Avec MesInfos, Lyon se rêve en tiers de confiance des données personnelles
Pourquoi laisser ses données personnelles se balader sur les serveurs d'une myriade d'entreprises quand on peut les héberger soi-même ? C'est le sens du projet MesInfos, mené depuis deux ans par le Grand Lyon, qui présente ce 21 juin les résultats de cette expérimentation au public. Plus de 2 000 personnes y ont participé en récupérant leurs données personnelles détenues par cinq partenaires de MesInfos : Maif (données d'assurance habitation et véhicule), Orange (téléphonie, VOD), Enedis et GRDF (consommation énergétique) ainsi que la métropole lyonnaise elle-même (pour les données de consommation d'eau).
Ces données ont d'abord été transférées sur un cloud personnel fourni par Cozy Cloud, une start-up capable d'aller chercher ce genre de données chez les entreprises grâce à des "connecteurs", qui récupèrent les informations en interrogeant une API ou grâce à des techniques de scrapping. "Ensuite, nous permettons à une application d'utiliser les données d'un utilisateur sans qu'elles sortent de son cloud personnel", résume Benjamin André, co-fondateur de Cozy Cloud. "Ainsi, le traitement se fait localement et seulement avec les données autorisées par l'utilisateur, au lieu de le forcer à envoyer plus d'informations que nécessaire sur les serveurs de l'entreprise".
Décloisonner les données
Ce fonctionnement permet de créer de nouveaux services en fusionnant les données provenant de différentes sources. Par exemple l'application Mon Logis, qui combine toutes sortes d'informations au sujet du logement comme l'assurance, la consommation téléphonique ou énergétique, pour les regrouper au sein d'un unique tableau de bord. En connectant son compte bancaire à son cloud personnel, l'utilisateur permet aussi à une entreprise qui le facture tous les mois par prélèvement automatique de consulter sa solvabilité, sans pour autant connaître le montant qui se trouve sur son compte. Elle peut ainsi anticiper un impayé et proposer au client des solutions de paiement différé.
A l'avenir, la métropole souhaite élargir l'audience de cette expérimentation, en termes d'utilisateurs et de services, mais aussi mieux les connecter à ses propres plateformes. Parmi les pistes étudiées : demander l'autorisation des utilisateurs afin que certaines de leurs données viennent alimenter le portail open data du Grand Lyon. Ou encore connecter ces clouds personnels au guichet administratif unique de la métropole, en cours d'élaboration. Et puisque tous ces développements sont open source, n'importe quelle autre collectivité est libre d'en réutiliser les différentes briques technologiques. Ainsi, la FING, un think tank à l'origine du projet MesInfos, et qui travaille sur des problématiques de transformation numérique avec des collectivités et des entreprises. commencera à discuter en septembre avec La Rochelle et Nantes de la réutilisation de MesInfos. Cas d'usage envisagé : le compte mobilité, qui réunira en un seul endroit les données des différents services de transport locaux.
"Pour certains utilisateurs, les méchants sont les services commerciaux et les Gafa, pour d'autres c'est l'Etat ou monsieur le maire"
A travers ce projet, le Grand Lyon envisage donc un futur dans lequel la métropole propose une alternative à la collecte des données personnelles par les entreprises et fait l'intermédiaire entre elles et les utilisateurs. Est-ce bien le rôle de l'Etat et ses collectivités d'aller héberger des informations personnelles sur leurs concitoyens ? "Un acteur public n'a par définition pas d'autres intérêts que le bien commun et l'intérêt général", assure Karine Dognin-Sauze, vice-présidente du Grand Lyon, en charge du numérique. "Les acteurs privés ont été les premiers à se mobiliser sur l'administration de la donnée. Ce qui se joue aujourd'hui c'est un rééquilibrage des forces et la réappropriation de lieux qui peuvent être gérés pour le bien commun." "On ne trouvera jamais le tiers de confiance parfait ", pondère Jacques-François Marchandise, délégué général de la FING. "Pour certains utilisateurs, les méchants sont les services commerciaux et les Gafa, pour d'autres c'est l'Etat ou monsieur le maire."
Le RGPD force la main
Mais comment convaincre les entreprises de restituer des données personnelles qu'elles possèdent alors qu'elles représentent une grande valeur pour leur business ? "Elles n'ont plus le choix", rappelle Benjamin André. "L'article 20 du RGPD dit très clairement que tout utilisateur a le droit de récupérer ses données et d'en demander le transfert direct d'un service à un autre." Mais au-delà de la coercition, l'enjeu est de montrer aux entreprises ce qu'elles ont à y gagner en étant proactives pour créer des services liés à ces transfert de données et ainsi conserver la relation client, avant que d'autres ne le fassent à leur place. "Le RGPD peut être vu comme un pur centre de coût, mais on peut aussi réussir à en tirer parti commercialement", abonde Jacques-François Marchandise.
Pour la suite de l'expérimentation, dont les modalités de poursuite seront décidées à la rentrée, il faudra en tout cas préciser le rôle du tiers de confiance. Jusqu'ici, l'hébergeur des données était Cozy Cloud, via son partenaire OVH. Faut-il conserver cette relation de prestataire envers la métropole, qui s'assure pour le compte des utilisateurs du respect de leur vie privée, ou au contraire faire héberger toutes les données directement par la collectivité ? Le Grand Lyon n'a pas encore tranché, et Karine Dognin-Sauze n'exclut pas à ce stade de créer "un cloud d'agglomération" pour la métropole, sur lequel seraient hébergées ces données.