Rendez-nous nos données (via des APIs)

La startup française Cozy Cloud, qui produit un Cloud personnel en logiciel libre, vient de communiquer à CNIL et au G29 un commentaire sur les modalités de mise en oeuvre du volet portabilité de la GDPR. Ce commentaire est co-signé par de nombreuses organisations et personnalités du numérique

La portabilité des données personnelles est un sujet majeur pour le futur du numérique. Assurons-nous qu’elle soit effective, grâce au recours à des APIs !

G29_Manif2.png

Dans le monde numérique d’aujourd’hui, nous sommes conditionnés par nos données : les recommandations qui nous sont faites (publicité, achats, lecture, vidéos à voir), les décisions qui nous concernent (assurance, etc.), qu’elles soient prises par nous ou par d’autres, reposent sur nos données. À ce titre, le sujet de la gouvernance de la data est essentiel : qui a accès à la data ? Qui contrôle la data ?

Actuellement, les utilisateurs n’ont que peu de maîtrise sur les données personnelles confiées à un responsable de traitement, mais cela va changer avec l’arrivée d’un règlement européen appelé GDPR. En effet, parmi d’autres choses, la GDPR rend la portabilité des données personnelles obligatoire pour mai 2018, c’est à dire très bientôt !

Le diable est dans les détails

Faire que les données personnelles soient portables est une démarche très positive, mais les textes sont compliqués. Ainsi, le texte de la GDPR précise que le transfert d’un responsable de traitement à un autre doit être “direct” et “sans obstacle” (without hindrance, pour les anglophones). Malheureusement, cette idée est toute relative ! Au XVIIIe siècle, le recours à la calèche était sans doute un transfert direct et sans gêne. Au début du XIXe siècle, le télégraphe électrique était sans doute ce qu’il y avait de mieux. Dans les années 1990, le fax aurait été choisi. Mais au XXIe siècle, l’état de l’art, c’est l’API.

Sauf rares exceptions (volume très important pour des IRM par exemple), le fournisseur de service qui ne mettrait pas une API pour que l’on puisse récupérer nos données, alors que c’est le moyen le plus efficace et moins cher de transférer directement des données, serait objectivement animé par une volonté d’obstruction.

Mais ça, ça n’est pas précisé dans le texte de la GDPR…

Quelle solution ?

Le G29 (groupement des CNILs Européennes) est preneur de commentaires sur la GDPR. Aussi, Cozy Cloud a pris l’initiative de rassembler des acteurs et personnalités du numériques pour co-signer un commentaire (format PDF).

L’objectif de ce commentaire est de signifier que les guidelines du G29 sur la portabilité devraient mentionner explicitement le recours aux APIs, faute de quoi il sera nécessaire d’attendre une jurisprudence dont les délais et aléas seront à l’avantage des plus gros acteurs du numérique, aux dépens des utilisateurs et des services plus petits et plus innovants.

Certains des co-signataires de ce commentaire ont accepté de rendre leur nom public, merci à eux ! On y retrouve :

Organisations :

Personnalités :

Pour en savoir plus sur la GDPR et la portabilité des données :