels : les Pims (Personal Information Management System) ;

    - Guillaume Jacquart coordinateur technique du Pilote MesInfos nous raconte comment le pilote offre lui-même quelque pistes de réponses, car il met en pratique le Self Data : méthode employée pour restituer les données, difficultés rencontrées, pistes pour l’avenir… ;

    - Paul Tran-Van, doctorant chez Cozycloud (Pims) et à l’Inria, partage ses travaux sur les moyens techniques et les problématiques de restitution des données aux individus ainsi que sur les supports de récupération, de stockage et d’administration des données par les individus ;

    - Jorick Lartigau, responsable R&D de MatchupBox, solution de partage et de stockage de ses données nous parle de « Privacy by design » et de leur architecture orientée « P2P/Blockchain.

    Cet article est une adaptation écrite de leurs interventions.

    1 – Serge Abiteboul : Les Personal Information Management Systems (Pims), outils techniques du Self Data ?

    Serge Abiteboul commence par nous interpeller : essayez de comptabiliser le nombre de données que vous générez chaque jour ; recensez les organisations avec lesquelles vous êtes en relation en ligne et hors ligne. Le nombre de données donne le vertige mais c’est surtout la fragmentation de celles-ci sur tant de système différent qui frappe. Vous n’avez ni vue globale ni contrôle, vous êtes le prisonnier de ce système, vous perdez votre vie privée et votre liberté.

    Un constat plutôt inquiétant, qu’il contrebalance en nous proposant trois alternatives :
    - Ne faites rien, c’est trop tard et ça va devenir de pire en pire
    - Collectez vos données, changez de fournisseurs de service, organisez votre gestion de données, passez-y des heures (seulement pour ceux qui en ont la capacité techniques, les “geeks”).
    - Donc si vous n’êtes pas geeks, mettez-vous au boulot pour le devenir rapidement.

    Vous l’aurez compris, ce ne sont pas vraiment des alternatives très alléchantes… Une solution pourtant semble se distinguer, au nom encore un peu complexe : les Pims (Personal Information Management System) – un système d’information personnel qui permet d’agréger toute ses données, de les stocker de manière sécurisée et de les administrer, d’en tirer une valeur d’usage grâce à des services tiers, des applications, qui tournent dans le Pims.

    Certains parlent d’un système “dans les nuages”, accessible partout et à tout moment, d’autres estiment qu’il faut centraliser ce système personnel… Mais l’idée est bien celle d’un même système personnel pour toutes ses données. Une idée aussi vieille que l’informatique nous révèle Serge Abiteboul. Tous les 10 ans, un nouveau gourou nous l’annonce, sous un nom différent mais couvrant le même genre d’idée.

    Si on me l’annonce tous les 10 ans, alors pourquoi devrait-on prendre l’annonce des “Pims” au sérieux ?

    D’abord parce que le volume d’information augmente, la façon dont on travaille aujourd’hui fait que les données des services web, sont sur des machines on ne sait où, dans on ne sait quel pays, sous on ne sait quelle législation, avec quel logiciel… L’idée du Pims est donc de pouvoir avoir mes données sur ma machine, avec un logiciel dont je sais ce qu’il fait, en lequel je peux avoir confiance.

    La difficulté est que ces services web éparpillés sont particulièrement utilisés et qu’il est difficile de les quitter pour tout faire depuis son propre serveur. Je peux donc en tant qu’individu accepter que le service que j’utilise dispose de mes données, mais le minimum c’est que moi aussi je puisse en disposer, en avoir une copie.

    Les 3 raisons pour lesquelles l’avènement des Pims est proche

    1) les raisons sociétales

    ●    Les gens en ont assez de la façon dont leurs données sont exploitées, de l’asymétrie entre eux et les organisations
    ●    Les gouvernements européens passent des lois et des règlements qui vont dans le sens des Pims : protection, portabilité, transparence…
    ●    Des initiatives pour que les organisations partagent avec les individus les données qu’elles ont sur eux existent : le projet Mesinfos porté par la Fing et d’autres (MiData, Les “Buttons” américains, …)

    2) les raisons technologiques

    ●    Le prix des machines est tombé. Il y a 10 ans si l’on voulait s’acheter une machine, l’installer « chez soi » coûtait très cher. Aujourd’hui une machine virtuelle hébergée par OVH coûte quelques euros par mois.

    ●    De nombreuses personnes développent des technologies (par exemple CozyCloud) et n’importe qui aujourd’hui peut décider d’avoir son propre serveur pour ses mails.

    3) les raisons industrielles

    ●    Les entreprises préindustrielles (banque, assurance…) savent gérer leurs clients mais ne sont pas les plus douées numériquement. A titre d’exemple, la plateforme Booking s’est placée entre les hôteliers et leurs clients et “mangent” leur marge. Avec les Pims, elles peuvent aller sur un terrain plus familier.

    ●    Certaines entreprises disposent déjà d’un capital “confiance” : les individus installent chez eux la boxe de leurs fournisseur internet, c’est comme si ils acceptaient d’installer leur ordinateur chez eux. Pourtant, ces entreprises ne sont pas assez proactives sur la question du serveur personnel, selon Serge Abiteboul, c’est un peu décevant car elles seraient en pôle position pour proposer des Pims.

    ●    Les “Pure Internet Players” adorent les données personnelles – leur ADN repose sur elles, particulièrement leur business model, car ils les commercialisent. Ils seraient les meilleurs pour proposer des Pims, mais le passage de la commercialisation à la protection des données personnelles n’est pas dans leur état d’esprit.

    Les avantages des Pims sont nombreux…

    Si les individus ont leurs données dans un même système, ils pourront faire des choses nouvelles. C’est vraiment la différence entre une vision “service web” éparpillés et une vision “Pims”.

    16.Pims.fing

    ●    A l’horizontale, sont présents tous les services web utilisés ou utilisables par un individu, ses données sont éparpillées.
    ●    A la verticale, la vision Pims – l’individu peut faire du croisement de données, la valeur d’usage est beaucoup plus forte.

     

    … mais les difficultés sont également fortes !

    ●    “Je veux bien que le monde soit meilleur mais je ne veux pas changer de téléphone, J’aime beaucoup mon éditeur de texte, je veux bien un nouvel éditeur qui protège mes données mais je veux exactement le même”. Les gens n’adhèrent pas à de nouveaux services comme les Pims sur le seul argument moral.

    ●    Comment faire de la 0 administration ? Si les individus décident d’avoir un Pims, ils ne souhaitent pas l’administrer quotidiennement, cela ne doit pas demander trop de travail.
    ●    La sécurité : à partir du moment où j’agrège toutes mes données dans un même espace, il faut qu’il soit extrêmement sécurisé. Car si quelqu’un rentre dans votre Pims, il aura toutes vos données. Même si le stockage des différents Pims est décentralisé, la sécurité pour chacun d’entre eux est une priorité.

    Rebondissant sur la présentation de Serge Abiteboul, les participants soulèvent la question du volume des données : l’espace de stockage de mon Pims ne devra-t-il pas s’élever à des chiffres très élevés ? Et surtout, à quoi servent réellement les Pims ? Quelle est la valeur d’usage pour l’individu ? Il existe déjà des choses assez bluffantes sur le croisement des données avec les services d’assistants personnels, les services prédictifs. S’ils “tournaient” au sein du Pims de l’individu, ils seraient bien moins risqués pour la vie privée de ce dernier. Le projet MesInfos travaille à déterminer les usages possibles du Self Data et en recense de nombreux cas.

    La vision globale dont l’individu dispose grâce à son Pims est une force, c’est aussi un espace qui permet à chacun de se “libérer” des services web actuel, la plupart des individus se servant de ces derniers pour stocker et administrer certaines données (par exemple Facebook pour les photos). Quelle est la valeur pour le système ? Cette valeur sera-t-elle suffisamment forte pour tirer les Pims vers le haut de l’affiche ? Le fait qu’un Pims puisse croiser les données permet d’imaginer de nouveaux usages supposés transformer nos vies. Par exemple les secteurs des transports, de médecine, demandent ce genre de croisement de données diverses et multiples.

    Retrouver la présentation de Serge Abiteboul ici.

    2 – Guillaume Jacquart, coordinateur technique du projet MesInfos : quels sont les grands enjeux techniques du Self Data ?

    En 2016 la Fing a lancé un pilote ambitieux, des partenaires (entreprises, collectivités) s’engagent à restituer les données personnelles qu’elles détiennent sur 3000 de leurs clients et usagers.

    Il ne s’agit pas d’une expérimentation mais bien d’une restitution de manière pérenne, les entreprises ont dû recenser les données, développer les canaux de transmission des données (API), et s’assurer que les individus puissent les récupérer et les utiliser de manière sécurisée sur leur espace personnel, leurs “Pims” (Cozy Cloud pour les 3000 testeurs, avec comme objectif d’ouvrir à d’autres plateformes).

    Mais quelles sont les différences d’hébergement entre “Pims” ?

    ●    Cozy Cloud : l’hébergement de son serveur personnel peut se faire chez OVH en France ou sur une machine, chez soi.
    ●    Digime : l’hébergement peut se faire sur son téléphone portable ou sur des services en lignes de stockage (comme DropBox). Dans ce dernier cas les données sont cryptées.
    ●    Matchupbox : L’hébergement se fait de manière distribuée, en P2P. Jorick Lartigau le présente plus bas.
    ●    Autres solutions : l’hébergement se fait sur un serveur centralisé (chez un fournisseur d’hébergement), et repose sur la confiance que les individus ont dans la sécurité du serveur.

    Quelques leviers de développement du Self Data :

    ●    Une augmentation du volume et de la diversité des données – des services peuvent faire des premiers croisements de données et ouvrir de nouveaux univers d’usage.

    ●    Le GDPR instaure le droit à la portabilité, les entreprises doivent se mettre en conformité pour 2018 et permettre aux clients qui le leur demandent d’“emporter” leurs données ailleurs (dans leur “chez eux numérique”, chez une autre organisation, chez un service tiers, …).

    Dans le cadre de ce droit à la portabilité, les organisations cherchent des solutions pour mieux se rendre compte d’où se trouvent les données personnelles dans leur système d’information, comment identifier dans leur système les individus qui demandent à exercer leur droit à la portabilité afin d’être sûr de restituer les données aux bonnes personnes… C’est le travail que la Fing et ses partenaires réalisent dans le cadre du Pilote MesInfos. Les testeurs du pilotent “emportent” leurs données depuis l’organisation avec laquelle ils sont en relation jusqu’à leur Cloud Personnel, leur “chez eux numérique”, bref leur Cozy, pour en tirer une valeur d’usage. C’est un moyen de concilier deux élans : reconstruire la relation client et répondre à la mise en conformité avec la nouvelle régulation européenne.

    Un autre règlement européen fait levier : l’”eIDAS” qui oblige chaque Etat à disposer d’un moyen standard pour permettre à chaque citoyen de s’identifier/s’authentifier facilement face à une organisation, un service public. En France le dispositif est France Connect. Ces genres de dispositifs sont des socles importants pour le Self Data : on pourrait imaginer se connecter avec un seul et même identifiant à toutes les organisations avec lesquelles on est en relation pour récupérer ses données.

    Un débat sur l’intérêt de la BlockChain dans ce cas précis de l’identification est ensuite soulevé par les participants. C’est en effet possible d’imaginer cela nous raconte Guillaume Jacquart, après tout Ethernum cherche à fédérer les identités stockées dans la BlockChain, mais elle sert alors plus de base de données distribuée que d’outil d’identification/d’authentification. La question principale de lier identité réelle et identité numérique n’est pas réglée magiquement par l’utilisation de la BlockChain, nous avons besoin d’outils comme France Connect. Et Jorick Lartigau de continuer sur cette lancée : “la blockchain n’est pas figée, elle peut-être vue comme une base de données distribuée, l’usage que vous en faite vous appartient”.

    Quelle interopérabilité entre Pims ?

    Aujourd’hui beaucoup d’acteurs se connaissent, se parlent de manière amicale, affichent qu’ils font des choses ensemble, mais beaucoup se voient comme concurrents. Or la logique de “il n’en restera qu’un à la fin” n’a pas vraiment de sens dans un monde de Self Data capacitant pour les individus : le  vrai pouvoir des individus est de leur laisser la possibilité de changer de plateforme de gestion de leurs données personnelles.

    Serge Abiteboul renchérit : l’attractivité d’un service comme Booking est justement d’avoir tout le marché, or les Pims n’ont pas besoin de cela pour être attractifs.

    C’est le sens que Guillaume Jacquart donne à cette coopération entre Pims : la grande partie de la valeur viendra des usages proposés, or aucun Pims n’est capable de produire seul tous les cas d’usages possibles et imaginables. L’ouverture entre Pims est donc nécessaire pour favoriser une dynamique de réseau : les individus doivent en effet pouvoir tirer parti de leurs données grâce à des services tiers, installés si possible sur leur Pims. Un service qui se développe sur Cozy devrait donc être compatible avec Pickio, Digime ou toute autre plateforme.

    Peut-on imaginer des “standards de services” pour des plateformes aux architectures assez diverses ?  Quelques pistes existent déjà :
    - Remote storage : cela peut constituer une brique de base – on pourrait avoir des services web qui demandent à l’individu où il souhaite stocker ses données.
    - Des standards utiles entre les détenteurs de données et les plateformes – par exemple le protocole OSE2. Certaines difficultés apparaissent par contre avec les différences d’architecture des Pims.
    - Un protocole dédié à cet univers : UMA (User Manage Access), un système qui va permettre le contrôle par une machine de l’autorisation de l’individu sur l’accès des services tiers à ses différentes données. Par exemple si vous donnez quelques règles à votre Cozy, et que vous “branchez” votre Cozy à votre Frigo, il va  pouvoir converser avec les API de distributeur, sous votre contrôle.

    Et la planète ?

    La question environnementale lorsqu’on parle données relève aujourd’hui d’une volonté personnelle ou politique, sera peut-être une nécessité dans 10 ans. Si le Self Data permet à l’individu de mieux se connaître, d’agir selon ses valeurs et de consommer de manière plus éthique ou plus écologique, comment comparer ces bénéfices par rapport à l’empreinte écologique des outils du Self Data (Pims, Applications, API, stockage des données …) ?

     

    Retrouver la description du pilote MesInfos ici : http://mesinfos.fing.org/participer/

     

    3 – Paul Tran-Van, doctorant, CozyCloud et Inria : agréger, sécuriser et partager des données personnelles, 3 défis du Self Data.

    Le modèle actuel d’internet pose de gros problèmes de sécurité et d’usage, les données étant dispersées. Mais une nouvelle tendance (que certains appellent Pims, VRM, Self Data) va vers l’inversement de cette chaîne de valeur : l’individu sera au centre de ses données.

    pres_fing_self_data

    Les plateformes de Cloud Personnels, les Pims comme Guillaume Jacquart et Serge Abiteboul les ont appelés précédemment – par exemple Cozy – sont des outils pour permettre aux individus d’être au centre de leurs données.

    Premier défi : agréger les données

    L’application Konnectors dans Cozy permet aux individus de rapatrier leurs données dans leurs Cozy. Ils sélectionnent l’organisation avec laquelle ils sont en relation (SFR, Améli, DirectEnergie, …), renseignent leur mot de passe et leur identifiant et le “konnector” va fonctionner comme un logiciel de scraping pour collecter l’ensemble des données et documents de leurs espaces clients et les stocker dans leurs Cozy.

    Deux problèmes avec cette pratique :
    - Si l’organisation effectue une refonte de son site/espace client, il faut entièrement recréer le “konnector”.
    - Ces “konnectors” ne sont pas particulièrement appréciés par les organisations, et parfois sont interdit dans les CGU que les utilisateurs signent.

    Avec l’application du droit à la portabilité du GDPR en mai 2018, on peut espérer un développement d’API par les organisations qui permettrait de résoudre cela.

    Certaines entreprises se spécialisent par exemple dans le développement de connecteurs bancaires. L’intérêt des plateformes de Cloud Personnel comme Cozy, c’est que cela permet le croisement de données qui apporteront une valeur d’usage à l’individu (par exemple croiser données bancaires et données de consommation énergétique).

    Ce premier défi résumé par Paul Tran Van interroge : comment un service va pouvoir utiliser des données d’origines différentes? Quels sont les formats des données que je peux récupérer ? Dans beaucoup de cas les konnectors de Cozy donnent du PDF, les données ne sont alors pas machine-readable mais human-readable. D’où l’intérêt de voir se développer des API par les organisations.

    Second défi : sécuriser les données

    Autre grand défi : la sécurité. Un sondage des utilisateurs de Cozy cette année permet de se rendre compte que pour eux la priorité la plus importante pour un Cloud Personnel étaient l’éthique (le Cloud ne doit pas m’espionner) et la sécurité, loin devant l’expérience utilisateur !

    Ce qui est également difficile c’est que si les utilisateurs souhaitent la sécurité ils ne sont pas prêts à faire des concessions sur la facilité d’usage.

    Une autre expérimentation menée permet de se représenter cette priorité de sécurité chez les utilisateurs.
    - un groupe doit répondre à des questions personnelles, on leur précise que leurs réponses seront stockées sur un serveur centralisé
    - un groupe doit répondre à des questions personnelles, on leur précise que leurs réponses seront stockées sur une clé USB à laquelle personne n’aura accès.

    Il y a t-il une différence dans les réponses aux questions ? Aucune ! Ils sont sensibles à la vie privée mais répondent aux mêmes questions quelque soit la façon dont leurs données sont stockées. Cela démontre la difficulté qu’il y a à faire comprendre la sécurité d’un système à des utilisateurs.

    Troisième défi : partager les données

    Agréger ses données dans un espace sécurisé c’est bien mais les utilisateurs ont envie de les partager, pas de les enfermer. L’une des questions récurrente des utilisateurs de Cozy est donc “quand est-ce que je vais pouvoir partager certaines données de mon Cozy avec des amis, de la famille, des organisations ?”

    Le Laboratoire SMIS (Inria) a développé une solution de stockage sécurisée : PlugDB, une clef USB sur laquelle les données sont chiffrées avec un moteur de données embarqué pour requêter les données chiffrées et faire du traitement dessus sans jamais qu’elles sortent de la clef. C’est une garantie de sécurité très forte et on peut faire du traitement des données car le code est léger. En ce moment Cozy et le laboratoire SMIS travaillent ensemble. L’objectif est de brancher cette clef sur les serveurs Cozy et cela va être en charge du contrôle d’accès (« qui a accès à quelle donnée ») et du chiffrement.

    Le sujet de l’interopérabilité est important pour le partage : un utilisateur de Pims veux pouvoir partager avec n’importe qui, même ce dernier n’est pas sur ce Pims. La priorité est donc de pouvoir partager au sein d’un même Pims (De Cozy à Cozy par exemple) mais également entre Pims de différents fournisseurs (de Cozy à OwnCloud par exemple).

    Comment avancer sur ces questions ? Cozy a travaillé avec un community group du W3C, a écrit un dossier pour l’IETF et a conçu un POC pour créer les outils de partage entre Cozy et OwnCloud.

    Sur cette dernière question du partage, la discussion avec les participants s’est tournée sur deux questions :
    - La question du web sémantique, qui permettrait un partage efficace, mais qui demandent de créer des ontologies, de nouveaux protocoles. La première pierre à apporter est donc le partage via l’interopérabilité.
    - La question de l’authentification et de la certification des données. Si je partage avec un tiers mes données, comment peut-il s’assurer que je l’ai modifié ou non ?

    Retrouver la présentation de Paul Tran Van ici.

     

    4 – Jorick Lartigau, responsable R&D de MatchupBox : privacy by design et architecture orientée P2P/Blockchain

    MatchUpBox est une start-up qui est partie d’une idée folle il y a deux ans de faire un Facebook décentralisé, sans serveur. Beaucoup de choses existent déjà, si l’on remonte l’histoire de l’internet on trouve le P2P, le TCP/IP…

    MatchUpBox et le stockage P2P

    Pour une jeune start-up, réduire le coup de serveur à presque 0 est un avantage non négligeable. Un objectif : indexer les data, permettre aux utilisateurs de les utiliser, sans serveur.

    Aujourd’hui si un utilisateur cherche un ami sur Facebook, il le cherche dans une grosse base de données, un énorme annuaire. Sans serveur (avec la technologie DHT utilisée par la BlockChain) chaque utilisateur peut héberger une partie de cet annuaire. Si l’utilisateur cherche Arthur, il va voir un noeud qui le renvoi vers Arthur. Tor permet d’anonymiser ces liens d’échanges. Si un tiers regarde le réseau et les utilisateurs qui communiquent en P2P, il va voir les adresses IP qui communiquent. Mais si il y a des intermédiaires entre eux, il ne peut voir que le noeud, et ni le receveur, ni l’envoyeur.

    Comment ça marche ? Matryochka et BlockChain

    Un individu A qui veut communiquer avec un autre individu B ne va pas le faire directement mais va le faire avec le point le plus éloigné qui dépend que du cercle de B. Une clef privée, sur la machine de A, permet également de signer les envois afin que B puisse certifier que le message vient bien de A.

    MesInfos_matchupbox

    Plusieurs problèmes sont identifiés dans la BlockChain. En dehors du réseau, rien ne rattache l’identifiant de A à son identité réelle (c’est pour cela que l’on dit que le Bitcoin est formidable pour le blanchiment d’argent).

    La matryochka est un système de lettre digitale. La Blockchain permet elle de créer un système de lettre digitale recommandée.

    Jorick Lartigau prend un exemple dans la santé : une entreprise qui permet à des patients à risques – équipés d’objets connectés – de recevoir des alertes ou d’en envoyer à des services d’urgence doit pouvoir faire remonter aux services d’urgences des données fiables (par exemple : Mr A est en train de faire un infarctus, il est de groupe AB+), d’où l’intérêt d’un échange “recommandé”. Cela n’évite pas l’erreur si Mr A a mal renseigné son groupe sanguin, mais cela permet à l’entreprise qui alerte de prouver qu’elle a bien reçu cette donnée de cette personne.

    Pour quels usages ? Pikcio, un Pims pour agréger et partager ses données

    Pikcio utilise le réseau de MatchUpBox. C’est un service qui permet d’échanger de façon sécurisée. Le serveur de données est sur les machines des utilisateurs donc tout ce qu’ils peuvent échanger au sein de ce réseau est sur leurs machines. Il existe ensuite des API pour se connecter au réseau MatchUpBox.

    “Pikcio est une plateforme de services intelligente. Elle utilise le réseau propriétaire MatchUpBox, de type Blockchain. Pikcio centralise des données de différentes sources (compte personnel ameli.fr, centres de soins, dossier médical partagé…) et de différents types (santé, identité, banque, assurance, etc.) pour faciliter et protéger les échanges entre consommateurs, médecins et établissements de santé.”

    L’ambition de Pikcio est de devenir un Pims (Personal Information Management System) : un espace d’agrégation des données de l’individu, aujourd’hui éparpillées dans différents services.

    Pourquoi cette ambition ? Parce que le grand problème du P2P est l’usurpation d’identité, la validation de l’identité sur le réseau (pour reprendre l’exemple précédent : comment justifier que c’est bien Arthur qui me demande comme ami et pas quelqu’un d’autre ?). L’objectif premier était donc de récupérer des données éparpillées par l’individu et d’en faire l’analyse pour donner un indice de confiance aux profils utilisateurs.

    En faisant ça, on permettait à l’individu de récupérer beaucoup de données : les données Facebook, les données Twitter etc. Récupérer de la donnée pour permettre de vérifier l’identité d’un utilisateur c’est bien, en faire d’autres choses, c’est encore mieux ! Un travail est réalisé en ce moment pour permettre aux utilisateurs d’agréger des données de différentes sources. Par exemple un travail avec les API de Qwant. Mais cela doit se faire toujours sous le contrôle de l’individu, qui doit être le déclencheur de cette agrégation.

    Retrouver la présentation de Jorick Lartigau ici.

     

    Quatre interventions, quatre visions du Self Data qui se rejoignent dans les principes, dans les enjeux et qui démontrent que si les pistes techniques sont là en terme d’architecture, de stockage, de moyen d’identification/d’authentification ou d’agrégation des données, elles doivent encore être discutées, unifiées pour s’articuler et permettre à ce nouveau marché du Self Data de se développer.

    Merci à tous les participants de cette rencontre, et retrouvez-nous pour la prochaine des Rencontres du Self Data le 22 février après-midi pour un moment d’échange sur les défis juridiques du Self Data !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-architectures-et-defis-techniques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-architectures-et-defis-techniques-du-self-data
    Par: Manon Molins
    Publié: February 7, 2017, 7:36 am

  • Rejoignez-nous le 22 février après-midi pour un moment d’échange sur les défis juridiques du Self Data.

     

    Le Self Data est un secteur en construction, qui soulève encore de nombreuses questions juridiques, techniques, économiques, sociologiques… Le pilote MesInfos sera l’occasion de tester des éléments de réponses, d’élaborer des pistes et de les expérimenter. En lien avec le pilote, des Rencontres du Self Data, ouverts à tous et regroupant chercheurs et praticiens, auront lieu régulièrement, pour relever ensemble ces défis.

    La troisième des rencontres du Self Data portera sur les défis juridiques : comment garantir que les individus seront véritablement maîtres de ce qui est fait de leurs données : quelles CGU « nouvelles générations » imaginer, quels outils sont disponibles ? Comment faire en sorte qu’un monde de Self Data fournisse aux individus à la fois plus de pouvoir et de sécurité sans créer d’incertitudes juridiques pour les organisations ? Quelle relation entre Self Data et le nouveau droit à la portabilité instauré par le GDPR ?

    Cette rencontre sera nourrie par des contributeurs qui nous feront partager leurs étonnements, les résultats nouveaux, contre-intuitifs qu’ils ont pu rencontrer dans leurs recherches et travaux de terrains :

    - Un membre de la Cnil sur le travail engagé avec eux sur le chantier juridique du pilote MesInfos et les questions inhérentes à la restitution des données (responsabilité, droit d’accès, droit à la portabilité) ainsi que sur les initiatives propres à la Cnil (CookieViz, …)

    - Hugo Roy nous présentera le projet ToS;DR (Terms of Service; Didn’t Read) et sa vision des enjeux de privacy.

    - Thomas Saint Aubin nous racontera les résultats, avancées et prochaines étapes du projet collaboratif « design your privacy ».

     

    Bref l’occasion de découvrir et d’échanger sur des questions et éléments de réponses juridiques essentiels à la mise en place d’une démarche Self Data !

    La rencontre aura lieu à l’espace du Laboratoire d’Innovation Numérique de la CNIL. Rendez-vous le 22 février de 15h à 17h, au 3 Place de Fontenoy, 75007 Paris, pour un moment d’échange !

     

     >> INSCRIPTION ICI <<

    NB : l’inscription est gratuite mais nécessaire. Munissez-vous d’une pièce d’identité le 22 février pour accéder à la rencontre.


    Objet : Les Rencontres du Self Data « les défis juridiques : portabilité, CGU, responsabilité… »

    Lieu : CNIL – Place de Fontenoy, 75007 Paris – Munissez-vous d’une pièce d’identité.

    Date&Heure : 22 Février 2017 // 15h-17h




    Article importé: http://mesinfos.fing.org/22-fevrier-les-rencontres-du-self-data-les-defis-juridiques-du-self-data-portabilite-cgu/?utm_source=rss&utm_medium=rss&utm_campaign=22-fevrier-les-rencontres-du-self-data-les-defis-juridiques-du-self-data-portabilite-cgu
    Par: Manon Molins
    Publié: January 30, 2017, 3:35 pm

  • MesInfos

    Mes données, ma santé !

    Par MesInfos le 18 novembre 2016

    Depuis 5 ans la Fing – accompagnée de ses complices, partenaires, homologues internationaux – explore dans le cadre du projet MesInfos la piste du Self Data : la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins.

    Le Self Data en matière de santé est incarné aujourd’hui aux Etats-Unis par le Blue Button : plus de 150 millions d’américains peuvent télécharger leurs données de santé sur les sites/portails des organisations (hôpitaux, laboratoires, assureurs, …) avec lesquelles ils sont en relation, voire même les transmettre directement à des services tiers qui vont leur fournir une valeur d’usage sur leurs données : visualisation, conseils, partage…

    Le Blue Button a toujours été une inspiration pour le projet, et la restitution des données de santé aux individus qu’elles concernent représente un enjeu majeur : c’est une demande récurrente des associations de patients, un atout pour la Stratégie Nationale de Santé et un potentiel vecteur d’innovation.

    En 2015 nous lancions le « spin off » de MesInfos : MesInfos Santé. Nous avons publié un livret « Vers un Blue Button à la Française » qui explore les données qui pourraient être concernées et présente des cas d’usages qui nous semblent bien illustrer les bénéfices que les individus tireraient de leurs données de santé s’ils pouvaient en faire usage. Cette petite publication ne fait pas abstraction des défis inhérents à un tel dispositif – qui restent à traiter, et propose quelques pistes pour avancer collectivement sur le sujet.

    Mais nous ne pouvions pas nous arrêter là. Comment faire franchir un cap à cet enjeu majeur pour les individus, les acteurs et le système de santé ? En 2016 nous nous sommes donc associés à la commission TIC&Santé pour lancer un groupe de travail avec un objectif précis : construire les conditions d’une véritable expérimentation de restitution des données de santé aux individus pour 2017.

    process_MIS

    Ce groupe rassemble de nombreux acteurs publics, privés et associatifs, issus pour les uns du monde de la santé et pour les autres du numérique. Nous avions tous besoin de formaliser les objectifs, principes, et exigences associés à la restitution des données de santé aux individus.

    Nous publions aujourd’hui la Charte « Mes données, ma santé » signée par les membres du groupe de travail  : grandes organisations – MGEN, Sanofi, La Poste, La Caisse des dépôts, Orange… ; associations – Le Ciss, l’AFD, Le Forum LLSA, La Fing ; start-ups, pôle de compétitivité, incubateurs – Commission Tic&Santé, Paris&Co, Sanoia…

    Empowerment, accès aux données, innovation ouverte, contrôle, vie privée… Les principes de cette charte racontent une histoire, l’histoire du partage du pouvoir des données avec les usagers et patients eux-mêmes !

     

    (Télécharger directement la charte)

     

    Cette charte est un premier pas vers l’expérimentation de 2017. Elle envoie un message clair sur le but, les principes et les promesses de l’expérimentation que Cap Digital, membre de la commission Tic&Santé, portera (en collaboration avec la Fing). Elle pose les principes qui nous rassemblent.

    Nous espérons que vous serez nombreux à nous rejoindre pour cette expérimentation dont Cap Digital et nous-mêmes dévoilerons les détails très vite !




    Article importé: http://mesinfos.fing.org/mes-donnees-ma-sante/?utm_source=rss&utm_medium=rss&utm_campaign=mes-donnees-ma-sante
    Par: Manon Molins
    Publié: November 18, 2016, 4:10 pm

  • La récente tribune publiée par l’équipe MesInfos dans le journal Le Monde « Big Data : Partager le pouvoir des données… avec chacun d’entre nous » l’annonce : l’hypothèse du Self Data a cessé d’être farfelue. Retrouvez dans cette note les 5 signes de ces six derniers mois qui nous le démontrent.

     

    1 – Le Contrôleur européen de la protection des données en pointe sur le Self Data

     

    splashpage_logo

     

    Le Contrôleur européen de la protection des données  (EDPS : European Data Protection Supervisor) est une agence européenne indépendante, chargée de conseiller l’Union et de donner son avis sur ses initiatives réglementaires en matière de données personnelles. Il a publié le 20 octobre 2016 une « Opinion sur les systèmes personnels de gestion des données (Personal Information management Systems, PIMS) » dans laquelle il appelle très clairement l’Union à les soutenir. Les messages-clés délivrés par ce texte sont les suivants :

    - Les PIMS constituent l’amorce d’un « changement de paradigme » qui « redonne aux individus le contrôle de leur propres données. » Ils « contribuent à un usage soutenable et éthique des big data ainsi qu’à l’implémentation effective du nouveau Réglement général de protection des données (GDPR) », en particulier au travers du droit d’accès et de la portabilité. Pour les entreprises qui traitent des données, ils peuvent « les aider à se mettre en conformité avec le GPDR » tout en « réduisant le coût d’accès » à des données « complètes, ciblées et de qualité ».

    - Les conditions de succès des PIMS sont : (1)  le respect de la GDPR, et en particulier la sécurité, la transparence et l’auditabilité, la portabilité entre PIMS, et la capacité de proposer des dispositifs de gestion des consentements à la fois solides et simples ; (2) des modèles d’affaires clairs, transparents, vérifiables et sans conflits d’intérêts ; (3) un design et une ergonomie destinés à un grand public non-spécialiste.

    - L’Union doit soutenir les PIMS, en particulier via (1) la R&D et l’innovation (sécurité, auditabilité ; traçabilité automatisée des données et des consentements – sticky policies ; interopérabilité…) ; (2) la standardisation ; (3) des projets pilotes sur l’intégration du cloud et de l’internet des objets avec les PIMS ; (4) la participation des administrations, qui devraient « accepter les PIMS comme sources de données » d’actes administratifs.

     

    2 - Le GDPR instaure le droit à la portabilité

    GDPR
    GDPR – Martin Vidberg 

    Avons-nous encore besoin de le présenter ? C’est vraiment l’avancée législative qui permet de se projeter dans un monde de Self Data. En 2018, les organisations devront se conformer à ce droit des individus de pouvoir récupérer leurs données auprès des organisations. Il s’agit des données qu’ils ont fournies (déclarées, mais aussi produites par leurs activités, par exemple). Un avis du G29 va être rendu sur la portabilité début 2017. Il visera à fournir des conseils pratiques et opérationnels sur l’application de ce droit.

    Une véritable opportunité pour les organisations, les individus, les porteurs de projets d’imaginer de nouvelles relations, de nouveaux services, générateurs de valeur pour tous.

     

    3 – Mydata 2016 et…2017 ?

    mydata_2016

     

    Co-organisé par Open Knowledge Finland, l’Université d’Aalto et la Fing, MyData 2016 a rassemblé à Helsinki début septembre pendant 3 jours plus de 600 acteurs venus de toute l’Europe et d’au-delà sur le sujet du Self Data. (Retrouvez les articles qui en font le retour).

    Cet événement n’aurait pas pu exister il y a quelques années. Il  fut pour nous le signe le plus flagrant qu’il est aujourd’hui (en 2016), possible de rassembler autant d’acteurs travaillant sur le sujet, passionnés et y voyant de réelles perspectives d’entrepreneuriat. Mydata2017 s’annonce encore plus prometteur.

     

    4 - PIE2016 à Londres


    Le PIE (Personal Information Economy), l’événement annuel du cabinet de consultant anglais CtrlShift, avait pour baseline  »Achieving Growth Through Trust ». Une journée centrée sur le marché d’avenir des services personnalisés, des Pims et le changement de paradigme du BtoMe (les organisations « communiquent » leurs offres à leurs clients, via des publicités par exemple) au MetoB (les clients communiquent leurs intentions aux organisations).

    L’intervention la plus étonnante fut peut-être celle de Stephen Deadman, Global Deputy Chief Privacy Officer de Facebook. Il détaille les projets entamés avec CtrlShift et le rapport (A new paradigm for personal data) qu’ils ont co-écrit, publié en juin 2016 :

    « La vision actuelle se retranche derrière l’idée que seules les organisations sont capables de contrôler les données, ignorant complètement la capacité et le potentiel que les individus ont de jouer un rôle plus actif, de prendre en main leur avenir, leurs choix, et leurs données. Il n’y a aucune preuve que cette vision actuelle est juste. De plus, lorsque les individus ont plus de contrôle sur leurs données, plus de croissance, d’innovation et de valeur peuvent être générées. » Stephen Deadman.

    D’autres clients de CtrlShift étaient présents (BBC, O2, …), et ont parlé de leurs nouvelles CGU (conditions générales d’utilisation), plus claires, plus simples, de leurs démarches de personnalisation de services pour leurs clients, de leurs engagements dans la « data literacy »… Démonstration faite que de nombreuses grandes organisations commencent à envisager une autre manière de traiter les données de leurs clients !

     

    5 -Le baromètre de l’intrusion de Publicis vante le VRM : 2015/2016