Les associations de consommateurs veillent à ce que le Data Act mette les utilisateurs au centre

Les particuliers sont les principaux générateurs de données numériques provenant de leurs terminaux et objets connectés. Au-delà de leurs données personnelles, ils doivent avoir le contrôle sur l’ensemble des data qu’ils produisent. Afin que l’économie des données leur profite à eux aussi.

« En tant qu’initiateurs d’une grande partie de ces données, grâce à leur utilisation d’appareils connectés et de services numériques, les consommateurs doivent garder le contrôle sur la façon dont les données – qu’ils ont aidé à générer – sont partagées et avec qui. Ces données sont utiles pour toutes sortes de services dans l’économie, dont les consommateurs pourraient également bénéficier, tels que les fournisseurs de services concurrents ou un plus large choix de services après-vente, y compris la réparation et l’entretien », a prévenu Monique Goyens (photo), directrice générale du Bureau européen des unions de consommateurs (Beuc).

Data de 398 millions d’internautes de l’UE
Monique Goyens a ainsi interpellé le 23 février dernier la Commission européenne qui présentait ce jour-là sa proposition de règlement sur les données, baptisé Data Act, dont l’objectif est de favoriser une « économie des données » dans les Vingt-sept, et de préciser « qui peut utiliser et les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données ». Le texte lui-même de ce projet de règlement sur les données est un document de 64 pages (1), dont la traduction dans d’autres langues est en cours. Mais le Beuc, qui est basé à Bruxelles et qui fête cette année ses 60 ans, met en garde l’Union européenne contre la mise en place d’un cadre législatif ne mettant pas les utilisateurs – en l’occurrence les 398 millions d’internautes européens, selon l’Internet World Stats (2) – au cœur de cette « libéralisation » de la data. « Par exemple, illustre concrètement Monique Goyens, les données générées par un réfrigérateur intelligent devraient pouvoir être transmises à un concurrent ou être consultées par un service tiers si le consommateur le souhaite. Ces données peuvent inclure les paramètres du réfrigérateur, des informations sur le contenu du réfrigérateur, la façon dont il interagit avec d’autres appareils intelligents dans la maison, ou sur la façon dont le réfrigérateur est utilisé ou peut être défectueux ». Autrement dit, le Data Act ne doit pas seulement favoriser l’exploitation par des tiers des masses de données, le plus souvent générées par les Européens des Vingt-sept, mais aussi les rendre utiles et bénéfiques pour les utilisateurs eux-mêmes. « La loi sur les données est un élément important du puzzle pour s’assurer que les données peuvent être consultées équitablement dans toutes les industries tout en donnant aux utilisateurs le plein pouvoir de décider ce qui arrive aux données qu’ils génèrent. Il est essentiel que les consommateurs décident ce qui arrive aux données qu’ils génèrent, quand ils les partagent et avec qui », insiste la directrice générale du Beuc. Quant au droit de portabilité des données, il doit pouvoir être simplement exerçable par chaque consommateur qui le souhaite lorsqu’il veut passer d’un prestataire de services numériques à un autre : réseau social, cloud, plateforme de contenus, logiciel, etc. Et surtout le Data Act prévoit d’étendre ce droit de « mobilité numérique » au-delà des données personnelles. En effet, le RGPD (3) limite ce droit aux données à caractère personnel. Le Data Act, lui, renforcera ce droit à la portabilité de la data à toutes les données, à caractère personnel ou non.
Dans une lettre adressée le 16 février à Margrethe Vestager, vice-présidente de la Commission européenne, en charge notamment du numérique, le Beuc plaidé pour que « le consommateur soit au centre de la proposition de règlement sur les données ». Car Monique Goyens et la cosignataire du courrier (4), Ursula Pachl, directrice générale adjointe du Beuc, reprochent à l’exécutif européen que « les discussions sur l’accès aux données sont souvent dominées par des considérations d’entreprise à entreprise et d’entreprise à gouvernement ». Alors que, insistent-elles, ce sont les consommateurs eux-mêmes qui jouent un rôle central dans l’économie des données ; ce sont eux qui fournissent et génèrent d’énormes quantités de données grâce à leur utilisation d’appareils connectés et de services numériques ; eux encore qui permettent à une myriade de services en ligne de prospérer et d’innover grâce à l’accès à leurs données d’utilisateur. « En d’autres termes, résument les deux signataires, ces données sont essentielles du point de vue de la concurrence, du choix du consommateur et de l’innovation. La loi sur les données doit suivre l’approche centrée sur l’humain décrite dans la communication de la Commission européenne intitulée “Une stratégie européenne pour les données” (5) ».

Les quatre exigences du Beuc
Dans ce courrier adressé en copie au commissaire européen chargé du marché intérieur, Thierry Breton, le Beuc estime que le Data Act devrait intégrer quatre éléments favorables aux consommateurs : • S’assurer que les consommateurs contrôlent les données générées par leurs appareils connectés et les services associés. Lorsque les consommateurs sont à l’origine des données, ils devraient pouvoir décider librement et contrôler quand et avec qui partager leurs données. • Un droit amélioré de portabilité des données ne devrait pas se limiter aux données à caractère personnel, comme c’est actuellement le cas avec le RGPD, et devrait être beaucoup plus facile à exercer qu’il ne l’est aujourd’hui dans ce dernier. • Prendre des mesures de protection visant à empêcher l’accumulation et l’exploitation supplémentaires de données de tiers par les entreprises qui gardent le contrôle (gatekeeper). Il s’agit d’un élément clé du Digital Markets Act (DMA) qui doit être réaffirmé dans le Data Act afin d’assurer une économie des données ouverte, concurrentielle et saine. • S’assurer que les consommateurs ont accès à tous les recours et mécanismes de recours nécessaires si leurs droits ne sont pas respectés, y compris ceux prévus par la directive sur les actions représentatives [appelées aussi actions de groupe, ou class action (6), ndlr].

Des données inexploitées ou verrouillées
« En plus de fournir un cadre dans lequel les données sont accessibles et partagées, la loi européenne sur les données doit compléter les règles existantes en matière de protection des données, de protection des consommateurs et de concurrence. (…) L’UE doit également veiller à ce que la loi sur les données ne finisse pas par renforcer les monopoles des Big Tech sur les données », a prévenu le Beuc (7), qui compte UFC-Que Choisir et le CLCV (8) parmi ses 46 organisations de consommateurs membres de 32 pays (9), donc bien au-delà des Vingt-sept.
La proposition de règlement sur les données s’inscrit dans un contexte où l’on assiste à un « data-boom », dont le volume va exploser et passer de plusieurs dizaines de zettaoctets à plusieurs centaines de zettaoctets d’ici la prochaine décennie. Or une grosse partie de ces gisements de data sont inexploités ou sous-utilisés, en raison de « problèmes juridiques, économiques et techniques ». Par exemple, la Commission européenne affirme que « 80% des données industrielles n’étant jamais utilisées ».
Le Data Act est là pour déverrouiller la situation. « Les nouvelles règles augmenteront le volume de données disponibles en vue de leur réutilisation et devraient générer 270 milliards d’euros de PIB supplémentaire d’ici à 2028 », avancent Margrethe Vestager et Thierry Breton qui ont présenté la proposition. Mais l’utilisateur final sera-t-il au coeur du dispositif comme le souhaitent les organisations de consommateurs fédérées par le Beuc ? C’est ce que tente de mettre en place la proposition du Data Act. Dans ses explications annexées à sa communication du 23 février, la Commission européenne donne un exemple précis : « Lorsque vous achetez un produit “traditionnel”, vous devenez propriétaire de toutes les pièces et de tous les accessoires de ce produit. En revanche, lorsque vous achetez un produit connecté – par exemple, un appareil domestique intelligent ou une machine industrielle intelligente – qui génère des données, il est souvent difficile de savoir qui peut faire quoi avec les données, ou il peut être stipulé dans le contrat que toutes les données générées sont exclusivement recueillies et utilisées par le fabricant ». Le Data Act permettra non seulement aux entreprises mais aussi aux particuliers de mieux contrôler les données qu’ils génèrent à partir de tous les objets connectés en leur possession : terminaux (smartphones, ordinateurs, tablettes, téléviseurs, …), enceintes connectées, appareils électro-ménagers connectés, ou encore objets dits intelligents. Les services de cloud tels que Amazon Web Services, Microsoft Azure, Google Cloud ou encre OVHcloud sont concernés par ce nouveau droit au contrôle des données. Ce contrôle des données sera assorti d’un « droit à la portabilité renforcé » qui permet de copier ou de transférer facilement des données entre différents services en concurrence. « Il sera plus facile de transférer des données et des applications (qu’il s’agisse d’archives photographiques privées ou de l’administration entière d’une entreprise) d’un fournisseur à un autre sans engager de frais, grâce aux nouvelles obligations contractuelles que la proposition présente pour les fournisseurs de services en nuage et à un nouveau cadre de normalisation pour l’interopérabilité des données et des services en nuage », explique la Commission européenne.
L’utilisateur aura en outre la possibilité de partager les données qu’il génère avec d’autres prestataires en vue d’améliorer les services rendus. L’article 3 du Data Act crée une « obligation de rendre accessibles les données générées par l’utilisation de produits ou de services connexes ». L’article 4 donne le « droit des utilisateurs d’accéder et d’utiliser les données générées par l’utilisation de produits ou de services connexes ». Et l’article 5 accorde à l’utilisateur le « droit de partager des données avec des tiers ». Ces dispositions inquiètent d’emblée les entreprises numériques, notamment américaines au sein de la CCIA (10), et les éditeurs de logiciels, dont ceux réunis au sein du BSA (11).

Obligation de partager avec des tiers
En pratique, pour prendre une situation précise, « le propriétaire d’une voiture ou d’une machine pourrait choisir de partager les données produites par leur utilisation avec sa compagnie d’assurances » et « ces données, agrégées auprès de plusieurs utilisateurs, pourraient également contribuer au développement ou à l’amélioration d’autres services numériques, par exemple en ce qui concerne la circulation routière ou les zones à haut risque d’accident ». Cela stimulera le développement d’un éventail plus large de services par des tiers avec lesquels l’utilisateur acceptera de partager des données, généralement pour un meilleur prix ou une meilleure qualité de service. @

Charles de Laubier

A 75 ans, l’Unesco – dirigée par Audrey Azoulay – prend des airs de régulateur mondial de l’Internet

C’est en novembre 1946 qu’est formellement créée l’organisation des Nations Unies pour l’éducation, la science et la culture. Soixante-quinze ans après, son onzième directeur général et deuxième femme – Audrey Azoulay – a été réélue pour un second mandate de quatre ans. Parmi ses priorités : le numérique.

Comme en octobre 2017, la Française Audrey Azoulay (photo) a été élue en novembre 2021 – cette fois pour un second mandat de quatre ans – à la direction générale de l’Unesco, lors de la 41e conférence générale de celle-ci, avec à nouveau le soutien de « la République française » qui a proposé une seconde fois sa candidature. Entre le précédent locataire de l’Elysée, François Hollande, et l’actuel, Emmanuel Macron – lequel, faut-il le rappeler, y a été le secrétaire général adjoint du premier puis « son » ministre de l’Economie, de l’Industrie et du Numérique (avant de devenir son rival) –, il y a un point commun : celui d’avoir été à l’origine de la nomination d’Audrey Azoulay à la tête de cette organisation onusienne basée à Paris. Autant son accession à ce poste international n’avait pas été évidente il y a quatre ans, autant sa réélection est passée comme une lettre à la poste : sur 193 Etats membres de l’Unesco, 169 ont voté le 9 novembre, dont 155 voix se sont portées sur l’ancienne ministre de la Culture et de la Communication (après avoir été conseillère dans ces domaines auprès de François Hollande à l’Elysée). Il faut dire que l’énarque était seule en lice pour ce mandat 2021-2025, alors que pour remporter son premier mandat (après une candidature déposée in extremis) elle avait dû battre le Qatari Hamad bin Abdulaziz al-Kawari.

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Rémunérer les internautes – pour l’utilisation de leurs données personnelles – fait son chemin

Si c’est gratuit, c’est vous le produit ! Mais les internautes ne sont plus dupes : leurs données personnelles sont « l’or noir du XXIe siècle » et ils comptent bien se faire rémunérer pour leur exploitation ou pour visualiser de la publicité. Les start-up de la monétisation des données se multiplient.

La start-up française Tadata va avoir deux ans en fin d’année. Cet été, la Cnil (1) a clôturé l’enquête qu’elle avait lancée au printemps à son encontre après avoir été « alertée » par l’Internet Society France (Isoc France) en février dernier. Cette association qui représente les internautes dans les instances de la gouvernance de l’Internet en France et dans le monde, a décrété un postulat : les données personnelles procèdent d’un droit fondamental et, à ce titre, elles ne peuvent être vendues ou faire l’objet d’une monétisation.

Cnil pour, gouvernement et CNNum contre
L’Isoc France, présidée par Nicolas Chagny depuis cinq ans, a reproché à la jeune pousse parisienne, fondée fin 2018 par Alexandre Vanadia et Laurent Pomies, de justement proposer à un public de jeunes internautes de gagner de l’argent contre le partage de leurs données personnelles. Et l’association de « regretter l’approche simpliste et opaque du gain d’argent facile et rapide (…) ciblant un public vulnérable ». Tadata se présente comme « la première plateforme de monétisation des données personnelles ». Le sang de l’Isoc France n’avait fait qu’un tour, tout en affirmant constater « des non-conformités » au regard notamment du règlement européen sur la protection des données personnelles (RGPD), avait donc « alerté immédiatement la Cnil selon un principe de précaution, avant la montée en puissance d’un tel service » (2). Mais après quelques mois d’investigation, la Cnil a informé en juillet dernier la société qu’elle avait finalement classé sans suite cette affaire, en clôturant la procédure sans aucune sanction (3), la société s’étant mise en conformité avec le RGPD entre autres aspects juridiques. « La Cnil nous a même invité à participer à des échanges et débats sur la thématique de la monétisation des données personnelles avec ses équipes », indique Christel Monge (photo de gauche), présidente de Tadata, à Edition Multimédi@. Le gendarme des données valide donc un nouveau modèle économique des données, là où le gouvernement est plutôt contre la vente des données personnelles. En mars 2018, à la suite d’un rapport « Mes data sont à moi » du think tank libéral Génération Libre prônant la « patrimonialité des données numériques » et leur rémunération (4), Mounir Mahjoubi, alors secrétaire d’Etat au Numérique, avait déclaré lors d’un débat du Syntec Informatique : « Je suis contre toute propriété et vente des données personnelles ». Quant au Conseil national du numérique (CNNum), dans un rapport de 2017, il avait déjà jugé ce « système patrimonial pour les données à caractère personnel » comme « une proposition dangereuse » (5). Avec ce feu vert explicite de la Cnil, la plateforme Tadata met désormais les bouchées double : elle propose donc aux 15- 25 ans de lui faire part d’informations personnelles de leur choix : centres d’intérêt, habitudes de consommation, besoins actuels, … L’internaute est invité à remplir des formulaires. Ensuite, les annonceurs auxquels sont transmis ces données pourront retenir des profils pour utiliser leurs données, contre de l’argent. L’internaute consentant accepte ainsi de « céder l’exploitation » de ses données personnelles « pour une durée de deux ans, dans le cadre d’une licence d’utilisation concédée aux annonceurs ». L’utilisateur a le choix entre être payé par virement sur un compte bancaire (Iban à renseigner à l’inscription), soit par carte cadeau où seront crédités chaque mois les gains obtenus. Tadata a passé un partenariat avec la société Wedoogift, qui permet aux bénéficiaires de dépenser leurs « cartes cadeaux » – valables chacun un an – dans plus de 500 enseignes physiques, dont des cinémas, et plus de 150 sites Internet. Tadata se positionne implicitement comme un anti- GAFAM qui s’arrogent des droits d’exploitation massive de données en échange de la gratuité de leurs services souvent incontournables et en position dominante. « Tous les jours, les acteurs d’Internet utilisent tes données personnelles à ton insu et se font de l’argent sur ton dos ! Avec Tadata, dis “Stop” : reprends le contrôle de tes données perso et gagne de l’argent avec ! », lance la plateforme de monétisation.

Start-up Tadata, My Data, Polymate, …
En contrepartie de son autorisation, le jeune internaute perçoit une quote-part de la redevance perçue par Tadata en vertu des licences d’utilisation conclues auprès de clients (dont les annonceurs), quote-part qui sera comprise « entre 3 et 5 euros » à chaque licence concédée pour l’utilisation par le client d’une base de données contenant des données à caractère personnel (DCP) du jeune concerné. Tadata n’est pas la seule jeune pousse, loin de là, à vouloir monétiser les données personnelles. Toujours en France, à La Rochelle cette fois, My Data – alias « My Data is Rich » (MDiR) – propose de « transformer vos données en royalties » en se présentant comme un tiers de confiance « pour la collecte, la gestion, la protection et la valorisation de données personnelles », indépendant des GAFAM, qui fait le lien entre les « auteurs de données » (essentiellement les particuliers) et les « consommateurs de données personnelles », à savoir les entreprises et tout organisme. MDiR, qui compte « plusieurs milliers de personnes », redistribue à ces « contributeurs » 50 % des gains engendrés par la valorisation de leurs données. « Nous ne sommes pas vendeur de données mais tiers de confiance. Les données sont pseudonymisées et ne sont identifiées auprès d’une entreprise tierce qu’après un droit d’usage accordé par la personne concernée », explique son président Eric Zeyl à Edition Multimédi@. Il l’assure : cette approche permet à chacun d’être « enfin un acteur éclairé et consentant de l’utilisation de ses données », tandis que les entreprises disposent ainsi de solutions « RGPD by design » pour développer des parcours clients ou prospects « data responsables ». La jeune pousse rocheloise a annoncé miseptembre son rapprochement avec le groupe Doxsa (6).

Brave rémunère en cryptomonnaie
Autre start-up française du « données contre royalties » : Polymate, basée à Bailly Romainvilliers (en région parisienne) et présidée par Armel Satchivi (photo de droite), qui revendique être le « premier réseau social géolocalisé qui rémunère ses utilisateurs ». Alors que YouTube (Google) ou, plus récemment, TikTok (ByteDance) sont des mégaplateformes qui rémunèrent leurs créateurs et influenceurs en fonction d’un grand nombre d’abonnés à « leur chaîne » ou de volume d’heures diffusées sur le réseau social, Polymate monnaye la data géolocalisée de ses utilisateurs devenus d’office « influenceurs ». « Un tag est une vidéo, une image ou un texte, qui a pour particularité d’être géolocalisé et de n’être visible que dans un rayon de 100 mètres autour de son emplacement. Seuls les autres “Polymaters” situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs », explique Armel Satchivi à Edition Multimédi@. Seuls les autres Polymaters situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs. Du côté des navigateurs web cette fois, Brave permet aux utilisateurs de récupérer les tokens – des jetons – générés en l’utilisant et d’obtenir ainsi une rémunération pour les publicités dont ils autorisent l’affichage. La start-up Brave Software a été créée il y a cinq ans maintenant par Brendan Eich, qui fut cofondateur de Mozilla (Firefox) et créateur du JavaScript. Aujourd’hui, le navigateur Brave revendique près de 20 millions de « braves » par mois dans le monde (19 millions en octobre précisément, contre 12 millions en mai dernier). « Votre attention est précieuse. Gagnez de l’argent en visualisant des publicités qui respectent la vie privée, puis donnez à votre tour pour soutenir les créateurs de contenu que vous aimez », explique l’éditeur de ce navigateur open source construit à partir de Chromium de Google. Fini les publicités envahissantes en naviguant sur le Web et fini la vente des données confidentielles à des annonceurs, la plupart du temps sans le consentement explicite de l’internaute. « Avec votre ancien navigateur, vous payiez pour naviguer sur le Web de la manière suivante : votre attention était utilisée pour visualiser des publicités », rappelle la start-up californienne (basée à San Francisco). Avec le système «Brave Rewards », l’attention de l’internaute – « le temps de cerveau disponible », diraient certains – est valorisée sous la forme de jetons baptisés « Basic Attention Token » (BAT), « une nouvelle façon de valoriser l’attention en unissant les utilisateurs, les créateurs de contenu et les annonceurs ». Les jetons BAT constituent une cryptomonnaie qui s’appuie sur une plateforme décentralisée publicitaire – Ad Exchange – basée, elle, sur la blockchain open source Ethereum. Une fois inscrit, le navigateur commence à comptabilité « la quantité d’attention » accordée par l’internaute aux sites web qu’il visite. Explication du mode de fonctionnement : « Vous pouvez supprimer les sites (web) que vous ne souhaitez pas soutenir et offrir des pourboires directement à des créateurs. Toutes ces opérations sont anonymes : personne (pas même l’équipe de Brave) ne peut voir qui soutient quel site (web) », assure la plateforme.
En octobre, Brave Software a indiqué avoir reversé à ce jour quelque 12 millions de dollars à des créateurs de contenus (7) et compte plus d’un demi-million de sites web référents certifiés. Et de préciser : « Des publicités privées sont activées par défaut dans Brave Rewards, et cela vous permet de gagner des jetons BAT à chaque fois que vous visualisez une publicité. (…) Vous pouvez contrôler le nombre de publicités privées que vous souhaitez voir et gagner 70 % du revenu de la publicité que nous recevons de nos annonceurs ». C’est un peu comme accumuler des miles aériens, mais au lieu de voler l’utilisateur navigue ! « En échange de votre attention, vous accumulez des jetons pendant votre navigation. (…) Vous pouvez choisir de visualiser des publicités privées une à cinq fois par heure. Vous pouvez bien sûr aussi désactiver les publicités privées à tout moment ».

La Californie prône la « Data Dividend Tax »
En février 2019, le gouverneur de Californie, Gavin Newsom, a proposé « un “dividende de données” pour partager la richesse générée par les données personnelles avec les utilisateurs qui y ont contribué » (8). Ce projet prône une taxe numérique baptisée Data Dividend Tax (DDT), dont le modèle est présenté dans un rapport écrit par un groupe de travail indépendant. Ce document de 42 pages a été mis à jour le 6 Août dernier (9). Le fait que cet appel soit lancé par l’Etat américain des GAFAM et des Big Tech de la Silicon Valley donne une portée particulière à cette initiative. @

Charles de Laubier