Nous sommes des entrepreneurs, des militants, des universitaires, des sociétés cotées en bourse, des organismes publics et des promoteurs. Depuis des années, nous utilisons des mots différents pour ce que nous faisons – MyData, Self Data, VRM (Vendor Relationship Management), Internet of Me, PIMS (Personal Information Management Services) etc, tout en partageant un objectif commun : donner aux individus les moyens d’utiliser leurs données personnelles, les aidant ainsi, avec leurs communautés, à développer leurs connaissances, à prendre des décisions éclairées et à interagir plus consciemment et plus efficacement entre eux ainsi qu’avec les organisations.
Ensemble, ces dernières années, nous avons formé un réseau dont les participants partagent leur expérience, développent des projets communs, se rencontrent à la conférence MyData et participent à des efforts collectifs en vue d’une approche des données personnelles centrée sur l’être humain.
Il est maintenant temps de faire connaître ce travail dans le monde entier et de prouver son impact potentiel sur les individus, la société et l’économie. Aujourd’hui, nous pensons qu’il est temps d’affirmer publiquement les valeurs qui nous animent – et d’appeler ceux qui partagent ces valeurs à agir en conséquence. Joignez-vous à nous pour renverser le paradigme des données personnelles. Rejoignez-nous pour créer le mouvement MyData.
DÉCLARATION DES PRINCIPES DE MYDATA
L’importance des données personnelles dans la société ne cessant de croître, il devient de plus en plus urgent de s’assurer que les individus sont en mesure de connaître et de contrôler leurs données personnelles, mais aussi d’en tirer des connaissances personnelles et de réclamer leur part de bénéfices.
Aujourd’hui, le rapport de force penche massivement en faveur des organisations, qui seules ont le pouvoir de collecter, d’échanger et de prendre des décisions fondées sur des données à caractère personnel, alors que les individus peuvent espérer, avec un effort important, obtenir un contrôle limité sur ce qui se passe avec leurs données. Les changements et les principes que nous exposons dans cette déclaration visent à rétablir l’équilibre et à s’orienter vers une vision des données à caractère personnel centrée sur l’être humain. Nous pensons qu’ils sont les conditions d’une société numérique juste, durable et prospère dont les fondements sont les suivants:
- La confiance et la certitude, qui reposent sur des relations équilibrées et équitables entre les personnes, ainsi qu’entre les personnes et les organisations;
- L’autodétermination, qui est atteinte non seulement par la protection juridique, mais aussi par des actions proactives visant à partager le pouvoir des données avec les individus;
- Maximiser les avantages collectifs des données personnelles, en les partageant équitablement entre les organisations, les individus et la société.
1. MYDATA SHIFTS : CE QUI DOIT CHANGER
Notre objectif primordial est de donner aux individus les moyens d’utiliser leurs données personnelles à leurs propres fins et de les partager en toute sécurité selon leurs propres conditions. Nous appliquerons et pratiquerons cette approche centrée sur l’être humain à nos propres services, et nous mettrons au point des outils et partagerons nos connaissances pour aider les autres à faire de même.
1.1. DES DROITS FORMELS AUX DROITS DONNANT LIEU À UNE ACTION
Dans de nombreux pays, les individus bénéficient d’une protection juridique des données depuis des décennies, mais leurs droits sont restés essentiellement formels : peu connus, difficiles à faire respecter et souvent occultés par les pratiques des entreprises. Nous voulons qu’une véritable transparence et un consentement véritablement éclairé deviennent la nouvelle norme en matière d’interaction entre les personnes et les organisations. Nous voulons que l’accès et la réparation, la portabilité et le droit d’être oublié deviennent des “droits en un clic” : des droits aussi simples et efficaces à utiliser que les meilleurs services en ligne d’aujourd’hui et de demain.
1.2. DE LA PROTECTION DES DONNÉES À L’AUTONOMISATION DES DONNÉES
La réglementation sur la protection des données et les codes d’éthique des entreprises sont conçus pour protéger les personnes contre les abus et les utilisations abusives de leurs données personnelles par les organisations. Bien que ces mesures restent nécessaires, nous avons l’intention de modifier les pratiques communes pour que les personnes soient à la fois protégées et habilitées à utiliser les données que les organisations détiennent à leur sujet. Parmi les exemples de ces utilisations, on peut citer la simplification des formalités administratives, le traitement de données provenant de sources multiples pour améliorer la connaissance de soi, les assistants d’IA personnalisés, la prise de décision et le partage des données selon les conditions de l’individu.
1.3. DES ÉCOSYSTÈMES FERMÉS AUX ÉCOSYSTÈMES OUVERTS
L’économie des données d’aujourd’hui crée des effets de réseau favorisant quelques plateformes capables de collecter et de traiter les plus grandes masses de données personnelles. Ces plates-formes verrouillent les marchés, non seulement pour leurs concurrents, mais aussi pour la plupart des entreprises qui risquent de perdre l’accès direct à leurs clients. En laissant les individus contrôler ce qu’il advient de leurs données, nous entendons créer une véritable circulation des données – librement décidée par les individus, à l’abri des points d’étranglement mondiaux – et créer un équilibre, une équité, une diversité et une concurrence dans l’économie numérique.
2. MYDATA ROLES : QUI FAIT QUOI
Note : “Rôles” n’est pas “Acteurs“, une personne ou une organisation peut remplir un ou plusieurs rôles à la fois.
PERSONNE
Une personne qui gère l’utilisation de ses propres données personnelles, à ses propres fins, et qui entretient des relations avec d’autres personnes, services ou organisations.
SOURCE DE DONNÉES (Data Source)
Une source de données collecte et traite les données personnelles auxquelles les autres rôles (y compris les Personnes) peuvent souhaiter accéder et utiliser.
DONNÉES UTILISÉES PAR UN SERVICE (Data Service)
Un service d’utilisation de données peut être autorisé à extraire et à utiliser des données personnelles à partir d’une ou plusieurs sources de données.
OPÉRATEUR DE DONNÉES PERSONNELLES
Un opérateur de données personnelles permet aux individus d’accéder, de gérer et d’utiliser leurs données personnelles en toute sécurité, ainsi que de contrôler le flux de données personnelles avec, et entre, les sources de données et les données utilisant les services. Les individus peuvent être leur propre opérateur. Dans d’autres cas, les opérateurs n’utilisent pas les informations elles-mêmes, mais permettent la connectivité et le partage sécurisé des données entre les autres rôles de l’écosystème.
3. LES PRINCIPES DE MYDATA : CE QUE NOUS VOULONS RÉALISER
Afin de produire les changements nécessaires à une approche des données à caractère personnel centrée sur l’être humain, nous nous engageons à œuvrer en faveur des principes suivants et à les défendre :
3.1 CONTRÔLE DES DONNÉES À CARACTÈRE PERSONNEL CENTRÉ SUR L’ÊTRE HUMAIN
Les individus devraient être des acteurs habilités à gérer leur vie personnelle en ligne et hors ligne. Il convient de leur fournir les moyens pratiques de comprendre et de contrôler efficacement qui a accès aux données les concernant et comment elles sont utilisées et partagées.
Nous voulons que le respect de la vie privée, la sécurité des données et la minimisation des données deviennent une pratique courante dans la conception des applications. Nous voulons que les organisations permettent aux individus de comprendre leurs politiques de protection de la vie privée et la manière de les activer. Nous voulons que les individus soient habilités à donner, refuser ou révoquer leur consentement à partager des données, sur la base d’une compréhension claire du pourquoi, du comment et du combien de temps leurs données seront utilisées. Enfin, nous voulons que les conditions d’utilisation des données personnelles deviennent négociables de manière équitable entre les individus et les organisations.
3.2 L’INDIVIDU COMME POINT D’INTÉGRATION
La valeur des données personnelles croît de manière exponentielle avec leur diversité, mais la menace pour la vie privée aussi. Cette contradiction peut être résolue si les individus deviennent les “plaques tournantes” où, ou par l’intermédiaire desquelles, le référencement croisé des données à caractère personnel se produit.En permettant aux individus d’avoir une vision à 360 degrés de leurs données et d’agir comme leur “point d’intégration”, nous voulons permettre une nouvelle génération d’outils et de services qui offrent une personnalisation approfondie et créent de nouvelles connaissances basées sur les données, sans compromettre la vie privée ni augmenter la quantité de données personnelles en circulation.
3.3 AUTONOMISATION DE L’INDIVIDU
Dans une société fondée sur les données, comme dans toute société, les individus ne doivent pas être considérés uniquement comme des clients ou des utilisateurs de services et d’applications prédéfinis. Ils doivent être considérés comme des agents libres et autonomes, capables de se fixer et de poursuivre leurs propres objectifs. Ils devraient pouvoir initier et organiser.
Nous voulons que les individus soient capables de gérer en toute sécurité leurs données personnelles de la manière qu’ils préfèrent. Nous entendons aider les individus à disposer des outils, des compétences et de l’assistance nécessaires pour transformer leurs données personnelles en informations utiles, en connaissances et en décisions autonomes. Nous pensons que ce sont les conditions préalables à des relations équitables et bénéfiques fondées sur les données.
3.4 PORTABILITÉ : ACCÈS ET RÉUTILISATION
La portabilité des données personnelles, qui permet aux individus d’obtenir et de réutiliser leurs données personnelles pour leurs propres besoins et à travers différents services, est la clef pour passer de données en silos fermés à des données qui deviennent des ressources réutilisables. La portabilité des données ne devrait pas être un simple droit légal, mais être associée à des moyens pratiques.
Nous voulons donner aux individus les moyens de maîtriser efficacement leurs données personnelles, à la fois en les téléchargeant sur leurs appareils personnels et en les transmettant à d’autres services. Nous entendons aider les sources de données à rendre ces données disponibles de manière sûre et facile, dans un format structuré, communément utilisé et lisible par les machines. Cela s’applique à toutes les données personnelles, quelle que soit la base juridique (contrat, consentement, intérêt légitime, etc.) de la collecte de données, avec des exceptions possibles pour les données enrichies.
3.5 TRANSPARENCE ET RESPONSABILITÉ
Les organisations qui utilisent les données d’une personne devraient dire ce qu’elles en font et pourquoi, et devraient faire ce qu’elles disent. Elles doivent assumer la responsabilité des conséquences intentionnelles et non intentionnelles de la détention et de l’utilisation de données à caractère personnel, y compris, mais sans s’y limiter, les incidents de sécurité, et permettre aux personnes de les appeler à cette responsabilité.
Nous voulons nous assurer que les termes et les politiques de “vie privée” (privacy) reflètent la réalité, de manière à ce que les personnes puissent faire des choix éclairés avant, pendant les opérations et après celles-ci. Nous voulons permettre aux individus de comprendre comment et pourquoi des décisions basées sur leurs données sont prises. Nous voulons créer des canaux faciles à utiliser et sûrs permettant aux individus de voir et de contrôler ce qui arrive à leurs données, de les alerter des problèmes éventuels et de contester les décisions prises sur la base d’algorithmes.
3.6 INTEROPÉRABILITÉ
L’objectif de l’interopérabilité est de réduire les frictions dans le flux de données entre les sources de données et les services utilisant des données, tout en éliminant les possibilités de verrouillage des données. Elle devrait être réalisée en s’orientant continuellement vers des pratiques commerciales et des normes techniques communes.
Afin de maximiser les effets positifs des écosystèmes ouverts, nous travaillerons en permanence à l’interopérabilité des données, des API ouvertes, des protocoles, des applications et des infrastructures, afin que toutes les données personnelles soient portables et réutilisables, sans perdre le contrôle de l’utilisateur. Nous nous appuierons sur des normes, des ontologies, des bibliothèques et des schémas communément acceptés, ou aiderons à en développer de nouveaux si nécessaire.
4. ACTIONS : CE QUI DEVRAIT SE PASSER MAINTENANT
- Signer la déclaration, en tant qu’individu et/ou en tant qu’organisation. Cette déclaration est écrite au futur : si votre organisation n’est pas tout à fait là, mais s’engage à aller dans cette direction, elle devrait quand même la signer !
- Commentez la Déclaration. Cette déclaration évoluera au fil du temps, en fonction de vos idées et de votre expérience pratique. Il y aura une première révision après 6 mois.
- Utilisez la Déclaration pour faire avancer vos propres projets et intentions. Basez votre cadre de confiance, ou vos conditions de service, sur elle. Utilisez-la pour faire pression et convaincre les clients, les partenaires, les parties prenantes, etc.
RÉFÉRENCES
Cette déclaration de principes s’inspire de nombreuses sources, dont les plus importantes sont :
- Les Principes MyData (Open Knowledge Finland)
- La Charte des données personnelles de MesInfos (Fing)
- Les Principes du projet VRM (Projet VRM)
- Les principes de partage des données de l’ODI (Open Data Institute)
- Le Rôles et définitions de l’écosystème des données personnelles (PDEC)
For the translation we thank Pascal Kotte.
If you wish to sign the declaration, please do it here. If you decide not to sign it, we’d love to hear why! All comments are welcome here.