Des gouttes de sueur perlent sur le front d’Alice. Ses jambes lui font mal. Elle s’essouffle. Mais hors de question pour la jeune femme de lâcher si près du but. D’après sa montre connectée, elle a déjà parcouru 9.8 kilomètres en courant. Il ne lui reste que 200 mètres.
« TOP ! 10 kilomètres en 43 minutes et 55 secondes. Nouveau record personnel ! », annonce la voix robotique mais familière de son smartphone. La jeune femme arrête sa course, attrape son téléphone puis ouvre l’application synchronisée avec sa montre connectée. Un trophée doré illumine l’écran avant de disparaître pour laisser place au tracé GPS de sa sortie du jour, à des graphiques représentant le dénivelé et sa vitesse moyenne sur les différentes parties du parcours.
Comme toujours après l’effort, elle profite du quart d’heure de marche jusqu’à son appartement bordelais pour analyser les chiffres de sa performance. Pour la première fois, elle est passée sous la barre des 44 minutes ! Et cela la rend toute guillerette.
Une bonne douche au son de « We are the champions », une pointe de maquillage autour des yeux et une recherche de clés de voiture plus tard et la voilà en route vers la maison de ses parents… et sa fête d’anniversaire.
Le cadeau empoisonné : « en retard, toujours en retard »
Une grande inspiration, une expiration encore plus grande, une nouvelle victoire ! Alice est parvenue à éteindre les trente bougies de son gâteau d’anniversaire d’un seul souffle. Toute l’assemblée – sa mère, son père, sa sœur, son grand frère– applaudit la championne du jour avant de déposer sur la table un petit paquet de la taille d’une télécommande. Alice déchire le papier cadeau d’un coup sec et découvre sous l’emballage une nouvelle montre. « Connectée comme la tienne. Mais c’est une autre marque et celle-ci peut mesurer ton rythme cardiaque », détaille sa mère.
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données encadre juridiquement la collecte et le traitement des données personnelles (nom, prénom, mails, adresse, localisation GPS…) sur le territoire de l’Union européenne. Toute entreprise européenne ou étrangère qui souhaite obtenir des données sur Alice ou sur tout autre résident européen doit au préalable recueillir son consentement, actif et positif, l’informer de l’utilisation qui sera faite de ses données, puis assurer leur protection. Conformément au RGPD, Alice peut aussi, à n’importe quel moment, demander une copie de ses données, exiger leur modification ou leur suppression.
Mais Alice n’écoute déjà plus. D’une main, elle a défait le plastique entourant l’objet. De l’autre, elle a lancé le téléchargement de l’application qui permet de le synchroniser avec le téléphone. Quelques bidouilles plus tard, la montre s’allume et un message apparaît sur l’écran du smartphone proposant de relier les deux appareils en Bluetooth et de régler l’heure.
Mais quelque chose cloche. « Que se passe-t-il ma chérie ? », s’enquiert sa mère en la voyant feuilleter frénétiquement le manuel d’utilisation. « Je ne trouve pas comment importer les données de l’ancienne application dans la nouvelle… », s’inquiète-t-elle. « J’avais demandé au vendeur, confesse sa mère. Il m’a répondu que les marques de ces deux montres étant concurrentes, elles ont empêché ce type de transfert. »
Une nouvelle qui ne plaît guère à Alice:
Quand je change d’opérateur, je peux transférer mon numéro facilement. Quand j’achète un téléphone d’une nouvelle marque, je peux transférer mes contacts sans problème. Et quand je change de banque, je peux transférer mon argent de l’une à l’autre. Mais pour ma montre, je ne peux pas importer mes anciennes données sportives ? C’est absurde.
« Il a dit qu’il était possible d’enregistrer les informations manuellement dans l’application. »
« Hors de question ! Ça fait deux ans que je porte cette montre quasi-quotidiennement. Ça me prendrait des jours. » En tout, Alice a parcouru 5 000 kilomètres montre au poignet. Elle a enregistré ses performances en course à pied, en natation, en VTT, en kayak et en gym. Elle a sauvegardé le tracé de ses parcours favoris et les temps associés. Avec sa nouvelle montre, elle va devoir repartir à zéro, comme si le record de ce matin n’avait jamais existé, pas plus que ceux des semaines précédentes.
Les profils en ligne : the copy and paste network
Un sentiment de lassitude mêlé à de la déception envahit la jeune femme. Exactement le même que celui ressenti quelques jours plus tôt lorsqu’elle a décidé de s’inscrire sur trois nouvelles plateformes de freelance pour promouvoir son activité de graphiste. Trois sites différents qui lui ont demandé les mêmes informations sans offrir la possibilité de les importer d’un service à l’autre. Trois fois, il lui a donc fallu renseigner son RIB, son SIRET, son adresse mail, son nom, son prénom, ses expériences professionnelles passées avec dates et nom des entreprises, ses diplômes obtenus, télécharger une image de profil, recopier une description…
APIs : le futur de la portabilité
Les APIs sont des interfaces de programmation (Application Programming Interface) qui permettent à des logiciels, sites ou machines de communiquer entre eux et de partager des données . Elles permettent à des développeurs d’application de récupérer les données au nom de l’utilisateur afin de les inclure dans son expérience d’usage. Problème : aujourd’hui, très peu d’entreprises traitant des données personnelles offrent la possibilité aux utilisateurs et aux développeurs d’applications de récupérer leurs données via leur API. « Ouvrir » ces APIs permettrait d’automatiser le transfert des données d’un service à un autre et donc de faire du droit RGPD à la portabilité (art. 20) une réalité technique simple, transparente et rapide pour l’utilisateur. Déjà en 2013, le rapport Collin et Colin sur la fiscalité de l’économie numérique proposait de taxer les sociétés qui ne rendaient pas leurs données aux utilisateurs via des APIs.
Et lorsqu’elle doit ajouter une nouvelle information, il lui faut actualiser les trois services séparément. Depuis six mois qu’elle ne l’a pas fait, il manque sur ses CVs virtuels une dizaine d’expériences professionnelles qu’elle aimerait bien mettre en avant. « Et c’est parti pour une matinée copier-coller ! », pense-t-elle en s’installant devant son ordinateur. Café à la main, souris dans l’autre, il lui faudra trois heures pour mettre à jour son LinkedIn et ses différents profils. Trois heures pour remplir exactement les mêmes informations en triple. « Une demi-journée bien productive », ironise-t-elle en finissant cette tâche rébarbative.
Ces derniers temps, Alice a repéré plusieurs nouvelles plateformes de freelance intéressantes. Plus jolies pour certaines, mieux pensées pour d’autres. Mais, en découvrant qu’il n’était toujours pas possible d’importer ses données d’un service à l’autre, la graphiste n’a jamais validé les formulaires d’inscription. L’idée de devoir remplir encore et encore des informations qu’elle a déjà renseignées ailleurs l’en ont dissuadé.
L’entrepreneur David contre le monopole Goliath
« Si c’est pour allonger mes matinées copier-coller, merci bien », dit-elle à son ami Bob après lui avoir raconté sa bien peu productive journée de travail. Comme souvent le vendredi soir, Bob et Alice se sont retrouvés autour d’un verre au Hopper, un charmant bar-restaurant, pour se raconter leurs vies. « Je n’ai pas eu une journée beaucoup plus agréable », avoue Bob après avoir avalé une gorgée de bière.
Ce « serial-entrepreneur » comme il se décrit lui-même vient de lancer MiamCouncellor, un service qui va « révolutionner » la façon de chercher et réserver une bonne table. « Les utilisateurs de notre service peuvent entrer leurs préférences alimentaires, noter et trier les restaurants en fonction de nombreux critères, consulter les menus directement dans l’application et réserver en ligne, explique-t’il. Le design est ultra simple mais efficace ! »
Mais, après plusieurs semaines à faire le tour des restaurants les mieux notés de la ville pour présenter son application, bien peu de restaurateurs se sont inscrits sur MiamCouncellor:
Je peux les comprendre, explique Bob. Ils ont déjà fait les démarches pour être référencés sur des dizaines de sites internet. Certains y ont récolté des centaines de commentaires positifs et autant de bonnes notes que certaines plateformes nous empêchent de récupérer et d’importer dans notre service. Tu te rends compte que ces données concernent les restaurateurs mais ce sont les plateformes qui décident quelles données ils peuvent transférer automatiquement chez nous ? Notre application a beau être meilleure, il est compliqué de convaincre des restaurateurs de repartir à zéro et de perdre cette réputation chèrement acquise. J’ai un ami qui essaie de lancer un service de location d’appartements. Il a le même problème. Sans accès facile aux données d’AirBnb ou de Booking, difficile pour lui de recruter les SuperHosts ou les clients les mieux notés… En tant que jeune entreprise, on part avec un handicap énorme !
Sans données pour enrichir son application, Bob a toutes les peines du monde à convaincre les restaurateurs et clients à rejoindre MiamCouncellor. © ArtBox / Flickr
La guerre des boutons
« Je vois, enchérit Alice. J’avais le même souci avec les applications de To-Do List. » Éternelle insatisfaite, la graphiste en change tous les six mois environ. Une manipulation qui l’oblige à abandonner son historique de tâches sur l’ancienne application et à recopier à la main celles en cours. « Mais regarde, je viens d’en trouver une qui permet d’importer ses données depuis plein de services différents », explique-t-elle en désignant une dizaine de boutons « importer depuis » sur son écran. « J’ai cliqué sur le nom de mon ancien service, je me suis connecté et en quelques secondes, toutes mes tâches sont apparues sur ma nouvelle application ! »
Les social-logins : plus de boutons, moins de formulaires
Visibles sur les sites web sous la forme de boutons « se connecter avec Facebook / Twitter / Amazon », les « social logins » permettent à un utilisateur de s’authentifier sur un service en utilisant les informations de connexion d’un autre service. Aujourd’hui, toute personne possédant un compte Google ou Apple peut ainsi se créer rapidement un compte sur le site du journal Le Monde en un clic sans avoir à renseigner à nouveau son nom, son prénom, son mail ou à inventer un énième mot de passe. Pour fonctionner, ces social logins utilisent OAuth, un protocole libre permettant d’autoriser un site ou une application à utiliser l’API d’un service pour le compte d’un utilisateur.
Bob attrape le téléphone et parcourt les noms des services supportés : « Hm… C’est encore loin d’être parfait. Il n’y a pas l’application que j’utilise en ce moment par exemple. »
« C’est rageant, s’énerve Alice. Tes données, elles existent. Elles sont quelque part sur un serveur et te seraient bien plus utiles dans cette nouvelle application. Tu vois, je ne comprends pas : comment ça se fait que je puisse déposer mon argent où je veux, le dépenser comme je l’entends, mais que je ne puisse pas faire pareil avec mes données ? »
Donner ses données, reprendre c’est RGPD
D’autant plus que, si la jeune femme connaît les sommes exactes déposées sur ses comptes en banque, elle ignore encore combien de ses données personnelles sont conservées, par qui ou sur quels serveurs.
Cambridge Analityca
87 millions : c’est le nombre d’utilisateurs Facebook dont les données ont été récupérées sans leur consentement direct par la société britannique Cambridge Analytica qui les a utilisé pour profiler psychologiquement les individus, et les a revendues à des partis afin de leur permettre d’influencer les intentions de vote lors de scrutins. Ces informations auraient notamment été utilisées en 2016 par les équipes du candidat à la Maison Blanche Donald Trump et par une partie des élites pro-Brexit au Royaume-Unis.
Une ignorance dont elle a pris conscience récemment à l’occasion d’Oxford Analytica, un nouveau scandale impliquant le vol de centaines de millions de données personnelles sur différents réseaux sociaux par l’entreprise éponyme. « Qui donc possède des données sur moi ? De quels types ? Et qu’en font-elles ? », s’est-elle alors demandée en se jurant de répondre à cette question.
Sa première cible, la plus évidente : Facebook. Après quelques minutes de recherches dans les réglages du réseau social, Alice trouve la fonctionnalité « Télécharger vos informations ». Un clic et deux heures d’attente plus tard, la voilà en possession d’un fichier de deux gigas contenant douze ans de posts, de commentaires, de demandes d’amis, de photos, de vidéos, de numéros de téléphone enregistrés dans un répertoire précédemment synchronisé avec la plateforme (dont le numéro de Mamie Margaret, qui n’a jamais créé de compte Facebook), de noms d’ex-petits-amis catégorisés dans l’onglet « Précédentes relations », de titres de pages qu’elle a aimé, de groupes auxquels elle s’est abonnée… Bref, l’intégralité des données enregistrées par la multinationale sur sa vie depuis son inscription sur le site. « C’est dingue ! Je ne pensais pas que Facebook possédait autant d’informations sur moi », pense-t-elle, mi-fascinée, mi-effrayée.
MamieGate
Depuis des années, Facebook encourage ses utilisateurs à importer ou synchroniser sur le réseau social les contacts enregistrés dans leur carnet d’adresse sur leur smartphone. Conséquence : la multinationale conserve sur ses serveurs l’adresse mail et le numéro de téléphone de la mamie d’Alice ainsi que de nombreuses autres personnes n’ayant jamais créé de compte sur la plateforme, en passant par l’autorisation d’accès à tous les contacts du téléphone en un seul clic.
Depuis qu’elle est en âge d’utiliser Internet, Alice a toujours accepté les CGU sans les lire, validé les cookies sans connaître leur fonction. Et dans les boutiques, elle a toujours accepté les cartes de fidélité gratuite en échange de son nom, son prénom, son adresse, son mail, son numéro de téléphone, ses préférences… Autant de potentielles entreprises possédant des données sur elle.
Des cookies de mauvais goût
Un cookie est un fichier stocké sur un ordinateur par un site internet qui permet, par exemple, à un site de se « souvenir » d’un utilisateur d’une page à l’autre et ainsi lui éviter de rentrer ses identifiants de connexion à chaque changement de page ou bien de recréer un panier abandonné quand il revient sur un site de e-commerce . Problème : certains cookies, appelés « cookies tiers », servent aussi à pister les utilisateurs d’un site à l’autre afin de tracker tout leur parcours afin de mieux les cibler. C’est ce qu’il se produit par exemple lorsque vous recevez des publicités de voyages pendant une semaine après avoir effectué des recherches sur un site de réservations en ligne. C’est aussi le cas des boutons « J’aime » de Facebook qui permettent de tracer un utilisateur à travers différents sites même s’il ne dispose pas de compte sur la plateforme.
Alors Alice liste. Sur son téléphone, il y a les incontournables applications de Google (Gmail, Gdrive, Maps…), les applications de messagerie comme WhatsApp, celles de réservation d’hôtels ou d’avion, de visionnage de séries, de rencontres, de to-do list, de commande de repas, Instagram, LinkedIn, Twitter, Slack, Waze et Plan… 88 applications pour lesquelles elle a dû se créer un compte, sans prendre en considération les services supprimés. Dans son sac à main et dans les tiroirs du meuble de l’entrée, elle retrouve 22 cartes de fidélité. Autant d’entreprises qui ont enregistré au moins son nom, son mail et ont constitué un historique partiel de ses achats. Dans son portefeuille, elle repère également ses cartes de transport, sa carte vitale, bancaire, celle de sa bibliothèque de quartier. Et puis il y a les services publics — ceux des impôts, de la sécurité sociale -, sa mairie, son médecin, l’hôpital où elle est allée faire soigner son bras cassé. A la rubrique « Publicités » de ses données Facebook, elle repère des marques qu’elle ne connaît pas mais qui ont, semble-t-il, des données sur elle. « Je les intègre aussi », décide-t-elle. En tout, Alice liste plus de 200 entreprises privées ou publiques susceptibles de posséder des informations allant de son adresse mail à sa localisation GPS en passant par ses goûts vestimentaires ou ses préférences sexuelles.
Plusieurs centaines d’entreprises possèderaient des informations sur Alice.
Début de la pêche aux données, première surprise. Tous les sites d’entreprise ne disposent pas de bouton « Télécharger mes données ». Rectification : l’immense majorité des entreprises ne proposent aucun moyen de récupérer automatiquement ses données. La demande doit être adressée par mail au DPO, le Délégué à la protection des données. Certaines sociétés semblent prendre un malin plaisir à cacher cette information. Pour les données médicales détenues par son médecin de ville, Alice doit même passer par lettre recommandée !
Le Data Protection Officer
Conformément au RGPD, toute entreprise ou administration amenée à traiter des données personnelles à grande échelle et / ou sensible doit nommer un DPO, ou Data Protection Officer. Ce dernier est chargé de s’assurer de la bonne gestion et protection des données gérées par sa structure. Il fait aussi le lien avec les demandes de citoyens qui souhaiteraient faire valoir leurs droits RGPD en demandant une copie de leurs données par exemple. Si Alice demande des renseignement sur ses données, c’est avec le DPO de chaque société qu’elle doit traiter.
Début de la pêche aux données, première surprise. Tous les sites d’entreprise ne disposent pas de bouton « Télécharger mes données ». Rectification : l’immense majorité des entreprises ne proposent aucun moyen de récupérer automatiquement ses données. La demande doit être adressée par mail au DPO, le Délégué à la protection des données. Certaines sociétés semblent prendre un malin plaisir à cacher cette information. Pour les données médicales détenues par son médecin de ville, Alice doit même passer par lettre recommandée !
Un mois passe. À peine la moitié des entreprises contactées ont répondu. Alice relance en invoquant le RGPD dans ses mails.
Un nouveau mois passe.
Accès à mes données : le délai légal
Le délai maximum fixé par le RGPD pour répondre à une demande de droit d’accès est d’un mois. Mais l’entreprise peut prolonger ce délai de deux mois supplémentaires si la « complexité » et le « nombre de demandes » le justifient et seulement après en avoir informé le demandeur. Certaines entreprises jouent sur le fait de retarder sans cesse les demandes des utilisateurs pour les décourager.
Toutes les entreprises n’ont pas répondu, mais le dossier où elle centralise la copie de ses données s’est considérablement enrichi. Il pèse désormais 70 gigas. S’y trouve l’historique complet de ses recherches Google, avec la date et l’heure, ses achats Amazon et Fnac, ses tweets, ses centres d’intérêts réels ou supposés par des algorithmes, ses rendez-vous chez le médecin, l’historique de ses prêts à la banque… Une masse immense de données qui dessinent une Alice virtuelle qu’elle ne reconnaît parfois pas, parfois trop.
« Et maintenant ?, se questionne Alice. Je fais quoi de tout ça ? »
Edward, le cloud personnel
An 2022. Les téléphones pliables envahissent les poches des consommateurs, les tests de voitures autonomes dans Paris se multiplient et les boutons d’importations de données entre services fleurissent sur les sites internet.
La fragmentation des données complique l’expérience utilisateur
Du fait que les données ne soient pas centralisées en contrôle par l’individu, il y a ce qui est appelé une fragmentation de l’expérience à travers toutes ses applications, ce qui fatigue l’utilisateur car il doit sans cesse retaper les mêmes informations et charger les mêmes photos et documents dans différentes applications. Si les données étaient centralisées dans un cloud personnel, ce seraient les applications qui viendraient se mettre à jour par rapport aux données et consolideraient cette expérience.
« Tu vois, maintenant, je peux importer mes données LinkedIn sur n’importe quelle plateforme pour freelance. Mais elles ne s’actualisent toujours pas automatiquement et ça me prend des heures de mettre à jour mes CVs virtuels. C’est long. C’est fastidieux. C’est inutile », se plaint Alice à Alan, un ami développeur web.
« Récemment, des solutions ont été mises au point pour régler ton problème, explique-t-il doctement. Si tu veux, je te montre. »
Alice sort son ordinateur portable et le pose devant eux tandis qu’Alan détaille sa pensée :
Tu vois comment fonctionnent Google Drive ou Dropbox ? Sur ces clouds, tu sauvegardes des fichiers et tu peux ensuite y accéder de n’importe quel appareil connecté à Internet. Aujourd’hui, il existe des services qui fonctionnent un peu comme Google Drive, mais pour les données personnelles. On les appelle des clouds personnels. Moi, j’utilise « Edward ». C’est un service sécurisé et open-source. Dessus, tu te connectes à tes différentes plateformes comme Facebook, LinkedIn, tes services de Freelance, Instagram, Twitter, Tik-tok, ton compte d’université… Et lui, automatiquement, il va télécharger toutes les données présentes sur ces services. Comme ce que tu as fait il y a deux ans, sauf que là, c’est automatisé.
Cinq minutes plus tard, Alice avait créé son compte et relié Edward à ses principaux services en ligne.
« Et ce bouton avec marqué « 2 jours », il sert à quoi ? », interroge-t-elle.
« Il permet de définir la période de mise à jour de tes données. Là, tous les deux jours, Edward va télécharger les nouvelles données créées sur tes services et les enregistrer pour toi. Mais cela va être de moins en moins utile car de plus en plus de sites envoient directement une sorte de notification à Edward pour le prévenir lorsque de nouvelles données sont prêtes au téléchargement. Du coup, tes informations se mettent à jour quasi en temps réel. C’est un peu comme lorsque tu reçois un sms : tu n’as pas eu besoin d’actualiser ta messagerie. Dans le cadre des données personnelles, si tu ajoutes une expérience professionnelle sur LinkedIn, tu pourras la consulter dans les cinq minutes sur Edward. C’est très puissant. »
Synchroniser ses données partout
« Super, mais cela ne règle pas mon problème. Mes infos de CV sont à jour sur Edward, mais elles ne se synchronisent pas sur mes différentes plateformes ? »
VRM : le pouvoir au client
À l’inverse du CRM (Customer Relationship Management ou Gestion de la Relation Client), le Vendor Relationship Management (ou Gestion de la Relation Vendeur) est un concept marketing dans lequel c’est le client qui contrôle la relation qu’il entretient avec les entreprises. Dans le contexte de la gestion de ses données personnelles, cela signifie que c’est le client qui centralise ses données personnelles et définit qui y a accès et la manière dont elles sont partagées et utilisées, en total contrôle.
« C’est là que ça devient vraiment intéressant. Edward ne fait pas que télécharger tes données, il en devient aussi le gardien et peut gérer les permissions d’accès à ces données. »
« C’est-à-dire ? »
« En gros, Edward dispose aussi d’une API, un programme qui peut dialoguer avec des robots logiciels de manière automatisée. Grâce à cela, tes données sont lisibles par les bots de Facebook, de YouTube, de tes services de Freelance, par les administrations… »
« Attends. Toutes mes données vont pouvoir être vues par tous les services ? »
RGPD et consentement : le mariage permet le divorce
Le traitement des données personnelle n’est possible que s’il se fonde sur l’une des six bases légales définies par le RGPD : le contrat (le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée), l’obligation légale, la mission d’intérêt publique, l’intérêt légitime, la sauvegarde des intérêts vitaux ou… le consentement. Dans ce cas, « le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». La personne concernée peut, quant à elle, « retirer son consentement à tout moment ».
« Non, comme je te le disais, Edward en est le gardien. Tout ce que tu as à faire, c’est de lui dire « je veux que tel service puisse accéder à telles données pour telle utilisation et pour telle durée ». C’est un peu comme lorsque tu partages un Google Doc : tu peux gérer qui peut le visionner ou le modifier. Grâce à Edward, tu peux autoriser un nouveau supermarché à consulter ton historique d’achat chez Leclerc et Carrefour pour qu’il puisse te proposer des produits adaptés à ton profil tout en lui refusant l’accès à la liste de tes diplômes. Et tu peux révoquer un accès à n’importe quel moment. Regarde, on va tester en créant un compte sur une nouvelle plateforme de freelance. »
Sur l’écran, Alice se rend sur la page d’accueil de Barley, un service de freelance qu’elle a repéré depuis quelque temps. Parmi les possibilités de connexion s’affiche le bouton « Avec Edward ». Elle clique. Une nouvelle page s’affiche avec les notifications suivantes :
Alice valide. En quelques secondes, les informations de son nouveau compte se remplissent automatiquement. Elle est même déjà notée 4.8 / 5 et les commentaires de ses anciens clients déposés sur les autres plateformes s’affichent sur son profil. Sur Edward, le tableau de bord s’est enrichi d’un nouvel onglet : « Mes transactions de données ».
« Ici, tu peux voir l’intégralité des services que tu as autorisé à consulter tes données personnelles. Cela fonctionne comme un relevé bancaire sauf qu’ici les transactions ne concernent pas des transferts d’argent, mais des autorisations ou révocations d’accès à tes données personnelles : tu as la date de la transaction, quelles données tu as autorisé à la consultation, la durée de l’autorisation et le nom du service bénéficiaire. Maintenant, essaie d’ajouter une nouvelle information sur ton profil LinkedIn. »
Alice s’exécute puis actualise la page de son nouveau service de freelance. Comme par magie, l’information apparaît sur son profil Barley, sans qu’elle n’ait rien eu à faire. « Merci Alan et merci Edward », pense-t-elle.
* Edward gère les données personnelles de l’utilisateur comme une bibliothèque gère ses livres : seules les personnes autorisées peuvent les consulter, pendant un temps défini, et dans le cadre d’usages précis.*
Une fois Alan parti, elle décide de paramétrer un maximum de ses comptes pour qu’ils fonctionnent en symbiose avec Edward. Problème : l’un de ses services de freelance n’autorise pas l’importation des données depuis un cloud personnel. « Tant pis, se dit-elle avant de supprimer son compte. Hors de question pour moi de devoir actualiser à la main mes données ou de tout réimporter depuis un autre de mes services. » Sa décision est prise : désormais, elle ne s’inscrira plus que sur des services compatibles avec Edward.
Le futur laissera le contrôle de ses données aux utilisateurs ou ne sera pas
Les utilisateurs sont de plus en plus conscients des enjeux de données personnelles. plus de 80% des utilisateurs sont prêts à partager leurs données pour une expérience digitale plus simple et jusqu’à 88% pour des expériences personnalisées. La gestion des données par une plateforme et le fait que les données soient ou non exportables vers d’autres plateformes de manière simple (comme par exemple le fait qu’Alice soit déçue que sa nouvelle montre qui ne puisse pas recevoir les données de son ancienne montre) vont devenir des arguments de vente de plus en plus signifiants.
Des données fiables : le bruit des Bots
An 2028. La première directive européenne sur l’autorisation de circulation des voitures autonome de niveau 5 a enfin été transposée dans la loi française et les voitures sans volant ni pédales surprennent de moins en moins les passants. Côté données personnelles, le RGPD a été enrichi et oblige désormais toute entreprise ou administration récoltant des données sur des citoyens européens à se rendre compatible avec les clouds personnels. Une nouvelle qui ravit Alice. Il lui a fallu quelques années, mais ça y est : l’intégralité des services qu’elle utilise doivent passer par Edward, qu’elle peut désormais gérer sur son smartphone, pour accéder à ses données.
Son téléphone se met d’ailleurs à vibrer. Elle vient de recevoir une notification. C’est Edward, son bot :
« Autoriser Mistral Entertainment à lire vos données de diplômes ?»
Mistral Entertainment est un studio de développement de jeu vidéo bordelais. Alice a rendez-vous avec leur responsable RH le lendemain pour un entretien d’embauche.
« Merci d’avoir accepté la demande d’accès à vos diplômes, lance Karen, la responsable RH de Mistral Entertainment alors qu’Alice s’installe sur la chaise. Pour nous, c’est un moyen de garantir l’existence et l’exactitude des informations fournies sur votre CV. » L’année dernière, la « loi garantissant l’exactitude des informations des diplômes délivrés par les instances agréée par l’Etat » a obligé tous centres de formation, universités et écoles à dématérialiser leurs diplômes, à leur attribuer un code d’identification unique et à les rendre compatibles avec les systèmes de cloud personnel. Ainsi, toute entreprise peut demander à un candidat de lui autoriser l’accès à ses diplômes. « Vous n’imaginez pas le nombre de candidats qui trichaient sur leur CV dans le passé, continue Karen. Mais pour vous, tout est en règle, et vos expériences professionnelles passées sont très impressionnantes. »
C’est heureuse et confiante qu’Alice sort de son rendez-vous chez Mistral Entertainment. Il est midi elle vient à peine de s’installer à la table d’un restaurant du centre de Bordeaux qu’une voix familière retentit derrière elle : « Bonjour, auriez-vous deux minutes pour que je vous présente MiamCouncelor, l’application qui va vous apporter les meilleurs clients ? »
« Bob ! Ça fait si longtemps !, s’extasie Alice. Comment vas-tu ? Comment se porte MiamCouncelor ? »
Surpris, l’entrepreneur se retourne et adresse un grand sourire à son amie : « Je ne vais pas te mentir. MiamCouncelor a failli disparaître. Mais j’ai tenu bon et la démocratisation des clouds personnels à complètement fait décollé l’activité. La plateforme compte désormais plusieurs milliers de restaurants et de nouveaux s’inscrivent tous les jours. »
« Pour tout vous dire, j’ai essayé de me créer un compte sur MiamCouncelor il y a plusieurs années, confie Grace, la patronne du restaurant. Mais j’avais abandonné. Il fallait remplir un formulaire long comme trois bras, je ne pouvais pas importer les notes et les commentaires laissés sur mon établissement ailleurs sur Internet. C’est dommage, j’aimais bien l’idée et le design est sympa. »
« Écoutez, je vais mettre un chronomètre sur la table. Si dans deux minutes, vous n’avez pas réussi à vous inscrire, je quitte les lieux et vous n’entendrez plus jamais parler de moi », lance Bob en tendant une tablette tactile à Grace qui s’en saisit.
« Deal ! » Grace appuie sur « Se connecter avec Edward », l’unique bouton de la page d’accueil. Elle entre son identifiant, son mot de passe, puis sélectionne les informations qu’elle souhaite importer dans le service : nom du restaurant, adresse, commentaires et notes laissés par les clients sur d’autres plateformes, les menus du jour, les plats à la carte ainsi que les ingrédients qui les composent. Quand elle clique sur « Valider », le chronomètre affiche 1 min 02. Cinq secondes plus tard, le profil de son restaurant apparaît. Son établissement y est géolocalisé, la moyenne de ses notes apparaît en gros à côté des commentaires les plus élogieux et d’une liste comprenant tous les plats servis aujourd’hui.
« Je vous ai trouvé », sourit Alice en pointant du doigt l’application MiamCouncelor qu’elle vient d’ouvrir sur son téléphone. « D’ailleurs, pendant que je vous tiens. J’ai développé récemment une allergie aux arachides. Pourriez-vous m’indiquer sur la carte les plats que je peux manger ? »
« Attends, lance Bob avant que Grace ait pu répondre. Tu n’as pas vu notre nouvelle fonctionnalité « anti-allergies » ? Regarde et clique sur « Que puis-manger ? » sous le nom du restaurant. »
Alice s’exécute :
Alice valide. Sur l’application, les plats du restaurant s’affichent désormais en vert ou rouge. Vert : elle peut manger. Rouge : il contient un ingrédient à base d’arachide. « Woh ! Quel stress en moins », dit-elle avant de commander son colombo de poulet garanti sans arachide.*\
*
L’offre rencontre la demande sans intermédiaire : Uber autorisé, Uber utilisé, Uber controversé mais Uber Uberisé…
Son repas terminé, il lui faut maintenant aller à l’aéroport pour y accueillir son cousin Dennis. Auparavant, elle aurait commandé une voiture via un service comme Uber. Grâce à leurs nombreux utilisateurs — aussi bien chauffeurs que clients — ces plateformes contrôlaient l’information sur la demande et l’offre : elles connaissaient le nombre de chauffeurs disponible et de clients en attente sur une zone, leur localisation exacte, les trajets demandés, les conditions de circulation, les heures et lieux à forte demande… Autant d’informations que les utilisateurs de l’application ne possédaient pas, ce qui les obligeaient à passer exclusivement par ces plateformes qui jouaient le rôle d’intermédiaire entre l’offre et la demande. Une asymétrie qui permettait à ces services de prélever des commissions avoisinant les 25% par course.
Les temps ont changé. Grâce à son cloud personnel, un chauffeur agréé peut désormais se signaler disponible, se géolocaliser et proposer son tarif sur autant d’applications qu’il le souhaite. Les chauffeurs ont repris le pouvoir. Les intermédiaires ont disparu et, avec eux, les commissions stratosphériques. Conséquence : les prix ont baissé pour les clients tout en permettant aux chauffeurs de mieux gagner leur vie.
Grâce aux clouds personnels, les chauffeurs n’ont plus besoin de passer par des plateformes prélevant des commissions exhorbitantes. © Pexel
Sur son téléphone, Alice renseigne sa destination. Quelques secondes plus tard, la liste des chauffeurs aux alentours s’affiche, agrémentée des commentaires et des notes de chaque professionnel issues de toutes les autres applications similaires. Elle choisit le mieux noté. Deux minutes plus tard, la voilà en route vers l’aéroport.
Edward aux données d’argent
Le terminal grouille déjà de monde. Alice tente de se frayer un chemin dans la foule tout en jetant des coups d’œil aux alentours pour repérer son cousin quand son téléphone se met à vibrer : « Hey, je t’attends au salon VIP ! »
« Mais que fait Dennis au salon VIP ? Ce lieu est normalement réservé aux personnes qui voyagent en Business… », pense-t-elle alors qu’elle arrive au lieu indiqué.
« Salut !, lâche Dennis en s’esclaffant. T’en fais une tête ! » Costume élégant, montre flambant neuve, téléphone dernier cri et coupe de champagne à la main. Alice peine à reconnaître le frêle étudiant éternellement sans le sou qu’elle a laissé partir aux Philippines un an plus tôt.
« T’as gagné au loto ou quoi ? » Nouveau rire sonore de Dennis : « Même pas ».
« Mais alors quoi ? »
Depuis quelques mois, Dennis est devenu un adepte des « Data-discount », des réductions accordées par des entreprises en échange d’un accès plus large aux données personnelles d’un individu. « Air France par exemple a proposé de me surclasser si j’autorisais leur bot à récupérer sur mon cloud personnel l’historique de mes billets d’avions de ces deux dernières années, explique-t-il. Si j’avais permis l’accès à l’intégralité de mes voyages en train et bus, j’aurais même pu obtenir un bon d’achat à utiliser sur leur site. »
« Tu n’as fait ça que sur Air France ? »
« Bien sûr que non. J’ai obtenu 50 % de réduction sur mon téléphone en autorisant la marque à consulter l’historique de mes achats sur les stores d’applications concurrents à leur plateforme. Quant à la montre connectée, je l’ai obtenue moins cher contre le droit pour la marque de consulter régulièrement les données issues de mon application de course à pied. D’après eux, ils essaient de comprendre pourquoi une majorité des utilisateurs préfèrent synchroniser leur montre avec un service tiers plutôt que le leur. »
« J’avais vu ces promotions, mais je n’ai encore jamais sauté le pas. »
Dennis enchaîne :
À mon avis, ce n’est que le début. J’ai entendu dire que certaines personnes aux Etats-Unis acceptent de vendre leurs données à des universités asiatiques et américaines qui s’en servent pour entraîner des algorithmes et à des entreprises pour les aider à améliorer leur marketing. Certains en retirent quelques centaines d’euros par mois. En Afrique et en Asie, ce commerce permet même à certaines personnes d’améliorer leur quotidien et de sortir de la pauvreté.
« Je vois, enchérit Alice. Tous nos clics, nos commentaires, nos notations, nos achats : tout cela constituait une sorte de travail qu’auparavant nous effectuions gratuitement pour le compte de grosses sociétés qui utilisaient nos données un peu comme elles voulaient sans demander notre avis. Aujourd’hui, elles doivent passer par nos clouds personnels pour récupérer ces précieuses données. L’avantage, c’est que cela permet de garder une visibilité sur les lieux de stockage de nos données et sur son utilisation. »
Digital Labour : tous ouvriers du numérique !
Si c’est gratuit, c’est que nous sommes le produit ! Nous ne le savons pas, mais nous travaillons tous pour des géants du numériques qui ne nous rémunèrent pas directement. Chacun de nos clics, chaque contenu consommé en ligne, chaque page consultée sont analysés par les plateformes numériques (américaines pour la plupart) afin de transformer cette activité en production de valeur : en revendant ces données directement ou en les analysant afin de comprendre comment capter notre attention afin de revendre ce temps d’attention aux acteurs qui souhaitent en disposer. Ils considèrent que la gratuité du produit est la rémunération indirecte de l’utilisateur pour son travail. Et si, dans le futur, nous prenions conscience de la valeur que l’on apporte et que nous demandions à ce que ce travail soit rémunéré à sa juste valeur ?
« Exactement », conclut Dennis.
La gestion post-mortem des données: Héritage digital
Le téléphone d’Alice sonne. C’est son père. Il est en pleurs : « Aujourd’hui, maman est morte. Ou peut-être hier, je ne sais pas. » Elle devait rendre visite à une amie dans le nord, mais son train s’est arrêté au milieu de nulle part pour ne jamais repartir. Elle a dû passer la nuit dans un hôtel miteux. Son cœur a lâché dans la nuit aux alentours de minuit. Ne sachant que faire de sa soirée, Alice a traîné sur ses réseaux sociaux, regardant son fil Facebook sans le voir. Jusqu’à cette notification en forme de lâcher de ballons sur l’écran : « C’est son anniversaire. N’oubliez pas de lui fêter ses 62 ans. » Dans le post, le visage de sa mère. Cette dernière est partie, mais son double numérique existe toujours.
Mort numérique
En France, la loi Informatique et Libertés relative à la protection des données personnelles prévoit que les héritiers d’un défunt puissent demander l’actualisation des données de la personne décédée. Sur Facebook, il est par exemple possible de transformer un profil en « mémorial ». La gestion des données qui peuvent être stockées sans limite, a des implications au-delà de notre personne physique… à quand un testament numérique ?
La lecture du testament est prévue à 10 heures. Alice retrouve son frère, sa sœur et son père devant la belle maison bourgeoise qui sert de cabinet au notaire. Immobilier, argent, bijoux… M. Pouzin énumère les dernières volontés de la défunte. « Maintenant, nous allons passer aux désirs de Madame concernant la gestion post-mortem de ses données personnelles », déclare le notaire. Après avoir dû bataillé avec les responsables de Twitter pour supprimer le compte d’une amie décédée sans famille connue, la mère d’Alice a décidé de tout prévoir. « Les données de Madame sont toutes hébergées et gérées par le bot Edward. Avant son décès, Madame a programmé la possibilité pour moi-même, en tant que notaire, de supprimer certaines de ses données. Ce soir, l’intégralité des profils de ses réseaux sociaux seront supprimés à l’exception de son Facebook qui sera transformé en page mémorial. Les autorisations d’accès à ses photographies enregistrées sur son Apple Cloud, ses documents enregistrés sur son Google Drive et son Dropbox seront, quant à eux, transférés sur vos clouds personnels. »
Une fois la paperasse terminée, M. Pouzin ajoute : « Prévoir la gestion de ses données personnelles post-mortem est une procédure encore assez rare, mais qui va vous faciliter la vie. Sans cela, il aurait fallu que vous demandiez, service par service, la suppression du profil de Madame en fournissant des preuves que vous appartenez à sa famille et un certificat de décès. D’autant que le profil reste visible tant que la plateforme n’a pas pris en compte votre demande. Pour beaucoup de familles, cela complique le processus de deuil. » Rien que sur Facebook, 8 000 à 10 000 personnes inscrites meurent chaque jour. Et le nombre de profils fantômes pourrait dépasser celui du nombre d’utilisateurs vivants d’ici à 2070.
Majority Report
An 2029. Alice est invitée chez son amie Karen, dont le fils fête aujourd’hui ses 18 ans. Comme pour chaque passage à l’âge adulte, la famille a sorti le grand jeu. Deux cent personnes ont été invitées à se restaurer dans la salle de réception d’un château de la Renaissance. Des serveurs en smokings annoncent des plats aux noms à rallonge tout en remplissant généreusement les coupes de champagne et les verres de vin.
Comme il est de tradition dans la famille, les enfants reçoivent pour leurs 18 ans une voiture et une lettre à remettre à la banque. Cette dernière marque la fin de la procuration des parents sur le compte bancaire de l’enfant devenu adulte et apte à gérer ses deniers comme il l’entend.
« Pourquoi deux lettres cette année ? », demande Alice à Karen.
« Tu ne sais pas ? Grâce aux clouds personnels, nous avions aussi mis en place une procuration sur les données de Steve. Dès qu’une application demandait à accéder à ses données, nous pouvions valider ou annuler la décision prise par lui. Nous ne voulions pas que n’importe quel service puisse abuser de sa crédulité pour utiliser ses données. Aujourd’hui, il devient adulte. C’est à lui de gérer aussi bien son argent que ses données de façon responsable. Bon, la lettre est surtout symbolique parce qu’en réalité, en deux clics, je vais pouvoir supprimer la procuration », sourit Karen.
Alice repense à tout ce qu’elle a dû faire pour reconquérir le droit de contrôler ses propres données personnelles. « Aujourd’hui, il a tous les outils nécessaires pour les gérer de façon éclairée. Il est beaucoup mieux équipé que nous à son âge. À l’époque nous ne savions même pas qui avaient des données sur nous et ce qui en était fait. Les entreprises en contrôlaient le partage et les lois tentaient de nous protéger mais sans pour autant nous en donner la gestion, sans nous faire confiance de prendre des décisions éclairées pour nous même. » Elle réfléchit un instant :
Finalement, nous avons été traités en mineurs bien trop longtemps.
Sur le chemin du retour, son téléphone se met à vibrer et deux notifications d’Edward s’affichent sur son écran :
Alice hésite : « Il y a seulement quelques années, l’institut aurait eu beaucoup de mal à se procurer ces informations utiles pour la recherche, pense-t-elle. D’un autre côté, il est probable que MaxiGlace aurait pu exploiter mes données et créer de la valeur avec elles sans que j’en sois informé. À l’époque, j’étais dépossédé du contrôle de mes données, je ne pouvais pas les gérer en conscience selon mon éthique et mes convictions. Aujourd’hui, la loi, ma compréhension des enjeux liées aux données personnelles et les outils numériques me permettent de faire mes propres choix de façon éclairée. Quel progrès ! Collectivement, nous avons grandi et gagné en liberté et en droits. » Des droits qu’elle compte bien exercer. Elle décide d’accepter la demande de l’institut mais de refuser qu’une entreprise d’agro-alimentaire connaisse ses occupations professionnelles et personnelles. En moins de cinq secondes, ses choix sont enregistrés par Edward. Heureuse d’avoir pu aider la recherche et protéger sa vie personnelle en toute transparence et en conscience. Alice range son téléphone, remet ses écouteurs puis reprend sa route en chantonnant et se rend compte de sa nouvelle liberté, mais cette hauteur de vue ne lui fait plus peur. Elle est capable de choisir en conscience, et comprend plus que jamais que pour les données personnelles aussi, choisir, c’est renoncer.
