[IP5] Engager un rééquilibrage privé/public par les données
Rédigé par Régis Chatellier
-
10 octobre 2017Ces textes sont tirés de la quatrième partie du cahier IP 5, "La plateforme d'une ville - Les données personnelles au coeur de la Fabrique de la smart city".
Comment permettre le partage avec des acteurs publics de données collectées et exploitées par des acteurs privés, mais qui auraient une forte valeur ajoutée pour des finalités d’intérêt général, dans le respect des droits des entreprises en question, ainsi que des droits et libertés des personnes concernées? C’est une question à laquelle le droit et les politiques publiques essayent aujourd’hui de répondre.
Comme décrit dans les parties précédentes de ce cahier, les nouveaux services de la ville numérique s’appuient de plus en plus sur des données personnelles, collectées et traitées pour un service commercial par des acteurs privés.
Ces données qui n’entrent pas dans le périmètre organique du Service public (régie directe, concession, …) ont cependant une interaction forte avec les enjeux de service public, voire sont précieuses pour remplir des missions de service public.
Aujourd’hui, différents outils sont envisagés par les parties prenantes à ce débat. Tous présentent de sérieuses limites, tous offrent de vraies opportunités. Tous impliquent de trouver une adéquate balance des droits et devoirs entre les différents acteurs concernés.
Ces outils se distinguent selon deux axes. D’abord les obligations légales qu’ils feraient peser sur les acteurs privés : parmi les quatre propositions développées plus bas, certaines pourraient être mises en œuvres dans le cadre législatif existant, quand d’autres devraient faire l’objet de nouvelles dispositions légales pour être applicables. Ensuite la granularité des données : dans certains cas, des données très fines seraient fournies à l’acteur public (dont des données personnelles), dans d’autres, l’acteur public aurait accès à des données agrégées et déjà anonymisées.
Dans le cahier IP Partage !, nous soulignons qu’un modèle de régulation classique utilisé isolément a peu de chances d’être efficace et qu’une régulation adaptée à ces plateformes requiert un équilibre nouveau, plus dynamique, s’appuyant sur divers outils de régulation, comme autant de leviers à actionner : l’action sur les rapports de forces entre les acteurs (par le marché), l’action sur les systèmes et architectures techniques (par la technologie et le design), l’action sur des règles du jeu (par l’autorité et les normes), enfin l’action par l’autodétermination et le pouvoir redonné aux individus (empowerment).
En croisant ces deux axes (obligations légales et agrégation des données) avec les quatre leviers de régulation, on obtient une matrice de quatre scénarios distincts, comme autant de futurs possibles, alternatifs ou combinables, pour de nouvelles formes de partage des données.
Ces scénarios proposent différentes formes de répartition des enjeux quant à la valorisation du capital en données fines et à la redistribution de la capacité à agir au profit de l’intérêt général, par la redéfinition de l’équilibre des rapports de force entre les acteurs publics et privés dans le cadre de finalités de service public.
Ils se différencient par la répartition de la charge de la protection des données personnelles, qui porte tantôt sur l’acteur privé, tantôt sur l’acteur public. Il conviendra le cas échéant d’adopter les bonnes pratiques permettant de garantir le respect des droits et libertés des personnes concernées.
Sans privilégier l’un ou l’autre de ces mécanismes, présenter l’économie générale de chacun et souligner leurs potentialités permet de mettre en lumière les enjeux qu’ils soulèvent pour la protection des données à caractère personnel des citoyens.
Généraliser un « open data du secteur privé »
Agir sur le rapport de forces et créer les conditions d’une autorégulation efficace peut passer par l’instauration obligatoire de politiques d’open data du privé, pour les données dont l’importance pour le fonctionnement efficace du marché ou de politiques publiques d’intérêt général est avérée.
L’acteur privé met à disposition en open data certaines données qu’il traite par l’effet d’une obligation légale (sur l’exemple de ce qui a été prévu par la loi dite Macron ou la loi dite de transition énergétique). Pour que ce processus soit conforme à la protection des données à caractère personnel, l’ouverture passe dans la majorité des cas par l’anonymisation, par des méthodes qui devront être conformes à la certification des processus d’anonymisation.
Un tel mécanisme a l’avantage de permettre la réutilisation par tous (concurrents, acteurs publics, chercheurs, citoyens, …). Ce scénario présente bien sûr des inconvénients : l’anonymisation a un coût, à la fois financier pour l’acteur privé et en termes de perte d’information dans les jeux de données pour les réutilisateurs : l’acteur public ne disposerait par exemple pas de données très fines, utiles pour mener à bien des missions d’intérêt général (voir p. 30). L’acteur privé reste maître du jeu quant à la qualité du jeu de données restituées.
Étendre les données d’intérêt général au-delà des concessions de Service public
Changer les règles du jeu, c’est considérer qu’un intérêt supérieur justifie d’incarner des frontières intangibles posées par la société sur des sujets éthiques et politiques. Dans ce scénario, il s’agirait de permettre et encadrer la réutilisation de données personnelles par l’acteur public, pour certaines finalités d’intérêt public, sans porter atteinte aux droits des personnes concernées. Cela passerait par l’extension de la notion émergente de « données d’intérêt général » (DIG), dans son périmètre et ses modalités. Les DIG sont aujourd’hui restreintes aux entreprises concessionnaires de service public, elles seraient étendues à des acteurs privés hors relations contractuelles avec la collectivité. Ces DIG sont aujourd’hui anonymisées par l’acteur privé avant ouverture en open data. Il s’agirait d’ouvrir la voie à la restitution de certaines données fines à l’acteur public pour des missions de service public, charge à lui d’anonymiser ces données en cas d’ouverture en open data.
La balance des droits devra permettre d’éviter de porter préjudice à un acteur privé qui a investi pour construire son traitement de données et aussi d’éviter l’atteinte au droit à la vie privée des individus, qui ont consenti à un traitement dans le cadre d’un service particulier. La collectivité publique devient responsable de traitement et devra respecter l’ensemble des règles applicables (base légale, compatibilité des finalités, respect des principes de protection des données, etc.).
Un tel mécanisme aurait l’avantage de redéfinir l’équilibre des pouvoirs entre certains acteurs privés et les collectivités, qui disposeraient d’un levier efficace pour mener à bien des missions d’intérêt public, sans que cela ne conduise à porter atteinte aux droits des personnes concernées. Ce scénario aurait l’inconvénient d’être contraignant, pour les entreprises privées concernées qui devraient restituer des données, et pour les réutilisateurs publics, qui porteraient la charge de la protection des données personnelles.
Ce scénario a le vent en poupe : après la loi pour une République Numérique qui en a posé les prolégomènes, suite au rapport « relatif aux données d’intérêt général » de 2015, des hypothèses de ce type sont développées par exemple par la Commission européenne dans sa réflexion sur la libre circulation des données ou dans le rapport Belot, qui en appelle à la définition d’une catégorie de « données d’intérêt territorial » et à leur recensement.
Permettre la réutilisation sous le contrôle des acteurs privés
Agir sur les systèmes et les architectures revient pour la régulation à prendre la mesure de la transformation actuelle des modalités techniques de l’économie de la donnée. A ce titre, il peut s’agir d’encadrer l’émergence de plateformes d’accès et de partage des données en s’appuyant sur les outils juridiques et techniques. A des logiques d’open data, de « lacs de données » et d’anonymisation en bloc, pourraient répondre une logique d’API, de « robinets de données » et de confidentialité différentielle (differential privacy).
L’acteur privé met en place une plateforme de réutilisation de ses données par des outils techniques (APIs, …) qui permettent au réutilisateur de tirer parti de certaines données, sans les traiter lui-même : le réutilisateur pose une question à la base détenue par l’acteur privé, celui-ci ne lui envoie pas le jeu de données, mais la réponse. Un tel système, bien conçu, permet une exploitation riche des données tout en minimisant les risques d’atteinte aux droits des personnes concernées. La plateforme peut alors mobiliser, en plus de l’anonymisation, deux types d’outils :
- Des outils juridiques : un contrat doit encadrer ce que les réutilisateurs peuvent faire ou non, par exemple, une clause interdisant au partenaire de tenter de réidentifier les personnes et de porter atteinte à leur anonymat, et des clauses traitant du partage de responsabilité ;
- Des outils techniques : d’audits, de contrôle, de vérification et d’analyses des logs en temps qui analysent dynamiquement les risques (par exemple pour limiter les possibilités d’attaque par inférences de la base).
Un tel mécanisme qui ne nécessiterait pas de nouvelles obligations légales aurait l’avantage pour l’acteur privé de ne pas être contraint à l’ouverture en bloc de données, l’acteur public n’aurait pour sa part pas à supporter la charge de la protection des données personnelles. Ce scénario aurait pour inconvénient le coût de développement et de maintenance de la plateforme par l’acteur privé, qui pourrait cependant lui offrir de nouveaux débouchés et de nouveaux revenus par la vente de données anonymisées.
Actionner la portabilité citoyenne
Permettre à chacun de déterminer l’usage de ses propres données, donner les moyens de la participation citoyenne à la réalisation de missions d’intérêt général, ce sont là des opportunités offertes par le nouveau règlement sur la protection des données personnelles.
Le RGPD introduit un droit à la portabilité qui favorise la réutilisation de données personnelles par un nouveau responsable de traitement, sans que le responsable initial du traitement ne puisse y faire obstacle, et ce sous le contrôle exclusif de la personne concernée. Cette disposition qui permettra aux utilisateurs de migrer d’un écosystème de services à l’autre (concurrent ou non) avec leurs propres données pourrait leur permettre d’actionner une « portabilité citoyenne » au profit de missions d’intérêt général.
Des communautés d’utilisateurs pourraient exercer leur droit à la portabilité vis-à-vis d’un service pour mettre leurs données à disposition d’un acteur public, pour une finalité spécifique en lien avec une mission de service public. L’acteur public deviendrait responsable de traitement, et devrait donc respecter les principes de protection des données.
Un tel mécanisme aurait pour avantage de constituer des nouveaux jeux de données à usage de service public, sans imposer de nouvelles contraintes légales aux acteurs privés. Ce scénario aurait pour inconvénient la masse critique à atteindre, l’adhésion et la participation devant être conséquentes pour permettre la constitution de jeux de données pertinents. L’intégration de systèmes d’opt in simplifiés, innovants et peu contraignants pourrait cependant favoriser la participation.
Un tel processus permettrait dans une vision plus prospective, d’aboutir à la création bottom up d’un « commun » informationnel, construit par les individus au profit de l’intérêt général. Il s’agirait alors de construire les moyens de gouvernance de ce commun informationnel, par exemple par des « régies de données ».
Le rééquilibrage des forces entre les acteurs privés et publics sur la gestion de la ville, pour l’amélioration des politiques publiques, devrait s’accompagner pour la CNIL d’un encadrement renforcé de la collectivité publique, qui devra respecter le RGPD et notamment la notion de finalités légitimes dans la réutilisation des données qui lui seront restituées.