Qui ?
Mehdi Medjaoui, Entrepreneur, organisateur des conférences API Days, Expert à la commission européenne sur les données publiques, professeur au MBA HEC et EMLyon, et créateur de GDPR.dev.
Quoi ?
Un nouvel outil, qui permet de s'appuyer sur les individus pour récupérer les données des plateformes, afin de les ré-investir dans d'autres applications, grâce une technologie de "tokenisation" des consentements. Mehdi parle à notre matinée "conquérir sa data autonomie du 3 décembre. Demandez vos places ici.
Comment ?
GDPR.dev offre les outils aux développeurs et aux entreprises pour appliquer le RGDP de manière offensive et inciter leurs utilisateurs et clients à importer leurs données stockées dans d'autres plateformes afin d'en jouir sur la nouvelle plateforme de leur choix. La vision ? "C'est un énorme capital digital directement accessible auquel les entreprises ont accès, à condition qu'elles aient la confiance de leur utilisateurs et qu'elles rendent l'expérience d''exercice de droits RGPD la plus simple possible, en 2 clics". Ainsi, Mehdi Medjaoui a revendu sa start-up OAuth.io qui aide les développeurs et les entreprises à publier et intégrer des API en 2017 et se relance avec cette société qui aide les entreprises et les individus à tirer partie de la portabilité des données, instituée par les articles 20.1 et 20.2 du Règlement Général sur la Protection des Données, baptisée GDPR.dev. Le but ? Abaisser le coût d'exercice des droits RGDP vers 0, en API-sant et tokenisant le RGPD, en partant du principe que les contrats seront lisibles par des machines et donc programmables. "On fait des outils pour baisser le coût d'accès du RGPD aux individus et augmenter leurs bénéfice en tant que consommateur ou citoyen des droits de portabilité issus de cette loi". Car, entre deux sociétés qui ont passé des accords, la récupération des données, avec le consentement des utilisateurs, se fait directement via l'API. Quand les sociétés sont concurrentes ou si elles n'ont pas d'accord existant, la récupération des données passe par l'application du RGPD article 20.
La société de Mehdi facilite le flux légal. Son premier cas d'usage concret ? Le voice lab : 22 sociétés françaises de la voix implémentent les technologies de portabilité présentes dans GDPR.dev pour récupérer des données d'Amazon de Google ou d'Apple. Dans les faits, ça se passe comment ? "Ça se passe très bien avec Google, moins bien avec Amazon, et encore moins bien avec Siri d'Apple. Mais notre rôle est de créer de la jurisprudence".
Le possesseur des données peut vouloir que ses infos aillent directement d'une plateforme à un marchand. Exemple de cas d'usage ? "Je suis un acteur du e-commerce. Si vous me partagez vos données Amazon je ne vous re-propose pas les produits déjà achetés sur la plateforme, et j'améliore ma recommandation de produits." Un autre ? "Fitbit n’autorise pas export de données. Du coup, les personnes qui ont acheté une Apple watch font du jogging avec deux montres pendant la période de transition pour ne pas perdre leur historique"
La start-up est un peu le Robin des Bois de la data : "Beaucoup de nouvelles startups et même les grands groupes traditionnels ont peu de données sur leurs clients. Mais les sociétés nouvelles génération en ont capté beaucoup.L’enjeu est de redistribuer ces données dans une réforme agraire de la donnée."
Sur ce nouveau front de la donnée, l'expérience utilisateur est clé. Et l'homogénéisation des formats, condition pour un bon export, pas pour demain. Par exemple, chez Facebook ou Instagram, une photo est plutot un fil de commentaires et de liens sociaux (likes, etc...) autour d'un fichier photo, alors que chez Google, c'est un fichier photo et la localisation d'où la photo a été prise. C'est la raison pour laquelle les initiatives comme le Data Transfer Project (DTP) des GAFA qui vise à standardiser la portabilité des données, ne sont au final pas utiles pour l'utilisateur, car elles reposent sur le plus petit commun dénominateur.
Deuxième bémol, le RGPD ne prévoit que le transfert généré par l’utilisateur, mais pas les traitements issus de la donnée. Ce qui permet à un acteur comme Apple de résister à la portabilité : elle traite les données voix et les efface, et ne peut donc les rendre à l'utilisateur et exporter hors de son enceinte.
La jurisprudence, mais aussi la réglementation européenne, pourraient accélérer le mouvement. Considérant que les banques n'avaient pas assez innové, l'Europe leur a imposé la portabilité des données directe et obligatoire sous la réglementation DSP2 . Le marché des fournisseurs d'énergie ou des assurances pourrait suivre. Mais attention, récupérer les données de ses utilisateurs enfermées dans d'autres plateformes n'est pas tout. Ce n’est pas parce que vous avez la donnée d’Amazon que les gens passeront par vous pour acheter un produit. C'est votre expérience client qui les convaincra.
