Pour Tristan Nitot, « le diable est dans les détails ». Comme le note l’ancien de la fondation Mozilla aujourd’hui directeur des produits de la start-up Cozy Cloud, le futur règlement européen sur la protection des données (GDPR) n’aura d’effet réel sur le marché que si les conditions de son application sont au rendez-vous. Tristan Nitot cible en particulier un point du texte : la portabilité des données, permettant en théorie à un utilisateur lambda de passer simplement d’un service à un autre sans perdre tout son historique de données. Une disposition qui ne sera réellement applicable en pratique que si les fournisseurs de service se voient imposer la mise à disposition d’API permettant une récupération simple de ces données, selon Tristan Nitot. « Le fournisseur de service qui ne mettrait pas une API pour que l’on puisse récupérer nos données, alors que c’est le moyen le plus efficace et moins cher de transférer directement des données, serait objectivement animé par une volonté d’obstruction », écrit l’auteur de Surveillance://. Une façon de mettre la pression sur les GAFAM qui pourraient être tentés d’appliquer le GDPR à minima.
La démarche est évidemment intéressée de la part de Cozy Cloud, qui entend offrir aux utilisateurs des applications de Cloud personnel, mais la start-up a réussi à fédérer autour d’elle d’autres sociétés ou organisations comme Qwant, France Digitale, Framasoft, OpenDataSoft, AlterWay ou Dashlane ainsi qu’une poignée de personnalités comme Benoît Thieulin (le DG de la Netscouade, aujourd’hui dans le giron d’Open) ou Antoine Petit (Pdg de l’Inria). Tous cosignent un commentaire envoyé au G29, le groupement des CNIL européennes, qui recueille en ce moment des avis sur le projet de règlement européen.
« L’objectif de ce commentaire est de signifier que les guidelines du G29 sur la portabilité devraient mentionner explicitement le recours aux API, faute de quoi il sera nécessaire d’attendre une jurisprudence dont les délais et aléas seront à l’avantage des plus gros acteurs du numérique, aux dépens des utilisateurs et des services plus petits et plus innovants », résume Tristan Nitot, dans un billet de blog.
Le texte du GDPR, qui doit s’appliquer en mai 2018, prévoit que : « lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable de traitement à un autre lorsque cela est techniquement possible ». Et, les guidelines du G29 précisent que ces transmissions de données ne doivent pas subir d’entraves (« without hindrance »).
Pour Nitot et les autres cosignataires, ces conditions passent par l’ouverture d’une API sur les services soumis au règlement. Les signataires du commentaire appellent donc le G29 à durcir ses recommandations. Ces dernières se contentent pour l’heure d’indiquer que cette portabilité « peut être implémentée en rendant une API disponible ». Les signataires recommandent donc la rédaction suivante : « dans la plupart des cas, rendre une API disponible est la seule façon de garantir une transmission directe (des données, NDLR) et les exceptions (à ce principe, NDLR) doivent être justifiées techniquement ».
A lire aussi :
Règlement européen sur la protection des données : ce qu’en pensent les entreprises
CISPE, lobby européen du Cloud, publie un code de conduite conforme GDPR
Tristan Nitot se lance dans l’aventure Cozy Cloud
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
