Portabilité des données : de quoi parle-t-on ?

17 octobre 2015

L’article 12 du projet de loi pour une République numérique propose aux clients de services Web (email, réseaux sociaux, etc.) la possibilité de récupérer leurs données personnelles afin de pouvoir les transférer vers un autre prestataire de services. Ces dispositions sur la portabilité des données devraient donner davantage de latitude aux internautes quant au choix des services qu’ils utilisent au quotidien.

Quels sont les préalables à l’instauration d’un droit à la portabilité des données ? Qu’est-ce qu’implique juridiquement cette portabilité ? Le cadre juridique français est-il le mieux adapté pour légiférer sur un tel sujet ? Quid du possible impact d’une telle disposition sur les business models de nombreuses entreprises numériques ? RSLN fait le tour de la question.

Ce que propose l’article 12 du projet de loi pour une République numérique :

  • Objectif : « Instaurer un droit à la portabilité des données »
  • Explication : « Ce nouveau droit permettra aux clients de récupérer leurs données auprès de leurs prestataires de services numériques (e-mails, photos, listes de contacts etc.) et de les transférer auprès d’autres prestataires en cas de changement. La perspective de perdre ses données ou de devoir se lancer dans une fastidieuse récupération manuelle de celles-ci peut en effet inciter l’utilisateur à renoncer à changer d’opérateur, quand bien même il ne serait plus satisfait de ses services. »

 

Faire de la portabilité des données un droit

Union européenne, rapport de la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale, projet de loi pour une République numérique… Les initiatives qui visent à entériner un droit à la portabilité des données sont nombreuses. L’objectif : aller plus loin que les droits d’accès, de rectification et d’effacement – qui nécessitent d’être justifiés en démontrant une atteinte – dont peuvent à l’heure actuelle se saisir les citoyens pour instaurer un véritable droit d’extraction et de réutilisation des données personnelles.

Selon Christiane Féral-Schuhl, avocate spécialiste du droit de l’informatique et des données personnelles et co-présidente de la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale, deux préalables à l’instauration de ce nouveau droit méritent une attention toute particulière :

  • « Le premier est de concevoir ce droit à la portabilité des données dans une approche qui n’est pas seulement individuelle mais également communautaire, en réfléchissant à des modalités d’exercice dans une architecture centralisée. Par exemple, l’individu qui voudrait quitter un réseau social, voudrait aussi partir avec toutes ses relations et ses contacts.
  • Le deuxième préalable consiste à permettre à une entreprise de continuer à utiliser des données non personnelles qu’elle aurait pu générer à partir des données originelles pour ne pas fragiliser la chaîne de valeur de l’entreprise, en faisant peser sur elle le risque permanent que la personne concernée pourrait soustraire à tout moment la valeur tirée de ces données. »

> Lire aussi : « Loi numérique : quand les citoyens font (un peu) la loi »

 

Quel impact sur les entreprises ?

Cette disposition pourrait affecter durablement les modèles économiques de nombreuses entreprises numériques, comme nous l’explique Loïc Rivière, délégué général de l’Association française des éditeurs de logiciels de solutions internet (AFDEL) :« La disposition concernant la portabilité est selon nous parfaitement attentatoire au business model de toutes les entreprises concernées, qui pour le Net reposent en outre sur la gratuité ! [utilisation gratuite d’un service par l’utilisateur contre l’exploitation des données par l’entreprise, NDLR] »

Et de prévenir : « Cela va favoriser soit les comportements de free-riders côté nouveaux entrants, soit au contraire les gros acteurs qui, en retard sur l’innovation, pourront néanmoins aspirer a posteriori les bases installées des sociétés les plus innovantes. Cela fera peser un risque supplémentaire sur l’innovation et donc sur les investissements en R&D. C’est exactement le type de mesure non réfléchie qui vise à étendre le plaisir du consommateur, quitte à fragiliser durablement l’innovation et les industriels qui la portent. »

France ou Europe : quel est le cadre juridique le plus adapté pour légiférer ?

Si les impacts concrets d’une telle disposition n’ont pas fini de faire débat au sein de l’écosystème économique, une autre question se pose, juridique cette fois-ci : le cadre français est-il le plus adapté pour légiférer ? Le projet de loi l’affiche d’ailleurs clairement :

« L’adoption finale de cet article sera faite en coordination avec le projet de règlement européen sur la protection des données personnelles en cours de négociation. »

Mais pour Christiane Féral-Schuhl, ancien Bâtonnier de Paris, la question semble aussi être politique :

« La France est un exemple en matière de protection des données à caractère personnel. Elle a fait bouger les choses au plan européen et international. Elle a inspiré des politiques de confidentialité, de sensibilisation sur les données personnelles…»

Cet article 12 permettrait donc surtout à l’Hexagone de rester force de propositions dans ce domaine, même si la négociation doit être menée au niveau européen.

 

Qu’est-ce que cela implique techniquement ?

On le voit : si la création d’un droit de maîtrise accrue des données personnelles et de leur exploitation semble faire consensus, ce n’est clairement pas le cas en ce qui concerne son application. De plus, la portabilité des données semble difficilement envisageable techniquement parlant, faute d’accord sur les formats entre les entreprises du numérique (notons toutefois l’existence de l’initiative DataPortability, dont les résultats peinent néanmoins à être visibles).

Car qui dit réutilisation ou transfert de données dit compatibilité. Christiane Féral-Schuhl précise :

« Cela implique que cette restitution se fasse dans un format ouvert et standard qui puisse être lu par tout type de matériel, de manière complète et non dégradée. »

Mais selon elle, le fatalisme n’est pas pour autant de mise :

« C’est Edward Snowden, un Américain, qui a dénoncé les atteintes portées aux données personnelles des citoyens européens. C’est bien la preuve que la situation bouge, les consciences s’éveillent, les générations sont de plus en plus exigeantes en ce qui concerne la protection de leurs données personnelles. »

 

> Lire aussi sur Microsoft Ideas : « Le mariage entre Big Data et vie privée ne va pas être facile, mais il n’est pas impossible »

Chaque semaine,
recevez les immanquables
par email