On se perd en hypothèses sur la volte-face de Facebook qui, après avoir juré ses grands dieux qu'il appliquerait partout dans le monde le RGPD, vient d'exfiltrer tous ses utilisateurs non-européens vers son siège californien. Ils dépendaient jusqu'ici du siège irlandais du groupe. On évoque la peur de l'amende qui peut monter jusqu'à 4 % du chiffre d'affaires (autant réduire la base imposable...) mais c'est peut-être aussi la peur du portage des données, rendu obligatoire par le RGPD. Ce portage rappelle la portabilité des numéros de téléphone qui a tant fait pour la concurrence entre opérateurs mobiles. Sera-ce suffisant pour faire de la concurrence à Facebook ?

Donner à l'individu la liberté de disposer de ses données

L'obligation de portabilité des données existait avec l'ancienne directive vie privée mais elle était pratiquement inutile car celui qui possédait vos données avait le choix du format sous lequel il vous les livrait. Contrairement à la portabilité des numéros, le portage des données n'a pas pour objectif de favoriser la concurrence. Il veut donner à l'individu la liberté de disposer de ses données soit pour les confier à un concurrent soit pour lui-même en bénéficier (par exemple, rapatrier sa playlist sur Spotify et la faire jouer sur Deezer). Il pourrait vouloir sa liste de contact de son Webmail pour créer une liste de mariage aux galeries Lafayette.

Maintenant l'Union européenne vise surtout le portage entre applications ou réseaux sociaux. Pour l'instant, elle encourage la création d'un format standard entre acteurs pour la rendre plus facile (avant de l'imposer ?). Elle vise un marché plus liquide des données pour ne pas brider l'innovation : une société B aura peut-être de meilleures idées pour exploiter tout ou partie de vos données aux mains de la société A. C'est bien le propriétaire des données qui est le chef de projet du portage : il est le seul responsable de la qualité des données transmises par exemple par son réseau social. Ce dernier n'engage pas sa responsabilité sur le contenu qu'il transmet. Celui qui reçoit les données de son futur client doit par contre faire attention de ne pas en récolter trop par erreur sinon il est déjà en contradiction, avant de commencer, avec le RGPD car ce dernier érige en principe la frugalité des données collectées pour le but visé et le contrat conclu, rien de plus. Il ne doit pas se faire piéger et devra peut-être refuser (de recevoir) certaines données ou expliciter quels types de données il a besoin.

Le réseau social donneur ne peut se venger après une requête de portage : il doit continuer à fournir son service si l'utilisateur n'y a pas mis fin. Mais ce dernier dispose aussi du droit à l'oubli : il peut exiger la destruction de toutes les données en possession de son fournisseur initial après portage.

Quand peut-on demander de porter ses données ?

Il faut que les données soient entrées en possession du réseau social pour un but déterminé, pour un traitement spécifié par contrat avec l'usager ou parce que les données ont été un jour stockées avec le consentement de l'utilisateur final. Cette nuance est importante car, sinon, un citoyen pourrait par exemple demander à l'administration des impôts de recevoir toutes les données le concernant y compris les enquêtes en cours : fraude fiscale, blanchiment. De telles collectes de données, couvertes par d'autres lois, ne peuvent évidemment pas faire l'objet de portage. Plus délicates sont les données que les ressources humaines ont sur vous. Qui n'a pas rêvé d'accéder à son dossier personnel ? Le G29, qui regroupe les CNIL des Etats membres de l'UE et qui a édité un code de bonne pratique du portage des données, s'avance moins : certes, aucun consentement n'a pas vraiment pu être donné librement dans un rapport de force employeur/employé. Il s'agit par contre de données collectées dans le cadre d'un contrat (de travail), c'est sûr. Le RGPD devrait s'appliquer et le portage aussi. Le G29 préfère dire que des demandes de portage dans le contexte employé-employeur devront être analysées au cas par cas. Cela risque d'être épique.

Quel type de données ?

Ce sont les données qu'on aura confiées, évidemment, mais aussi toutes les données qui auront été récoltées ou générées par le fait qu'on est client du réseau social. Si les données ont été rendues anonymes entre temps, elles ne font plus l'objet du portage car elles ne sont plus personnelles. Il reste malgré tout un flou quant à l'anonymat : des données peuvent être anonymes mais, dans un contexte donné, ne le sont pas du tout. Attention car les données privées d'un individu vont contenir des informations relatives à d'autres personnes, tout aussi privées. Le nouveau réseau social ne peut pas en profiter pour en faire un traitement à leur insu : la tentation serait trop forte sinon que le réseau receveur fasse de la publicité envers ces tierces parties peut-être restées chez le réseau donneur. Il pourrait aussi reconstruire un profil de ces tiers à leur insu !

Les données qui viennent des outils même du réseau social ou de l'application qui a un algorithme dernier cri pour établir un profil de vous, qui peut vous faire des recommandations ultra-précises d'après vos goûts, vos habitudes d'achat ou de visionnage, ces données-là restent aux mains du réseau social ou de l'application. C'est normal car le concurrent qui recevrait ces données de vous pourrait faire du reverse engineering et deviner comment fonctionne votre produit d'intelligence artificielle.

Information

On doit informer activement ses utilisateurs du droit au portage : dès que vous confiez vos données à un tiers, il vous dira que vous pourrez toujours les (ex)porter ailleurs. Il faut aussi rappeler le droit au portage au moment de la fermeture du compte. L'application slack devra alors revoir son modèle étrange qui bloque tous vos messages anciens au-delà de 10.000 à moins de s'abonner, ce qui va à l'encontre du portage des données.

Le contrôle de l'identité de celui qui demande le portage ne sera pas une sinécure. On connait les pratiques de slamming qui ont éclos avec le portage des numéros. Un opérateur un peu trop audacieux pouvait demander le portage d'un client qu'il venait à peine de démarcher sans avoir encore son consentement, tout au plus un pourquoi pas ? Quid lorsque le client n'est connu de son fournisseur que par son pseudonyme ? Quand il s 'agit de passer de eDarling à Meetic, peu de clients auront envie de prouver qui ils sont. Si la taille des données à porter est trop grande, il faudra proposer un support matériel pour les contenir : DVD, clé USB, sinon, un outil de téléchargement de ses données est préconisé. C'est ce que Facebook et Google proposent déjà. Enfin, le portage doit être gratuit et effectué dans le mois. Si la demande de portage est infondée, excessive, par exemple des allers-retours entre réseaux sociaux, une participation aux frais peut être demandée.

Ça fait beaucoup (de défis techniques à surmonter): le RGPD n'a jamais autant donné raison à ceux qui pensent qu'une régulation audacieuse peut donner lieu à de l'innovation. Mais cela ne résoudra pas l'ultra-dominance de Facebook. La valeur d'un réseau (social ici) serait proportionnelle au carré du nombre de ses utilisateurs : avec ses deux milliards d'utilisateurs, Facebook ne sera plus rattrapé. Pour y remédier, ce n'est pas le portage qu'il aurait fallu mais l'interopérabilité : qu'un réseau concurrent puisse se connecter au réseau Facebook tout comme les petits opérateurs mobiles sont interconnectés aux opérateurs mobiles historiques pour qu'un appel passe d'un réseau à l'autre. Ainsi le premier client du réseau concurrent a tout de suite accès aux 2 milliards d'utilisateurs de Facebook. Rêvons.

Pour en savoir plus :

Guidelines on the right to data portability, ARTICLE 29 DATA PROTECTION WORKING PARTY, Isabelle FALQUE-PIERROTIN,   5 April 2017