MesInfos

MesInfos

Une expérimentation de la Fing autour du partage et de la ré-utilisation des données personnelles


En ce moment sur "MesInfos"

> Le projet continue, venez le suivre sur le site Mesinfos !

 image 

Blog de MesInfos

  • 3 jours, 2 villes (Tallinn et Helsinki), plusieurs centaines de participants de pays différents, la deuxième édition de la conférence MyData a été l’occasion pour notre petite communauté de se retrouver, un an après la première rencontre. Mais de quelle communauté parlons-nous ? Qui se trouve derrière ce “réseau” MyData et quels objectifs poursuivons-nous ?

    Pendant 3 jours, chacun a pu trouver son bonheur : juriste, designer, technicien, acteur public, privé, professionnel de la donnée, du marché, du RGPD… Il y’en avait pour tous les goûts grâce aux 10 thématiques qui rythmaient la conférence, comprenant 2 à 3 sessions chacune (oui, 36 sessions sur 3 jours ! Un petit jeu sur le badge des participants nous aidait d’ailleurs à faire notre choix)

    Print

    Des envies et des objectifs communs

    La conférence MyData, c’est avant tout un programme collaboratif et ouvert. Qui le souhaite peut proposer un sujet, une session, un intervenant via un formulaire (“call for proposal”) disponible plusieurs mois avant l’événement. Sur la base de ces propositions, l’équipe éditoriale de la conférence (dont la Fing fait partie) a élaboré plus d’une dizaine de thématiques : RGPD (Règlement Général sur la protection des données personnelles) ; Consentement ; Design ; Éthique ; …

    Imaginez un peu : à un mois de l’événement nous étions 120 à faire partie de l’équipe de programmation, soit en tant qu’organisateur d’une thématique, d’une session, comme intervenant, comme animateur, comme assistant ou encore en qualité de conseiller ponctuel.

    Cette conférence, c’est donc l’occasion d’échanger régulièrement, plusieurs mois avant l’événement, sur l’organisation des 3 jours, certes, mais aussi sur des sujets de fonds. De confronter nos expériences, nos attentes et de créer des synergies nouvelles. C’est ça la communauté MyData. On s’y perd un peu sur Slack, Trello et dans les mails parfois, si nos raisons sont parfois différentes (militantisme pour certains, recherche de position stratégique, de nouveaux marchés pour d’autre, etc), nous sommes tous là avec un objectif, changer de paradigme : un modèle où les données personnelles sont entre les mains des individus qu’elles concernent.

    > Une gouvernance qui se solidifie
    “Avons-nous avancé en un an ?” C’était le titre de l’intervention d’introduction à Tallinn par Antti Poikola d’Open Knowledge Finland, l’un des acteurs les plus actifs derrière MyData. Sans surprise, nous avons encore du chemin à parcourir. Mais la naissance d’un réseau et sa solidification nous permettent d’envisager la suite plus sereinement. Des organisations en Espagne, au Brésil, au Japon, en Italie, au Danemark, en Suisse, en Estonie, en Finlande et, bien sûr en France – via votre humble serviteur, la Fing – se reconnaissent dans les mêmes valeurs et principes. Suffisamment pour se regrouper sous la bannière “MyData”. C’est la naissance des “Local Hubs” : chacun porte, via des publications, des expérimentations, des projets de recherche, le message d’un nouveau modèle de gestion des données personnelles. La plupart de ces hubs locaux, rejoints par des complices ou curieux, se retrouvent lors de rencontres trimestrielles à travers l’Europe. Depuis la fin 2015, tous les trois à quatre mois, entre 30 à 50 acteurs du milieu – depuis de grandes organisations privées et publiques jusqu’aux startups qui proposent des outils pour que les individus soient maîtres de leurs données – se sont retrouvés à Bruxelles, Paris, Helsinki, Londres, Berlin, Tallinn, et bientôt, le 23 novembre prochain, à Aarhus au Danemark (les rencontres sont bien évidemment ouvertes. Inscription ici). L’occasion d’échanger, de partager nos avancées et pourquoi pas de monter des projets ensemble. Ce sont ces rencontres qui ont donné naissance à la MyData Declaration : un texte qui clarifie les principes qui nous rassemblent, que chacun peut signer, en son nom ou au nom de son organisation et qui permet d’affirmer publiquement notre engagement et notre réseau. La gouvernance de ce réseau se concrétise à grands pas. A terme cela nécessitera la création d’une organisation légère qui jouerait un rôle de fédérateur, d’attracteur de nouveaux projets et de porte-voix pour ses membres.

    > Un concept qui grandit
    La conférence MyData de l’année dernière s’était conclue par la synthèse de Valérie Peugeot, qui nous a permis de pointer certaines limites. A travers la sémantique employée (“MyData”, the” internet of me”, “the person is the platform”,  “API of me”, “Me-ecosystem”), les participants s’étaient beaucoup focalisés sur l’individu, en oubliant souvent l’aspect collectif des données et la nécessité de penser les données personnelles comme un outil d’empowerment individuel oui, mais également social. Cette année, ce sujet a été beaucoup évoqué, amenant de nouveaux acteurs et de nouveaux enjeux à la communauté. Contrairement à l’année précédente, de nombreux territoires étaient par exemple présents. La session “National Governments moving towards Mydata” a permis de pointer vers plusieurs projets : en Islande, avec le travail réalisé par l’Etat autour des données de santé ; en Finlande avec l’agence publique pour les transports sur les données de mobilité ; ou à Barcelone avec le Decode Project (multipartenarial). La thématique “Our Data”, inédite cette année a également permis d’évoquer cette question sociale et sociétale de l’économie de la donnée au travers d’interventions sur la souveraineté des données, les communs des données, ou encore la notion de group privacy par Linette Taylor, qui a fait sensation. Vous pourrez retrouver très bientôt sur ce blog deux articles “MyData : un empowerment individuel ou collectif ?” pour explorer plus en détail ces aspects.

    > Le consentement, des progrès notables ?
    Sujet phare de la communauté MyData depuis ses débuts, la question du consentement n’a pas fait défaut cette année. Le “Self Data” suppose que les individus puissent exprimer leurs préférences et leur volonté quant à l’usage des données personnelles qu’ils détiennent désormais, vis-à-vis des applications qu’ils choisissent d’utiliser et auxquelles ils choisissent de soumettre certaines données, sous certaines conditions. Or le soin apporté au recueil du consentement est souvent délaissé actuellement, les Conditions Générales d’Utilisation (CGU) ne représentent pas, dans la plupart des cas, un véritable choix pour l’utilisateur. Comment permettre aux individus de contrôler ce qui est fait de leurs données ? Une thématique entière était dédiée à ce sujet lors de la conférence, au titre sans équivoque : “Making Consent work”. Le prochain article “Retour sur MyData 2017” se propose donc de se concentrer sur les nouvelles contraintes juridiques autour du consentement (présentes dans le Règlement Général sur la protection des données personnelles – RGPD), sur les multiples solutions présentées lors de la conférence et essaie de prendre un peu de recul sur le sujet grâce aux différentes interventions sur ce thème.

    > Des cas d’usage plus aboutis
    Le concept Self Data/MyData s’explique rarement mieux qu’avec un exemple. Il nous a donc semblé nécessaire dès le début de la mise en oeuvre du programme d’avoir une thématique entière consacrée au cas d’usages et surtout au partage d’expérience. Nous avons donc demandé à la communauté MyData élargie de soumettre les exemples qui leur semblaient les plus emblématiques, les plus avancés ou encore les plus prometteurs. Nous avons eu un nombre impressionnant de suggestions, et avons sélectionné un petit échantillon d’une dizaine de porteurs de projet, chercheurs, startupers qui ont “pitché” leurs cas d’usage en 7 minutes chacun (vous pouvez retrouver les vidéos des présentations sur ce lien). Trois gagnants ont ensuite été désignés par le public pour mettre en avant l’aspect concret de MyData. Ils sont révélateurs du contexte actuel, de notre point d’avancement et de la diversité des acteurs de la communauté : Enedis, le principal distributeur d’électricité en France met en place les canaux de transmission pour permettre aux individus de transmettre leurs données de consommation (compteurs connectés Linky) à des services tiers qui leur fourniront ensuite une valeur d’usage sur ces données ; Digime, une startup de gestion de ses données personnelles propose un espace d’administration de ses données de santé ; Andy Brooks, un chercheur de l’université de Californie, Berkeley a étudié l’entreprise finlandaise Suunto (objets connectés) et l’environnement très “MyData” qu’elle a conçue il y a plus de 10 ans. Ces trois gagnants et dix use cases ne représentent cependant qu’une petite partie des cas d’usage du mouvement. Nous avons profité de la conférence pour afficher un segment plus large via une cartographie collaborative designée par le média “Internet of Me” et basée sur une version initiale publiée par la Fing en ligne. Elle reprend les 7 domaines d’usage qui ont été conçus pendant l’expérimentation 2013 de MesInfos, enrichie de 150 services, prototypes ou concepts qui démontrent que nous pouvons déjà faire des choses avec nos données.

    mydatacaseuniverse

    (En ligne : http://mesinfos.fing.org/cartographies/usecases/)

    Encore quelques malentendus à dissiper

    > L’inévitable question de la “propriété des données”
    Comme l’année dernière, nous avons sursauté lorsque nous avons entendu à de multiples reprises des phrases du type “les individus sont propriétaires de leurs données”, “il faut que les individus soient propriétaires de leurs données”… Comme nous le défendons dans MesInfos depuis le début, pour nous la question de la propriété n’est pas la bonne. Les données sont co-produites : par les organisations et par les individus. La question importante est donc la question de l’usage : les organisations peuvent déjà faire usage de nos données, il serait plus symétrique que nous disposions du même pouvoir. Le postulat de la propriété des données est d’ailleurs potentiellement dangereux, car il supposerait que les données personnelles puissent être un bien cessible… ce qui reviendrait à dire que les individus pourraient abdiquer de leurs droits sur leurs propres données.

    > Un problème de sémantique et de cadrage ?
    Nous l’avons vu, l’utilisation du terme MyData avait déjà prêté à confusion l’année dernière : quid de l’aspect social et collectif des données personnelles ? Ne mettons-nous pas trop l’accent et la responsabilité sur les individus ? Le “my” n’évoque-t-il pas trop la propriété ? Concept trop précis pour certains, trop large pour d’autres, le périmètre de MyData peut prêter à confusion (c’est  d’ailleurs l’une des raisons pour laquelle nous utilisons de notre côté le terme Self Data, plus inclusif). Certaines des initiatives présentées lors de la conférence n’étaient pas forcément très compatibles avec ce que nous mettons nous derrière le terme. Comme avec la conférence d’introduction par Siim Sikkut, le Chief Information Officer d’Estonie, présentant les multiples services numériques utiles aux citoyens mis en place par le gouvernement, sans jamais parler d’asymétrie informationnelle ou de consentement. Ou avec certaines présentations qui se concentrent sur la question de l’utilité des données personnelles agrégées et comment inciter les individus à les partager le plus possible. Ou encore la présence de quelques “databrokers” qui permettent aux individus de vendre leurs données personnelles, faux amis qui maintiennent un statu quo intenable. Bref, une représentation du concept parfois peu complémentaire avec la vision d’un monde où l’individu serait maître de ses données, dans le respect de sa vie privée. La multiplication des termes et éléments de langage autour du sujet n’aide d’ailleurs pas à sa prise en main par les acteurs et par les individus. Cette question fera l’objet d’un autre article de notre série “Retour sur MyData 2017”.

    > RGPD : la star du show
    Le RGPD (Règlement Général sur la protection des données personnelles) était sur toutes les lèvres des participants et sur la majorité des kakémonos de startups et entreprises présentées dans le hall principal. Si partout ailleurs il inquiète, à MyData 2017 il a été de nombreuses fois vu comme un levier d’innovation – particulièrement l’article 20 sur la portabilité, permettant aux individus d’’”emporter” leurs données. Il a cependant été malmené lors de nombreux ateliers et présentations, montrant encore une fois à quel point le sujet est sensible et demande un débat constructif et informé. Débats qui ne sont pas étrangers dans MesInfos, nous ayant même conduits à lancer un projet séparé pour faciliter la mise en oeuvre du droit à la portabilité (Rainbow Button / Datacess). Il est fort probable que l’année prochaine nous aurons un retour sur cette thématique, le règlement prenant effet fin mai 2018 ; seulement trois mois se seront écoulés, mais peut-être disposerons-nous déjà de cas et expériences relatifs à l’application du droit à la portabilité ?

    art20iscoming

    Un chemin à construire

    Ces quelques lignes ne représentent qu’une infime partie de tous les échanges qui ont eu lieu à MyData 2017. Les articles suivants iront plus loin sur la question du consentement, de l’aspect social des données et de la sémantique au sein du mouvement MyData, mais certaines thématiques telles que le design, les avancées techniques, l’éthique, les modèles de revenus, toutes évoquées pendant la conférence n’en sont pas moins importantes. Une chose est sûre : nous avons besoin de les explorer de manière collective, et le réseau MyData, qui fête tout juste ses deux ans, est un vecteur idéal pour cela.




    Article importé: http://mesinfos.fing.org/retour-sur-mydata-2017-la-naissance-dun-reseau-durable/
    Par: Manon Molins
    Publié: October 10, 2017, 10:10 am

  • MesInfos

    Startups, candidatez au challenge Self Data !

    Par MesInfos le 5 septembre 2017 Commentaires (1)

    Le pilote MesInfos initié en 2016 lance un Challenge Self Data afin de faire émerger des services & applications qui permettent aux individus de reprendre le contrôle sur leurs données.

    Coordonné par Cap Digital, 3 startups choisies en octobre, 70 000e de dotation, 3 mois pour développer : à vos marques, prêt ? Candidatez !

    – Les candidatures sont acceptées jusqu’au 22 septembre à midi sur le site http://www.poc-and-go.com/
    –  Kick off et réunion d’information du Challenge le 14 septembre matin chez Cap Digital, 75010. Inscriptions ici.

    banner_1600x900__3-logo_lhuquq

    Le pilote MesInfos, c’est quoi déjà ?

    En 2016-2017, La Fing lance le pilote MesInfos avec de grandes organisations publiques et privées partenaires pour implémenter concrètement le Self Data : l’empowerment des individus via leurs données.
    1) Chacun des 2000 testeurs du pilote reçoivent un Cozy Cloud (une plateforme et un espace de stockage privé et personnel)
    2) Plusieurs organisations (Maif, Orange, Enedis, GRDF, EDF, Grand Lyon, …) transmettent à chacun des testeurs (sur leurs Cozy) les données qu’elles ont sur eux. Les testeurs peuvent également ajouter plus de données à leurs Cozy (photos, fichiers, données bancaires …).
    3) Enfin, les testeurs pourront profiter de services disponibles sur l’app store de Cozy, pour tirer une valeur d’usage de leurs données

    Startups : c’est là que vous intervenez !

    Partager les données avec leurs clients est un pas énorme pour les entreprises (qui devront néanmoins s’y engager au-delà du pilote MesInfos d’ici mai 2018, afin d’être conformes au droit à la Portabilité instauré par le RGPD). Mais une fois qu’un testeur a récupéré ses données, les a stockées dans son Cozy, et a vu qu’en effet Orange, Maif, EDF, etc, disposent de beaucoup d’information à son sujet, il n’y voit pas beaucoup d’intérêt…

    Tout l’enjeu est donc de fournir aux individus des services utiles, aux fonctionnalités basées sur des croisements innovants de données encore jamais partagées.  En leur fournissant ce type de service, respectueux de leur vie privée, vous permettrez aux testeurs de reprendre le contrôle sur leurs données (Cozy propose des outils aux utilisateurs pour vérifier ce que les applications font avec leurs données et encourage les applications à effectuer les traitements dans le cozy : chez l’utilisateur).

    Nous lançons donc avec Cap Digital et nos partenaires le « Challenge Self Data » afin de soutenir le développement de ce type de services.

    Nous avons défini trois cas d’usage pertinents pour les testeurs du pilote MesInfos, nous espérons que l’un (ou plusieurs) d’entre eux vous parlera et que vous candidaterez au challenge :
    1) Agenda augmenté : assistant de la vie administrative, optimisation des déplacements, liens avec les données multimédias, système de recommandation, etc.
    2) Relation client réinventée : accès à l’ensemble de ses données personnelles clients et système d’interaction mutualisé avec les organisations.
    3) Réduction de l’empreinte carbone individuelle : accompagnement par l’analyse des données de consommation et stimulation par la proposition de défis personnels

    Pourquoi et comment participer ?

    En participant au Challenge Self Data vous pourrez bénéficier d’une subvention du PIA plafonnée à 70 000 € (montant cumulé partagé entre les 3 participants), rencontrer les organisations du projet pour profiter d’opportunités de partenariats et bénéficier d’un environnement idéal pour tester des manières de tirer parti du nouveau droit à la portabilité garanti par le RGPD.

    En effet, ce challenge vous permettra d’améliorer la fluidité de l’expérience utilisateur de votre produit en vous appuyant sur les données personnelles disponibles, ou même d’explorer des domaines inaccessibles sans ces données ! Les testeurs vous permettront alors de mettre au point ce service, qui pourrait ensuite être généralisé à d’autre plateformes, ou bien même adapté pour récupérer directement les données des partenaires dès mai 2018.

    Candidatez avant le 22 septembre sur http://www.poc-and-go.com/ (plus d’informations sur ce lien)

    ⇒ Le dossier de sélection doit comprendre une présentation du candidat (structure, activités, description) ainsi qu’une présentation de son projet et notamment :
    ◦    Un descriptif des solutions techniques analogues déjà développées
    ◦    Un descriptif des algorithmes, méthodes et outils que le candidat veut tester dans le cadre de ce Challenge
    ◦    Un descriptif des scénarios d’usage, fonctionnalités (wireframes, maquettes…) de l’application que le candidat propose de développer pour l’expérimentation

    Vous serez peut-être l’une des trois startups sélectionnées pour développer une application en 3 mois pour les testeurs du pilote MesInfos !

    Diapositive1




    Article importé: http://mesinfos.fing.org/startups-candidatez-au-challenge-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=startups-candidatez-au-challenge-self-data
    Par: Manon Molins
    Publié: September 5, 2017, 9:50 am

  • MesInfos

    You might have discovered MesInfos during MyData2017 conference. If you want to know all about the project, this blog post is for you !

    logoMesInfos2017_HDB2

    MesInfos project

    « If I (an organization) can use your data, you can too… however you please. » With this particular idea in mind, Fing and its partners launched the MesInfos project in 2012. The MesInfos project explores and implements the Self Data concept in France.
    What would happen if organisations that gather personal data actually shared those datasets with the individuals concerned? From this starting point, MesInfos has set out to explore what could be a real paradigm shift in the digital economy. We call it Self Data: the collection, use and sharing of personal data by and for individuals, under their complete control and designed to fulfil their own needs and aspirations.
    In 2016-2017, we decided to take actions so that the Self Data scenario arise from paper and experiments into reality. We have been leading the MesInfos Pilot since then – to gather organisations holding personal data, platforms/personal clouds, a territory, and an innovation ecosystem to pave the way for a concrete Self Data world (in which organisations are giving back data to their clients under no time limits). In 2017

    - Each of the 3000 testers will get a Cozy Cloud (Personal Cloud), thanks to the insurance provider Maif.

    - Several organisations (insurance, energy and telecom providers to start) will transmit the data they have on them directly to each of the Cozy Cloud, under their complete control.

    - The testers will then be able to add more data (photo, calendar, files…) to their Cozy and enjoy services to help them in gaining use value from their data (for instance services to better manage their lives, improve one’s self-knowledge, …).

     

    –> If MesInfos takes place in France and is mostly documented in French, we built a page with the key information and documents in English.

    –>Want to know more about Self Data ? The Self Data FAQ is made for you.

    –> You are asking yourself « The Pilot project was launched 1 year ago… but what have you been doing since then? », we wrote a blog post about this subject.

     

    MesInfos & MyData

    Fing – through MesInfos project team – is one of MyData conference founders and organizers, along with Open Knowledge Finland, Aalto University and Tallinn University.
    Our collective / cross-border journey began in 2015, when EU DG Connect organized a roundtable about PIMS topic. MesInfos project was invited; we met lots of people, projects, startups, researchers… in other words, this roundtable draw the first lines of a European Community on this subject. We met again and again in 2016 in different cities, helping OKF and Aalto University to design piece by piece the first event about MyData/Self Data model : MyData2016.
    In 2017, the European Community took a step forward : it’s not only about building a 1 shot event, but about building a movement that will last and grow. If MyData conference founders are still totally committed in organizing the event, we are also working with other members of the community on another front : we are participating in building an actual MyData Organization, with its principles, goals, governance…
    One of the first steps of this work is embodied into the MyData principles declaration. Here is an abstract of this declaration :
    « We are entrepreneurs, activists, academics, listed corporations, public agencies, and developers. For years, we’ve been using different words for what we do – MyData, Self Data, VRM (Vendor Relationship Management), Internet of Me, PIMS (Personal Information Management Services) etc, while sharing a common goal: to empower individuals with their personal data, thus helping them and their communities develop knowledge, make informed decisions, and interact more consciously and efficiently with each other as well as with organisations. »
    We are convinced that concrete pilot projects or experiments such as MesInfos (and others) can bring precious learnings that will help this movement to grow !




    Article importé: http://mesinfos.fing.org/mesinfos-mydata-everything-you-need-to-know-about-the-project/?utm_source=rss&utm_medium=rss&utm_campaign=mesinfos-mydata-everything-you-need-to-know-about-the-project
    Par: Marine Albarède
    Publié: August 28, 2017, 9:05 pm

  • MesInfos

    The MesInfos Pilot project – one year later

    Par MesInfos le 28 août 2017

    In early 2016, after four years of researching the ‘return of personal data to individuals’, we launched the MesInfos pilot with a clear goal in mind: move Self Data to the ‘next level’. Why, after many years of exploration and experimentation, did we feel it was time to change gears?

    We had three reasons.
    ●    We felt that the situation (people’s increasing distrust toward organizations – especially regarding the ways organizations use their personal data; the total asymmetry between them in terms of data access and processing capabilities, etc.) could not be allowed to last, and that the time had come to imagine a more sustainable economy and, above all, a desirable society.
    ●    We saw that a change was taking place: there was an ecosystem of services and platforms emerging around personal data (personal clouds, so-called ‘VRM’ services. etc.); more and more conferences were being held on the subject; we were having fruitful discussions with companies who shared our interest in conducting experiments or even creating strategies around Self Data; the European laws regulating personal data protection were evolving, the GDPR was passed, etc.
    ●    Finally, after four years of work with partners and collaborators – some of whom have been exploring the subject with us from the beginning – we knew that if we wanted to learn more about the future of Self Data (and its implications from a technical, organisational standpoint, as well as the uses we might find and the value it could offer to individuals, etc.), we had to move from theory into experimentation, and we launched this ambitious pilot project.

    The format we chose for this pilot was already – partially – tested in 2013 during a short, preliminary experiment using modest technologies (at that time we focused on data file transfer rather than developing an API to transfer data, for example). The goal of the present pilot was to get several large data-holding organizations around the same table and encourage them to return the data they hold to several thousand of their customers or volunteer test subjects (versus the 300 participants we had during the first experiment). To do this, it was necessary for potential testers to have dedicated tools that would enable them to receive, view, understand, store and reuse data with new third-party services (This is what we have termed ‘Self Data’). To give shape to this vision, we chose to collaborate with French personal cloud startup Cozy Cloud. Finally, since we wanted to broaden our knowledge of personal data use and value, we put together a team of researchers from various disciplines (sociology, marketing, ergonomics, etc.).

    A year has gone by. Where do we stand?

    A little more than a year after the launch of the pilot, what assessment can we make of it? It’s difficult to talk about our conclusions, considering that we are still in the middle of things. However, we have already learned a lot, especially about the challenges and difficulties inherent in personal data restitution by organisations. Much remains to be learned, as the majority of our pilot testers are not yet officially invested. So what happened during that first year?

    An in-depth study on making data available. Identifying appropriate data, setting up restitution procedures – which meant developing APIs, or relying on existing APIs – and documenting technology development efforts to make them ‘reusable by third parties’ was quite a long and involved process itself. But working on data restitution also means working on an overall framework (legal and technical), clarifying responsibilities in the data transfer chain and assuaging the concerns of data holders about making data available on the platform – especially in terms of security. Although holders are no longer responsible for the data once it is in the hands of individual testers (on their personal cloud) who can theoretically do what they want with it, restitution is still a jump into the unknown for organizations that have only just discovered Self Data. The ‘data’ area of the project is complex, and it took nearly 6 months to bear fruit.


    Getting from use cases to service prototypes proved to be a challenge. One of the pilot’s goals is to create use cases and Self Data services that testers can experiment with from their Cozy. This is perhaps one of the most complex aspects of the pilot, for reasons that we had already identified during the first experiment. There is the difficulty of attracting startups and entrepreneurs to an emerging market, especially on a new platform (Cozy in this case), the complexity of finding ways to approach a new subject and the quite limited scope of data being given back, which made it difficult to uncover rich cross-data use cases . . . Even though the work started about a year ago (producing about ten prototyped services), these complexities continue to be major obstacles that we still need to overcome. Remember: the Self Data ecosystem – beyond the pilot, in France and internationally – is still in its infancy.

    Platform evolution
    How were we to present not only personal data, but also this new ‘personal cloud’ space? Data visualization and personal clouds are familiar concepts for technophiles, but are alien to most people. Framing new concepts is always a challenge: how to make Self Data and personal clouds intelligible, appropriate and easy to use (among other things)? Cozy had to evolve its interface radically for it to be able to address the pilot’s wider audience.

    The evolution of the regulatory context: a green light – and a red one
    The MesInfos pilot was conceived from the outset as a collective project (explicitly involving partners in major decisions and project management) because Self Data development must necessarily be grounded in a wider ecosystem of data holders, personal data platforms, third-party services and individuals. We spent time reflecting on the evolution of this international ecosystem, the longer-term development prospects of Self Data, what should/could MesInfos become as of 2018 …

    All this was taking place within a shifting legal landscape, given that the (newly-passed) GDPR signaled major regulatory changes in terms of personal data, including granting individuals the right to data portability. The scope and limitations of this right were the subjects of intense debate between the autumn of 2016 and the spring of 2017. Article 29 of the GDPR has since provided a set of guidelines specifying data scope, data types and possible modalities of application. Article 29 has thus been the subject of many – sometimes paradoxical – debates between the actors involved in the MesInfos pilot, and more generally in the Self Data community. Should the scope of the data handed back and the data restitution process in the pilot be the same as defined by the right to portabiity? Does testing things in the pilot necessarily mean that organizations will have to implement these changes more broadly on long-term (after the pilot)?  How can we immediately get started on data portability modalities beyond the sample of 3,000? After all, in 2018, the right to portability will apply to all European citizens!

    To keep the MesInfos pilot on track, we launched a separate study that focuses exclusively on compliance with the right to portability legislation (how to support organizations implementing compliance measures and ensure that personal data offers value that can be shared equally by organizations and individuals?). The Rainbow Button project was born, and is advancing in parallel with the MesInfos pilot. While the MesInfos pilot aims to test, learn about and implement Self Data in a sandbox environment, the Rainbow Button project seeks to identify the specifications for a common framework (UX, technical, legal …) to guide compliance with EU portability legislation that takes effect in May of 2018. The MesInfos pilot and the Rainbow Button study are complementary and mutually beneficial. This work has taken a long time to mature, but is now truly beginning to take shape.

    What about the future?

    We set the bar very high. None of these projects is fully completed – much work remains to be done, especially on the service prototypes. The next few months will also be time for feedback, research, teaching, documentation and formalisation. Having discussed our experiences with other actors in the international Self Data ecosystem (MyData in Scandinavia and Europe, VRM elsewhere), we have come to realise just how unique and exciting the MesInfos pilot continues to be. That shift to the ‘next level’ will depend on how the personal data ecosystem takes shape beyond the MesInfos pilot, and on the long-term commitment of data holders. In this, the newly-legislated right to portability may very well help Self Data, and open the door to a whole new market, if everyone plays the game.

    –> Find here the Pilot Study Documentation – 1st draft

     




    Article importé: http://mesinfos.fing.org/the-mesinfos-pilot-project-one-year-later/?utm_source=rss&utm_medium=rss&utm_campaign=the-mesinfos-pilot-project-one-year-later
    Par: Equipe MesInfos
    Publié: August 28, 2017, 8:56 pm

  • MesInfos

    Le pilote MesInfos, 1 an après

    Par MesInfos le 24 juillet 2017

    Lorsque nous avons lancé le pilote MesInfos, début 2016, après quatre années de travaux sur le sujet du “retour des données personnelles aux individus”, l’ambition était claire : “faire franchir un cap” au Self Data. Pourquoi, après ces premières années d’exploration et d’expérimentation, avions-nous jugé temps d’accélérer les choses ?

    Essentiellement pour trois raisons :
    > Le sentiment que la situation (montée de la défiance des individus vis-à-vis des organisations, en particulier sur le sujet des données, asymétrie totale entre l’accès à l’information et les capacités de traitement des uns et des autres…) ne pouvait plus durer pour penser une économie durable et surtout une société désirable.
    > Le sentiment que quelque chose était en train de bouger : un écosystème émergent de services et plateformes autour des données personnelles (cloud personnels, services se revendiquant de “VRM”…), la multiplication des conférences sur le sujet, les échanges nourris avec des entreprises partageant un intérêt pour lancer des expérimentations voire des stratégies autour du Self Data, l’évolution à venir de la loi européenne en matière de protection des données personnelles, avec le RGPD
    > Enfin, après quatre années de travaux avec des partenaires et complices – dont certains creusent avec nous le sujet depuis le début, le sentiment que pour apprendre davantage de ce que signifierait le Self Data (en termes de défis techniques, organisationnels, économiques, en termes de valeur et d’usages, etc.), nous devions nous confronter au terrain, avec un projet pilote ambitieux.

    Le format que nous avions choisi pour ce pilote, nous l’avions déjà – en partie – éprouvé en 2013 lors d’une première expérimentation, limitée dans le temps et les dispositifs techniques (transfert de fichiers de données et non pas développement d’API pour transférer les données, par exemple). Il s’agissait, avec ce pilote de réunir autour de la table de grandes organisations détentrices de données – publiques ou privées, de les inciter à restituer les données qu’elles détiennent et utilisent dans leur SI à 3000 de leurs clients ou usagers volontaires (contre 300 pour la 1re expérimentation) ; pour cela, il était nécessaire que les futurs testeurs disposent de leur propre outillage, qui leur permettrait de recevoir les données, de les visualiser, les comprendre, les stocker en toute sécurité, et les réutiliser grâce à de nouveaux services tiers (c’est cela, que nous nommons le Self Data). Nous avons ainsi choisi de collaborer pour ce projet pilote avec la startup française de cloud personnel Cozy Cloud, pour donner corps à cette vision. Enfin, puisque nous cherchions à apprendre, nous avons constitué une équipe de chercheurs issus de disciplines diverses (sociologie, marketing, ergonomie…)

    Un an après, où en sommes-nous ?

    Un peu plus d’un an après le lancement du pilote, quel bilan pouvons-nous en dresser ? Difficile de parler de véritable bilan, puisque nous sommes en réalité au milieu du gué : nous avons déjà beaucoup appris, notamment sur tous les défis et difficultés inhérentes à la mise en oeuvre de la restitution des données personnelles pour les organisations. Mais beaucoup reste encore à apprendre, puisque la majeure partie des testeurs du pilote ne sont pas encore officiellement investis. Mais alors, que s’est-il passé pendant cette première année, durant laquelle nous avons beaucoup travaillé en sous-marin ?

    Un travail de fond sur la mise à disposition des données : Identifier les données, mettre en place les process de restitution – souvent, développer des API ou s’appuyer sur des API existantes, les documenter pour les rendre “réutilisables par des acteurs tiers” est un long chantier en soi. Mais travailler sur la restitution elle-même signifie également travailler sur le cadre global (juridique et technique), clarifier les responsabilités sur la chaîne de transfert des données, rassurer les détenteurs sur la plateforme de mise à disposition des données, notamment en matière de sécurité. Même si une fois que les données sont entre les mains des individus, sur leur cloud personnel, les testeurs peuvent théoriquement en faire ce qu’ils veulent – les détenteurs ne sont plus responsables – c’est un saut dans l’inconnu à faire pour des organisations qui découvrent juste le Self Data. Le chantier “données” est complexe, et à lui seul a pris près de 6 mois pour porter ses fruits.

    ImageDonnéesPIloteMI

    Des cas d’usage… aux services prototypés, un défi : Un des enjeux du pilote est de faire émerger des cas d’usage et des services Self Data que les testeurs pourront expérimenter depuis leur Cozy. Il s’agit peut-être d’un des chantiers les plus complexes du pilote, pour certaines raisons que nous avions déjà identifiées lors de la première expérimentation : la difficulté d’attirer des startups et entrepreneurs sur un marché émergent, en particulier sur une plateforme nouvelle (Cozy en l’occurrence) ; la complexité d’appréhender un sujet neuf, un périmètre de données mis à disposition parfois un peu limité pour imaginer des cas très riches de croisement de données… Si le chantier est amorcé depuis un an environ (produisant une dizaine de services prototypés), ces points sont des obstacles majeurs dans son déroulement, qui nous restent toujours à surmonter… Force est aussi de reconnaître que l’écosystème du Self Data – au-delà du pilote, en France et internationalement – est encore tout juste balbutiant. Les plateformes et services Self Data ont besoin de données pour se développer et fonctionner, et les détenteurs de données sont souvent en attente de cas d’usage voire de modèles économiques pour se lancer dans la restitution des données, ce qui limite à ce jour la structuration de ce marché.

    Le travail sur la plateforme
    Comment présenter les données, mais aussi ce nouvel espace “personnel” qu’est le cloud personnel ? Visualiser des données, mais aussi le concept du cloud personnel sont des choses familières pour les profils les plus technophiles, beaucoup moins pour la plupart des individus. C’est toujours un défi : comment rendre intelligible, appropriable, simple d’usage… le Self Data et le cloud personnel ? Il a été nécessaire pour Cozy de faire évoluer son interface, de façon radicale, au cours du pilote, afin de s’adresser à un plus grand public.

    L’évolution du contexte réglementaire : un levier, un frein
    Le pilote MesInfos a été conçu dès le départ comme un projet collectif (associant les partenaires aux grandes décisions et au pilotage du projet) ; le développement du Self Data repose nécessairement sur un écosystème, comprenant détenteurs de données, plateformes personnelles de données, services tiers, individus… Nous avons passé du temps à réfléchir aux évolutions de cet écosystème international, aux perspectives de développement du Self Data à plus long terme, à ce que devrait / pourrait devenir MesInfos à partir de 2018…
    Le tout dans un contexte réglementaire en mouvement, puisque le GDPR signifie des évolutions réglementaires significatives en matière de données personnelles, instaurant notamment un droit à la portabilité des données. Le périmètre de ce droit a été soumis à de nombreuses interrogations entre l’automne 2016 et le printemps 2017 ; le G29 a depuis apporté une série de lignes directrices précisant l’étendue, les données concernées et les modalités d’application possibles. L’article 20 a donc été le sujet de nombreux débats – parfois paradoxaux – entre les acteurs impliqués dans le pilote MesInfos, et plus globalement de la communauté du Self Data : le périmètre des données et les modalités de restitution devaient-ils s’aligner sur ce que serait ce droit ? Tester des choses dans le pilote signifie-t-il jurisprudence en matière de restitution des données personnelles ? Comment penser dès à présent des modalités de portabilité des données dimensionnées pour plus de 3 000 personnes, puisque le droit à la portabilité concerne à partir de 2018 tous les citoyens ?

    portability
    (Via Tristan Nitot)

    Pour ne pas perdre de vue les objectifs du pilote, nous avons choisi de lancer une réflexion autour de l’application du droit à la portabilité (comment accompagner les organisations dans la mise en oeuvre de ce droit et faire en sorte que cela soit porteur de valeur partagée, pour elle comme pour les individus ?), tout en dissociant cette réflexion du pilote. Le projet Rainbow Button était né, avançant parallèlement au pilote MesInfos : ce dernier vise à tester, apprendre, mettre en oeuvre le Self Data en bénéficiant d’un bac à sable concret ; le Rainbow Button vise quant à lui à définir un cahier des charges, un cadre commun (UX, technique, juridique…) de mise en oeuvre de la portabilité applicable à compter de mai 2018. Les deux se nourrissent et sont complémentaires ; cet édifice a mis du temps à mûrir et à se mettre en oeuvre, mais commence à prendre corps.

    >> Retrouvez la documentation de l’amorçage du projet sur 2016 et début 2017 (.pdf, un document qui évoluera à mesure des avancées et enseignements du pilote).

    Demain, quelles suites ?

    La marche que nous nous étions fixée était très haute. Aucun de ces chantiers n’est totalement terminé – il reste beaucoup à faire, notamment du côté des prototypes de services ; les mois prochains seront aussi le temps des retours d’usage, de la recherche, des enseignements, de la documentation et de la formalisation. Pour en avoir discuté avec d’autres acteurs de l’écosystème international autour du Self Data (MyData dans les pays scandinaves, VRM ailleurs…), un an après son lancement, le pilote MesInfos reste une expérience inédite et excitante. Le “passage de cap” dépendra, au-delà du déroulement du pilote lui-même, de la structuration de l’écosystème que nous mentionnions et de l’engagement pérenne de détenteurs de données. En cela, le droit à la portabilité pourrait bien aider le Self Data, ouvrant la porte d’un tout nouveau marché, si chacun joue le jeu.




    Article importé: http://mesinfos.fing.org/le-pilote-mesinfos-1-an-apres/?utm_source=rss&utm_medium=rss&utm_campaign=le-pilote-mesinfos-1-an-apres
    Par: Marine Albarède
    Publié: July 24, 2017, 10:51 am

  • Pour la seconde année consécutive, la Fing (au travers de l’équipe MesInfos) contribue à l’organisation et au programme de la conférence internationale MyData, qui se tiendra à Tallinn (Estonie) et Helsinki (Finlande) du 30 août au 1er septembre 2017.

    Près de 800 participants venus du monde entier y partageront leurs connaissances, expériences et projets à propos du développement du Self Data – l’utilisation des données personnelles par les individus eux-mêmes, à leur initiative et sous leur contrôle.

    Les conférences et ateliers s’organisent autour de 12 thèmes qui couvrent à la fois les usages, les modèles économiques, les défis techniques et juridiques, les initiatives en cours dans différents pays ou territoires… Plusieurs partenaires de MesInfos y interviendront.

    La conclusion de la conférence sera l’occasion d’annoncer la création d’une organisation globale qui fédérera les acteurs du Self Data. La Fing fait partie de ses initiateurs.

    Programme et inscription : mydata2017.org




    Article importé: http://mesinfos.fing.org/mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki/?utm_source=rss&utm_medium=rss&utm_campaign=mydata-2017-30-aout-au-1er-septembre-tallinn-helsinki
    Par: Daniel Kaplan
    Publié: July 20, 2017, 12:19 pm

  • Que signifie pour une organisation se lancer dans le Self Data ? Comment faire pour restituer des données personnelles à ses clients ou usagers ? Une année de travail dans le cadre du pilote MesInfos nous a permis de documenter le process, les écueils, les leviers, les étapes… de la restitution des données, pour un détenteur qui souhaiterait se lancer dans le Self Data.

    Nous avons identifié 4 questions clés pour les organisations qui souhaitent lancer un projet de Self Data. Mais une partie de ces enseignements peut aussi nourrir les projets de mise en oeuvre de la portabilité, telle que définie par le GDPR (Règlement Européen de Protection des Données Personnelles).

    Ces éléments ont vocation à s’enrichir au fil de l’année, mais nous espérons qu’ils pourront d’ores et déjà nourrir les réflexions des uns et des autres !

    “Je souhaite engager mon organisation dans la restitution des données personnelles, mais je ne sais pas par où commencer. Quels collaborateurs associer en interne ? Quel est le premier chantier ?”

    La restitution des données personnelles aux clients ou aux individus est de fait un projet très transverse. Différents services et plusieurs personnes seront à associer à un moment ou à un autre du projet : innovation, marketing, DSI, services juridiques, métiers… un bon point de départ est de commencer par identifier des interlocuteurs, afin de présenter le projet en interne à plusieurs de ces collaborateurs, éventuellement en associant des acteurs de l’écosystème Self Data (Fing ou acteurs similaires, plateformes Self Data, etc.).

    Quelles étapes pour la restitution des données à proprement parler ? Comment mettre cela en oeuvre ?

    On peut décrire le processus avec les phases suivantes.

    1. Formuler une liste des données : établir une liste de ce qu’il y a dans vos systèmes d’information en termes de données, que vous envisagez de transmettre aux individus qu’elles concernent (idéalement en mobilisant des collaborateurs de la DSI – voire de la gouvernance de la donnée – des métiers, habitués à travailler avec ces données au quotidien, et de la relation client / marketing)

    2. Initier une procédure d’approbation de l’initiative, du principe et des modalités de transmission des données, et de la liste des données par votre organisation.

    Tous les partenaires qui transmettent des données en 2016 dans le pilote MesInfos ont dû passer par là. Ces procédures internes étaient dans chaque cas différentes, mais en général assez longues, et demandant de porter le message en interne dans différents services. Ici encore, associer des acteurs extérieurs peut être opportun.

    3. Formaliser la liste des données, en commencer la documentation. Cela permettra notamment de l’ajouter dans un outil indispensable au pilote : http://mesinfos.fing.org/cartographies/datapilote/. Cet outil est un support d’échange clé avec les acteurs du projet, et permet de faciliter l’appropriation des données par des ré-utilisateurs (cela mobilisera la DSI et ses métiers pour élaborer la documentation précise).

    4. Préparer un système de transmission : nous penchons vers des éléments automatiques, mais pour l’instant cela reste des solutions assez légères, dimensionnées pour les quelques milliers de testeurs du pilote.

    Ici, les questions à traiter (qui mobiliseront principalement la DSI) :

    - identification : comment relier l’individu qui demande ses données, à son identifiant client dans le SI (et ainsi à ses données) ?
    - authentification : comment s’assurer que la personne qui demande ses données est bien celle qu’elle prétend être ?
    - transmission : comment transmettre de manière sécurisée les données ?

    De quelles données parle-t-on ? Quel format, quel standard ? Quelles possibilités de visualisation ?

    On trouve en général différentes catégories de données personnelles :

    - Les données administratives et sur la relation client (CRM) : fiche client, données de segmentation, facturation, contrat, … On les retrouve dans toutes les organisations, souvent avec quelques spécificités. Elles amènent des cas d’usages assez administratifs. Par exemple, le cas d’usage de mise à jour automatique de ces données, de l’individu vers l’organisation, souvent évoqué comme une perspective intéressante par les organisations.

    - Des données transactionnelles souvent très liées et spécifiques au métier de l’organisation. Ce sont les relevés de consommation d’énergie (des compteurs connectés), les relevés de comptes, les sinistres (assurances), le journal d’appel, … Elles offrent souvent un regard et un point de vue objectif à l’individu sur des actions dont il n’a pas forcément pleinement conscience. Ce sont ces données qui ouvrent le plus les potentiels de cas d’utilisation, et la valeur d’usage des services sur les Self Data.

    - Des traces et des communications et points de contact entre l’organisation et son client, tels que les horodatages de connexion sur l’espace client Web, les dossiers de suivi du service client… On imagine immédiatement une exploitation partagée de ces données par l’organisation et l’individu, tant la transparence et l’efficacité sont précieuses dans ces moments pour les deux parties.

    Les modèles de données et formats sont peu challengés, mais font l’objet d’une traduction dans la plateforme (Cozy), afin de les rendre plus cohérents, d’un point de vue transsectoriel.

    Capture d’écran 2017-05-24 à 16.06.31

    Quelle responsabilité pour le détenteur de données ?

    De manière relativement simple, une société détentrice de données personnelles, qualifiée de responsable du traitement au regard de la loi « Informatique et Libertés », n’est plus responsable des données une fois que :

    - Celles-ci ont été transférées à la personne concernée ;

    - Et qu’elle n’opère plus de traitement sur lesdites données (ce qui exclut tout traitement, y compris par une application fournie par le détenteur sur le cloud privé).

    En d’autres termes, la responsabilité de traitement du détenteur s’arrête au moment où il n’a plus la maîtrise des données (en termes de finalité d’usage et de moyens de traitement) dans la mesure où il transmet ces dernières à la personne concernée.

    Par ailleurs, de manière plus générale, la transmission des données est sans incidence, d’un point de vue juridique, sur les obligations du détenteur quant au traitement initialement opéré sur les données.

     

    Mais alors, quel lien entre le pilote MesInfos et le GDPR ?

    Quel lien peut-on faire avec l’évolution de la réglementation européenne concernant les données personnelles, notamment au regard de l’article sur le droit à la portabilité du GDPR (General Data Protection Regulation) ?

    Le périmètre de ce droit, tel que défini notamment par la CNIL et le G29, est large. Il comprend toutes les données personnelles qu’un individu donné a fourni (“provided”) au détenteur de données/responsable de traitement (voir question suivante).

    L’article 20 du GDPR engage dans tous les cas les organisations à rendre ce droit à la portabilité effectif dans les deux années qui viennent (d’ici mai 2018).

    Ainsi, le pilote MesInfos est une manière pour les partenaires de réfléchir à ce droit ; une occasion de déterminer les manières de se mettre en conformité avec le règlement et donc d’appliquer le règlement le plus vite possible, pour prendre un temps d’avance et créer pour eux comme pour leurs clients de la valeur autour de ce nouveau droit. Pour le dire autrement ce droit n’a jamais été mis en pratique ;  en ce sens, le pilote MesInfos est une manière d’expérimenter des réponses techniques et juridiques. Il sera l’occasion de lister les questions et d’explorer des pistes qui permettent aux partenaires du pilote d’alimenter le travail des juristes dans les entreprises, en vue de l’implémentation du droit à la portabilité.

    Quelles données sont concernées par ce droit ?

    Le périmètre des données restituées dans le cadre du pilote MesInfos (qui correspond, en quelque sorte, à une mise en pratique du droit d’accès) ne sera probablement pas identique à celui du droit à la portabilité.

    En effet, la mise en oeuvre du droit à la portabilité ne concerne pas toutes les données concernées par le droit d’accès. Le règlement fait références aux données “fournies” par l’utilisateur d’un service ; le périmètre est ainsi évidemment plus large que les seules données de formulaire, fournies par un utilisateur à l’inscription.  Ces données “fournies” par l’individu couvrent à la fois (1) des données fournies proactivement (par exemple, adresse mail, âge, nom, etc.) et (2) des données “fournies” passivement par l’individu qui utiliserait un service.  Ce second cas concerne par exemple des données d’historique de recherche, de géolocalisation, de trafic, ou d’autres données “brutes” telles que les mesures effectuées par des capteurs, objets ou applications (par exemple “nombres de pas” dans le cas du quantified self, données de consommation des compteurs communicants, etc.).

    NB : Il peut y avoir des impossibilités justifiées de rendre ce droit à la portabilité pour certaines données (impossibilité technique, etc.), mais les motifs qui peuvent être invoqués sont très limités.

    Qui est le responsable de traitement lorsque les données sont portables ?

    La cascade de responsabilité est encore à définir. Mais globalement, la responsabilité d’un détenteur de données A s’éteint à partir du moment où il y a transfert des données vers un détenteur B.

     

     

     




    Article importé: http://mesinfos.fing.org/restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations/?utm_source=rss&utm_medium=rss&utm_campaign=restituer-les-donnees-ca-veut-dire-quoi-1er-mode-demploi-pour-les-organisations
    Par: Marine Albarède
    Publié: May 24, 2017, 4:27 pm

  • Le Blue Button américain – qui permet à 150 millions d’Américains de télécharger leurs données de santé et de les transmettre à des services tiers – a toujours été une inspiration pour le projet MesInfos. Mais les données de santé ne sont pas des données comme les autres. Éminemment sensible, la question du Self Data en Santé nous a semblé demander une approche différente de celle que nous menons dans le cadre de MesInfos.

    C’est pourquoi en 2015, le groupe MesInfos Santé – piloté par la Fing – rassemblait acteurs publics, privés et associatifs, issus pour les uns du monde de la santé et pour les autres du numérique, pour commencer à explorer la perspective d’un Blue Button à la française : partager le pouvoir des données de santé avec les individus qu’elles concernent. Nous avons organisé des ateliers de « chasse à la donnée », afin de cartographier les données pertinentes pour la santé des individus, des ateliers de co-conception de services pour imaginer les usages que les individus pourraient faire de leurs données et nous avons exploré plus en détail les défis et pistes de réponses qu’implique ce changement de paradigme.

    En 2016 nous avons voulu faire franchir un pas au Self Data en santé, en allant au-delà de l’exploration. Nous nous sommes associés à la Commission TIC&Santé (initiative interpoles de compétitivité) afin de créer un groupe de travail pour imaginer collectivement les conditions d’expérimentation du “Blue Button à la française”. Nous avons pu bénéficier des retours de terrain du Blue Button américain par la doctorante Sarah Medjek (Fing/Université Paris 10 – Nanterre) qui a rencontré de nombreux acteurs clefs aux États-Unis. Pendant plusieurs mois, associations de patients, professionnels de santé, Sécurité Sociale, mutuelles, industriels, startups, chercheurs, régulateurs… se sont réunis autour de deux objectifs. Le premier : coproduire une “Charte” commune, formalisant objectifs, principes et exigences, associés au retour des données de santé aux individus. Nous avons ainsi publié en novembre dernier la charte « mes données, ma santé », signée par les membres du groupe de travail. Le second objectif visait à préparer l’année 2017 et la mise en action des principes de cette charte : nous avons décrit le scénario d’une expérimentation du partage des données de santé avec les individus qu’elles concernent.

    En 2017, c’est donc cette expérimentation imaginée par des acteurs aux profils complémentaires qui se profile ! Portée par Cap Digital – en collaboration avec la Fing – elle réunira de grandes organisations détentrices de données acceptant de les restituer aux testeurs (assureurs, hôpitaux, laboratoires, institutions …), ainsi que des associations de patients, startups, acteurs de la donnée, chercheurs… Elle porte le nom « Mes Données, Ma Santé » et a pour objectif principal de démontrer la valeur d’usage du Self Data en matière de santé : quels bénéfices les individus peuvent-ils tirer d’un véritable accès à leurs données, mais aussi quelle valeur d’usage pour les autres acteurs du système de santé ?

    Comme prélude à cette expérimentation, nous publions aujourd’hui le résultat des deux années de travaux sur le Self Data en santé. Ce livret actualise une première publication de mai 2016. Il présente les grands enjeux de ce que pourrait être un dispositif “Blue Button” en France et s’enrichit des enseignements de l’année écoulée, de paroles d’acteurs membres du groupe de travail, des retours de terrain du Blue Button américain, de la charte « Mes données, Ma Santé » et du scénario d’expérimentation du même nom.

     

    > Télécharger directement Livret MesInfos Santé : « mes données, ma santé : pour un Blue Button à la française » 2e édition, Avril 2017, 56p, PDF

     

    L’expérimentation « Mes Données, Ma Santé » constitue une exploration inédite des opportunités et des défis de la reprise en main de leurs données par les individus en termes de santé et de bien-être, mais aussi d’innovation et de création de valeur. A vous de faire partie de la dynamique en rejoignant l’expérimentation et les réflexions à venir !




    Article importé: http://mesinfos.fing.org/de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition/?utm_source=rss&utm_medium=rss&utm_campaign=de-lexploration-a-lexperimentation-publication-du-livret-mesinfos-sante-2e-edition
    Par: Manon Molins
    Publié: April 25, 2017, 11:32 am

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

  • Nous avons tenu la troisième de nos Rencontres du Self Data le 22 février 2017. Elle s’inscrit dans le cadre du pilote MesInfos – qui constitue un effort collectif de différentes entreprises pour s’engager concrètement dans le Self Data. Ces entreprises restituent ainsi en 2016 et 2017, pour la première fois de manière pérenne, les données de leurs clients à ces derniers, pour qu’ils en fassent ce qui a du sens pour eux.

    L’objectif de cette troisième rencontre était d’explorer plus profondément les défis juridiques du Self Data. Le Self Data implique de nombreux acteurs : responsables de traitements initiaux (les détenteurs de données), individus, plateformes et services permettant aux individus de tirer une valeur d’usage de leurs données… Les flux de données sont donc multiples et impliquent différentes responsabilités juridiques et de forts besoins afin de créer les conditions du partage et d’un consentement éclairé.

    Le projet MesInfos échange avec la Cnil depuis ses débuts en 2012, et le pilote MesInfos est un des moyens d’avancer concrètement sur ce défi. C’est donc tout naturellement que nous avons tenu cette rencontre au LINC, le Laboratoire d’Innovation Numérique de la Cnil ! La discussion s’est appuyée sur 4 interventions :

    - Geoffrey Delcroix, du LINC (Cnil) replace le Self Data dans son contexte juridique, depuis la loi I&L de 1978 jusqu’au récent règlement européen (GDPR).

    - Thomas Saint Aubin de Privacytech propose la co-construction d’outils à destination des start-ups et des juristes pour imaginer des services qui seraient privacy by design.

    - Hugo Roy de Terms of Service, Didn’t Read, présente cet outil collaboratif qui permet aux citoyens de comprendre rapidement les CGU qu’ils signent presque quotidiennement sans être en capacité de les lire.

    - Thomas Menant de France Connect, raconte le dispositif étatique qui permet aux individus de s’identifier et de s’authentifier auprès de services sans avoir à créer de nouveaux comptes

    Cet article est une adaptation écrite de leurs interventions et des échanges qui ont suivi. Vous y retrouverez également les slides des intervenants.

    1 – Geoffrey Delcroix : le Self Data dans le droit.

    Geoffrey Delcroix commence par rappeler la généalogie des lois autour de la protection des données personnelles, de la création de la CNIL en 1978, au Règlement Européen de Protection des Données personnelles (GDPR), mis en application d’ici mai 2018. Le service LINC dont il fait partie porte notamment des actions de prospective, et est partenaire du projet MesInfos depuis ses débuts ; l’une de leurs missions est en effet d’accompagner des projets neufs et innovants.

    La loi de 1978 ne parle pas que de protection des données, elle porte aussi des libertés  : “L’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”. Dans le cadre du Règlement Européen, il y a un certain nombre de choses nouvelles, notamment l’objectif d’accroître les droits des individus par la mise à jour et la précision des droits d’accès et de rectification… ainsi que la vraie nouveauté du droit à la portabilité.

    Lors de la phase expérimentale du projet MesInfos en 2013, 300 testeurs ont pu accéder à leurs données et ont pu les utiliser pour une période de 8 mois. Le travail de l’encadrement juridique était relativement “manuel”. On pouvait par exemple s’appuyer sur des consentements explicites. La phase de projet pilote de 2016/2017, dans laquelle on cherche à diffuser, industrialiser le Self Data, est un peu différente, et implique des réponses plus universelles.

    Il y a de nombreux défis en lien avec le pilote MesInfos :

    - La qualité et la granularité des données restituées aux personnes

    - Des briques d’explicitation du côté des services (CGU, termes d’utilisation, permissions etc.)

    - Le lien avec le droit à la portabilité instauré par le GDPR : ce n’est pas un droit d’accès 2.0, c’est une véritable nouveauté. Ce n’est pas non plus la portabilité telle qu’elle est entendue dans le droit à la concurrence (comme le transfert du numéro de téléphone d’un fournisseur à un autre).

    photocnil

    Sur ce sujet du droit à la portabilité, le G29 a produit un certain nombre de lignes directrices. C’est en effet l’un des éléments du règlement qui a fait l’objet d’un nombre important de demandes de précision. La Cnil a par ailleurs ouvert les lignes directrices aux commentaires début 2017.

    Geoffrey Delcroix amène quelques précisions sur ce droit à la portabilité :

    1) L’objectif de ce droit est de donner un moyen aux individus de recevoir leurs données et de les réutiliser. Il ne s’agit pas juste de les transférer d’une entreprise à une autre, on sort donc du strict doit à la concurrence.

    2) Le périmètre des données concernées est aussi un point important ; le droit s’applique sur les données “fournies”. Il ne s’agit pas que des données que l’individu a indiquées au moment de la souscription à un service avec un formulaire, sinon il ne récupérerait que son mot de passe, son nom, son adresse… ! Le législateur n’aurait pas pris la peine de créer ce droit, de passer plusieurs années à la rédaction de ce règlement si c’était uniquement cela. Par ailleurs, en aucun cas le G29 n’a cherché à étendre le règlement, mais plutôt à en faire la traduction : il s’agit bien des données qui résultent de la relation entre individu et service : données de compteurs intelligents, d’objets connectés, historique de recherche, géolocalisation, relevé d’appels…

    3) Des questions fréquentes sur ce droit

    - Quels moyens ? Les API sont mentionnées comme un des moyens privilégiés pour les organisations de se mettre en conformité avec le règlement.

    - Qui est responsable de quoi ? Une fois la copie des données que l’entreprise A détient sur un individu est transmise à cet individu (ou à l’entreprise B sur la demande de l’individu), l’entreprise A n’est plus responsable de cette copie.

    - Comment fournir des données portables ? Les trois critères prioritaires sont le format, qui doit être structuré, communément utilisé (interopérabilité souhaitée) et lisible par une machine.

    Ce nouveau règlement marque un moment important pour le Self Data. Les lignes directrices du G29 citent d’ailleurs le dispositif MesInfos comme un moyen de faire de ce droit une source d’innovation et de promotion de nouveaux modèles de revenus : “This right [to portability] aims to foster innovation in data uses and to promote new business models linked to more data sharing under the data subject’s control (See several experimental applications in Europe, for example MiData in the United Kingdom, MesInfos / SelfData by FING in France)”

    2 – Thomas Saint Aubin : design your privacy, des outils pour les startups et juristes

    Thomas Saint Aubin est spécialiste en stratégies juridiques et digitales, il est le coordinateur du projet collaboratif PrivacyTech, associant notamment le monde universitaire, du droit, de la technologie, plusieurs communautés (Open Law, MesInfos, etc.). Ce projet a démarré en 2015, suite à un travail sur les clauses liées à la privacy. L’ambition est notamment de passer d’un référentiel de CGU (Condition Générale d’Utilisation) à un référentiel de CGR (Conditions Générales de Réutilisation).

    L’approche est très empirique, appuyée sur des analyses de cas ; elle a abouti sur la constitution d’un référentiel de CGR publié sur Github. Un des éléments du référentiel concerne par exemple les questions du devenir des données en cas de fusion/acquisition d’un service.

    C’est un référentiel collaboratif : les juristes peuvent déposer des clauses en licence creative commons. L’objectif est de former les juristes, mais aussi de générer des formulaires afin de créer des CGU pour des startups, puis de leur attribuer des icônes.

    IMG_1572

    Des temps forts sont organisés pour enrichir ces collaborations : le mois de mars par exemple comprend des ateliers ouverts pour former les juristes au dépôt de clauses et à la génération de smart contracts ainsi qu’un hackathon pour créer un générateur de CGU et ses icônes associées. Au-delà d’outils pratiques, la sensibilisation n’est pas en reste : des pièces de théâtre sont jouées pour expliquer de manière ludique les questions de privacy (la prochaine est en juin, sur le droit à la déconnexion) et grâce à un partenariat avec la MGEN, des formations sont organisées dans les écoles.

    Retrouvez la présentation de Thomas Saint Aubin ici.

    3 – Hugo Roy : Terms of Service, Didn’t Read, comprendre les CGU

    Hugo Roy est le co-fondateur du projet ToS;DR (Terms of Service, Didn’t Read), fondé en 2012. Le défi que ToS;DR tente de relever est “comment donner une information aux individus sur les services qu’ils utilisent régulièrement ? Comment outiller les fournisseurs de service ?”

    Pourquoi ce défi est-il important ?

    - La première raison est la longueur et le nombre de CGU (Conditions Générales d’Utilisation) : chaque service (Youtube, Facebook, etc) en a des différentes, faisant parfois des dizaines et des dizaines de pages (62 pages pour iTtunes !). Un individu aurait ainsi besoin de 76 jours par an pour simplement lire les CGU qui le concernent, qu’il a accepté pour pouvoir profiter de services.

    - La seconde raison est la mise à jour extrêmement fréquente des CGU : les services évoluent, en termes de champ de données partagées, à l’image de Facebook qui a considérablement élargi ce champ depuis 2005. Suivre les évolutions des CGU des services que nous utilisons relève de la mission impossible.

    - La troisième raison est la complexité des CGU. Il ne suffit pas de les lire, il faut les comprendre. Or elles sont rédigées en langage juridique. Un travail sur les icônes pour illustrer simplement les conditions est important.

    ToS;DR est un projet franco-germano-néerlandais, qui a travaillé principalement sur des services américains, afin de développer une compréhension de leurs CGU auprès d’une communauté d’utilisateurs, et de rétablir un certain équilibre.

    IMG_1576

    Concrètement, la communauté, après avoir passé en revue les CGU et débattu :

    - Met une note, basée sur plusieurs critères. En termes d’iconographie et de catégorisation, le projet reprend l’approche des étiquettes énergie, mise en place par l’UE avec classement A++, A+, A, B, C…, Ces informations ont une API et un plug-in permet d’afficher cette note dans le navigateur des individus pour chaque site recensé.

    - Rend lisibles les informations les plus importantes, en quelques points clés.

    - Catégorise les CGU par sujets, ce qui permet de comparer comment les services abordent cette question.

    - Appelle les services à résumer eux-mêmes leurs CGU, et à les mettre à jour. Ces mises à jour sont ensuite ouvertes aux commentaires.

    Hugo Roy revient sur cette expérience : selon lui, elle démontre qu’il y a un vrai besoin de créer des outils ; notamment sur les questions de privacy by design. Il s’agit de renforcer les outils pour des CGU plus lisibles…. et ce plus encore dans un contexte de droit à la portabilité ! L’objectif serait que chaque service renseigne mieux ses CGU, dans des formats interopérables, qu’elles soient réutilisées entre responsables de traitement. Le défi est donc de faire communiquer deux organisations autour de ces questions, pour faciliter l’exercice de la portabilité, afin qu’un responsable de traitement B soit informé des consentements et finalités qu’un individu a donnés au responsable A (surtout dans le cas de données pouvant concerner des tiers).

    Thomas Saint Aubin et Hugo Roy nous présentent donc deux projets complémentaires qui vont dans le sens d’un règlement européen sur les données personnelles, qui fait de la protection et de l’empowerment des individus une priorité. Le point commun des deux projets : ils sont collaboratifs et traitent des enjeux juridiques des CGU, construisent des référentiels. PrivacyTech vise à outiller les start-ups et les juristes pour créer un environnement de privacy by design favorable aux utilisateurs, tandis que ToS;DR outille les individus dans leur utilisation des services numériques.

    Les participants s’interrogent alors : la Cnil et les organisations publiques ont-elles un rôle à jouer dans ces référentiels/ces outillages : labellisation, financement ? Selon Thomas Saint Aubin : “nous devons réinventer les manières de collaborer, et le sujet des référentiels est un des sujets possibles, sur lesquels la CNIL ou l’Etat n’ont pas vocation à agir seuls”. L’Etat et la Cnil n’ont pas vocation à être le bras armé de la privacy, selon Geoffrey Delcroix, la multiplication des contrôles et des vérifications a priori, n’est d’ailleurs pas dans l’esprit du règlement européen.

    4 – Thomas Menant : France Connect, un dispositif utile pour le droit à la portabilité

    Le rencontre se termine par l’intervention de Thomas Menant, juriste qui a travaillé sur le projet France Connect (Dinsic / Direction interministérielle des systèmes d’information et de communication de l’Etat). L’occasion de jeter un oeil sur un dispositif qui faciliterait grandement la mise en place du droit à la portabilité !

    France Connect est un dispositif qui permet aux individus de s’identifier et de s’authentifier auprès d’un certain nombre de services. En 2017, plus de 500 000 personnes utilisent France Connect (principalement pour des services publics, avec des services privés à venir).

    C’est un dispositif qui permet aux individus de se connecter à un service sans avoir à créer de nouveau compte. Ils s’identifient en cliquant sur le bouton “France Connect” avec leurs login et mot de passe d’un fournisseur d’identité agréé (La Poste, les Impôts et l’Assurance Maladie). Le compte est un alors compte certifié, car l’identité de l’individu ou de l’entreprise a été vérifiée par ce fournisseur.

    IMG_1580

    A titre d’exemple, le service public “consulter ses points de permis” demande un numéro de dossier et un code confidentiel, deux informations que l’on a pas forcément sous la main… Le bouton France Connect est présent sur le site de ce service public, il suffit alors de rentrer son identifiant et son mot de passe de La Poste, des Impôts ou de l’Assurance Maladie !

    L’individu peut également accepter que ses données soient transmises automatiquement depuis un service à un autre, sous son consentement, France Connect garantit ce consentement et assure la traçabilité des échanges.

    Or le droit à la portabilité implique pour les organisations détentrices de s’assurer qu’elles restituent les données à la bonne personne : France Connect pourrait faciliter cette authentification et l’échange de données entre un responsable de traitement A et B !

    Cette rencontre a été l’occasion d’échanges sur des sujets juridiques essentiels à la création d’un monde de Self Data dans lequel les individus seront maîtres de leurs données. Le travail sur les permissions, les CGU et le partage des données avance, grâce à des communautés impliquées, et le droit à la portabilité est une des avancées législatives majeures qui devrait permettre de faciliter cela, à condition que les organisations répondent à cette régulation de manière positive, et y voient un source d’innovation et de création de valeur !

    Rendez-vous le 25 avril à 15h à la Fing pour la prochaine des “Rencontres du Self Data” sur le sujet des données de santé. Venez nombreux !




    Article importé: http://mesinfos.fing.org/les-rencontres-du-self-data-les-defis-juridiques-du-self-data/?utm_source=rss&utm_medium=rss&utm_campaign=les-rencontres-du-self-data-les-defis-juridiques-du-self-data
    Par: Manon Molins
    Publié: April 3, 2017, 4:17 pm

Conception & réalisation : Facyla ~ Items International

Plateforme construite avec le framework opensource Elgg 1.8

Feedback

Vous avez une remarque à faire, de nouvelles idées à proposer ou un bug à signaler ? Nous serions ravis d'avoir votre retour.
Humeur :  

A propos de :  

 

» Afficher les précédents feedbacks