synthèse du 1er workshop mesinfos - 4 scénarios des données personnelles partagées

SYNTHESE DU 1er WORKSHOP MESINFOS - «Un monde de données personnelles partagées» - Vendredi 16 mars, ENSCI / Les Ateliers 1

Restitution du 1er workshop MesInfos : « Un monde de données personnelles partagées »

16 Mars 2012, l’ENSCI / Les Ateliers


EN SYNTHÈSE

- Le contexte - 4 scénarios qui pourraient nous amener aux données personnelles partagées- Principaux enseignements du workshop

4 SCÉNARIOS DÉCLENCHEURS DES «DONNÉES PERSONNELLES PARTAGÉES»

Scénario 1 : « Si vous ne le faites pas, d’autres le feront à votre place » Scénario 2 : « Coup de force : quand la BankX6 prend le contrôle » Scénario 3 : « Do it yourself : les gens mesurent tout par eux-mêmes » Scénario 4 : « Données personnelles, patrimoine personnel»

SYNTHÈSE DES MENACES ET OPPORTUNITÉS

Le compte-rendu complet des échanges de l’atelier est disponible à cette adresse : http://www.reseaufing.org/action/file/download?file_guid=85376


EN SYNTHÈSE


Le contexte

Le projet MesInfos explore ce qui pourrait constituer la base d’une transformation profonde de la relation entre les organisations et leurs usagers : le partage et la réutilisation des données personnelles avec les individus que celles-ci concernent.http://fing.org/mesinfos

L’objet de ce 1er workshop était d’une part de décrire 4 histoires plausibles sur la manière dont «un monde de données personnelles partagées» pourrait devenir réalité, et, d’autre part, d’explorer collec-tivement la manière dont les participants à la démarche «MesInfos» pourraient vouloir agir et être proactif sur ce sujet.


En résumé : 4 scénarios qui pourraient nous amener aux données personnelles partagées

Scénario 1 : «Si vous ne le faites pas, d’autres le feront à votre place» Un nouvel entrant de type « Personal Data Store » se taille ra-pidement la part du lion : les usagers lui confient massivement leurs données pour les stocker, les exploiter, les utiliser grâce à des services tiers qui s’interfacent avec la plateforme. Dans un 1er temps, les grandes entreprises qui possèdent des données sur leurs clients cherchent à nouer des partenariats en mode «1 to 1» avec cette start up. De fil en aiguille, un écosystème ver-tueux s’organise autour de l’acteur : des actions collectives sont menées pour faire émerger des standards ouverts, organiser la gouvernance, stimuler des infrastructures de tiers de confiance…

Scénario 2 : «Le coup de force : la BankX6 prend le contrôle»Une banque «traditionnelle» tente d’organiser un écosystème fermé, centré autour d’elle, en créant un «app store» qui propose des services pour ses clients à partir de leurs données person-nelles. Petit à petit, elle tisse sa toile et force les autres organisa-tions à ouvrir les données, qu’elle capte par l’intermédiaire de sa plateforme. Contrairement au scénario précédent, les entreprises cherchent à faire émerger de nouvelles plateformes pour éviter que la banque se retrouve en situation de monopole.

Scénario 3 : «Do it yourself, les gens mesurent tout par eux-mêmes» Initialement réservées à une minorité technophile, les pratiques de Quantified Self se massifient et ouvrent la porte au partage des données. Les individus sont désormais vraiment en position de décision et de choix quand aux outils qu’ils utilisent, ce qu’ils font de leurs données. Les organisations sont obligées de suivre et de proposer à leur tour des outils/services permettant la capture, l’analyse et le partage de données. Faire usage de ses données est devenu pratique et ludique.

Scénario 4 : «Données personnelles, patrimoine personnel»L’élection présidentielle aux USA cristallise la question du contrôle des données par les individus. Très informés, ces derniers prennent conscience de la valeur de leurs données et de l’intérêt d’en faire usage. Parallèlement, l’Etat choisit de prévenir l’apparition d’un marché des données personnelles en interdisant leur échange marchand.


Principaux enseignements du workshop

Que le «fait déclencheur» soit issu du marché (nouvel entrant ou acteur traditionnel proactif), de l’intervention politique ou des usages, il est assez plausible que la réappropriation des données personnelles par les individus se réalise sans que la plupart des organisations l’aient souhaité ni favorisé. Pour éviter ce scénario, une démarche proactive s’avère indispensable.

La thématique du contrôle des données est fortement présente lorsque les faits déclencheurs viennent de l’intervention politique ou des usages, aux dépens de celle de l’usage des données par les individus. C’est une question néanmoins essentielle à traiter, en témoigne son importance dans les autres scénarios.

La chaine de la confiance a besoin autant de «quarts de confiance» (du côté des individus), qui sont plutôt des «nouveaux entrants», que de «tiers de confiance» (du côté des organisations), qui eux peuvent être des acteurs plus «installés».

Beaucoup d’acteurs de la chaine de la confiance ont à y gagner : les usagers bien sûr (si les services sont à la hauteur) ; les orga-nisations (que ce soit en renforçant leur lien avec leurs clients, en créant des nouveaux services et/ou en se positionnant comme tiers» ou «quart» de confiance), les «Personal Data Stores» (PDS) proches des usagers. Le partage des données personnelles comme situation massive devient crédible.

Quelques fondamentaux sans lesquels il sera difficile de trans-former l’essai : des standards ouverts (de données, mais aussi d’identification/authentification), des APIs ouvertes, une pluralité de tiers et «quarts» de confiance, une gouvernance à mettre en place pour organiser les actions collectives nécessaires, un cadre juridique clair sur la mise à disposition des données, mais aussi, sur la répartition des rôles, des responsabilités et de la valeur entre les acteurs de l’écosystème des données personnelles.


4 SCÉNARIOS DÉCLENCHEURS DES «DONNÉES PERSONNELLES

PARTAGÉES»


“What’s Yours Is

Mine”

Soutenue par quelques grands entrepreneurs du Net américain, la jeune startup WYIM (“What’s Yours Is Mine”) débarque avec une pro-messe simple : vous permettre de “savoir ce que les entreprises ne veulent pas que vous sachiez... sur vous-même !”

WYIM enregistre et conserve tout ce qui rentre et sort de vos appa-reils numériques ; scanne d’un clic tous vos documents numériques ou papier, pour en extraire tous les “grains” de connaissance sur vos finances, votre consommation, vos déplacements, etc. ; récupère vos flux de données, par exemple financiers ; et vous rend cette information plus aisément lisible, exploitable, interprétable.

Très vite, WYIM noue des accords avec des fournisseurs d’outils de “finance personnelle” (PFM), des comparateurs de prix, des acteurs de la consommation collaborative...

Scenario 1

« Si vous ne le faites pas, d’autres le feront à votre place »

- Le point de départ


L'écosystème s'organise

autour de WYIM.

scénario 1 : « Si vous ne le faîtes pas, d’autres le feront à votre place. »

SITUATION SOUHAITÉEL'arrivée du nouvel entrant (la start up "WYIM") est vécue comme une opportunité pour la plupart des acteurs. L'écosystème du partage des données entre les organisations et les individus qu'elles concernent s'organise autour de WYIM.

La start up WYIM noue de nouveaux partenariats avec d'autres fournisseurs de données, afin d'être le "point central" d'un maximum d'applications pour le client. Elle est, de fait, un vrai "quart de confiance" par et pour les usagers.

Petit à petit, l'écosystème s'organise : les nerfs de la guerre sont les standards ouverts et les APIs, dont la gouvernance nécessite que les acteurs s'organisent dans des actions collectives.

Les autres acteurs réagissent en 2 temps :En nouant dans un 1er temps des partenariats 1 à 1 avec WYIM : services de WYIM en marque blanche sur leurs sites, "alliances de tiers de confiance"…

Grands facturiers, grands possesseurs de données, intermédiaires de la relation client, start up proposant des services au client basés sur des données personnelles…

Données personnelles


WYIMWYIMstore

Les fournisseurs historiques de données (banques, Telecom, La Poste…)

Les usagers

données personnelles

Services

1

1 2 3

2Quart de confiance

Tiers de confiance

APIsstandardsouverts

Tiers de confiance

Tiers de confiance

WYIM

3


Comment rendre cela possible ?

Le nouvel entrant (ici, WYIM), doit être ouvert à la collaboration avec l’écosystème, ce qui est plausible : il a beaucoup à y gagner en termes de nouveaux services qui seront crées à partir des don-nées qu’il rassemble, ainsi qu’en conquête de nouveaux clients.

Tous les acteurs installés (Banques, La Poste, opérateurs…) vont vouloir être tiers ou quarts de confiance. La distinction entre ces statuts devient à la fois de plus en plus indispensable, et plus diffi-cile à établir. Mais tous les acteurs sont aussi bien conscients que c’est le client qui voudra choisir au final le tiers qu’il préfère, celui en qui il a le plus confiance pour être reconnu, authentifié, etc. Il faut donc explorer une infrastructure commune qui permette à tous ceux qui se sentent légitimes à jouer un rôle de médiateur et de plate-forme de confiance de le proposer à leurs clients, sans l’imposer. La question de l’authentification reste cruciale.

La question de la responsabilité est centrale. Par exemple, en cas de partenariat entre une banque et WYIM, si une défaillance est constatée, la banque va se retrouver montrée du doigt, et pas nécessairement WYIM. Un encadrement législatif est donc à imaginer.

Enfin, le scénario ne fonctionne que par des actions collectives entre grands possesseurs de données, «intermédiaires» et usa-gers : une gouvernance sera nécessaire (à inventer).


BANKX6 storeBX6

BX6

banque

assurance

téléphonie

consommation

loisirs

vacances

médias

famille impôts

transports

études santé

Lancé fin 2011, le “BankXStore” mettait initialement à disposition un Kit de développement aux développeurs (comprenant un accès aux don-nées bancaires des clients de la banque) pour stimuler l’offre de service aux clients.

Le succès dépasse toutes les attentes. Plusieurs dizaines de déve-loppeurs ont créé des applications sur le BankXStore et une douzaine d’entre elles sont un succès auprès des clients. D’autres données dé-tenues par le groupe s’ajoutent à celles déjà disponibles : des données bancaires, d’abord, mais d’autres aussi comme les données issues de sa “branche assurance” ou celle de son offre “maison” de téléphonie mobile.

Consciente du potentiel, la banque rachète les deux leaders du marché naissant des “coffres forts électroniques”, dans lesquels les utilisateurs stockent déjà documents administratifs, factures et autres données im-portantes. La communauté de développeurs du Store diversifie son offre de service en exploitant également ces nouvelles sources de données. Le groupe BankX6 accélère : il négocie en position de force avec toutes sortes d’acteurs (grands distributeurs, facturiers, transporteurs, …

Scenario 2

« Coup de force : quand la BankX6 prend le contrôle »



Les entreprises, les banques(dont BANK X6)

Les usagers

Les entreprises se voient contraintes de jouer la carte de l'ouverture et de la standardisation. Elle favorisent donc l'émergence de plates-formes, "tiers de confiance".Celles-ci gèrent les données des individus et facilitent la connexion d'applications ainsi que l'accès aux données, sous le contrôle des individus. Les données sont portables, on peut changer de plate-forme à volonté.

Le coup de force de la Bank X6

ne marche pas !

scénario 2 : « Coup de force : quand la BankX6 prend le contrôle. »

SITUATION SOUHAITÉE

BANK X6

opt-in

L'"opt-in" prend alors tout son sens : au lieu de fonctionner seulement comme une protection (en restreignant les circonstances où l'on peut capter et utiliser des données personnelles), il devient un moyen de créer des services et des dialogues riches entre consommateurs et entreprises.

Je réagis

Je me protège

Je propose

Les autres banques et d'autres entreprises, sont obligées de réagir, pour éviter la constitution d'un monopole. Elles cherchent à faire émerger de nouvelles plateformes pour ne pas que BankX6 se retrouve en situation centrale.


Plate-formes

"tiers de confiance"

1

1

2

2

Services

APIs

données personnelles



Les individus doivent être vraiment en position de décision et de choix. Il ne s’agit pas seulement de «crowdsourcer la segmenta-tion».

La gestion des données est partagée, elle fait l’objet d’un dialogue.

Le recours à des tiers indépendants, plus une forme de régulation (à inventer) rend le système vertueux : l’utilisateur a la main sur ses données, et un grand nombre d’entreprises (parmi lesquelles les grandes entreprises, détentrices importantes de données person-nelles) peut lui proposer des services qui font un usage utile de ses données.


De plus en plus, les gens scannent les produits qu’ils achètent lorsqu’ils font des courses, grâce aux quelques applications existantes sur leurs téléphones portables. C’est pour eux un moyen de savoir ce qu’ils achètent, quand, et d’en garder une trace ; d’équilibrer leur budget, de changer leurs comportements alimentaires... Il n’est plus inhabituel de mesurer sa consommation énergétique grâce à de petits capteurs, de tout savoir de ses appels grâce à des applications dédiées...

Nombreux sont ceux qui voient ici une occasion de mieux se connaître, de mieux vivre, grâce à des dispositifs de mesure relativement simples, dont ils peuvent choisir ceux qui conviennent le mieux.

Ces dispositifs sont d’abord développés par et pour destechnophiles, adeptes des pratiques du “Quantified self” ; mais rapidement, de plus en plus de startups leur emboîtent le pas et lancent des services qui connaissent un beau succès auprès du grand public.

Les grandes organisations n’ont pas su prendre la mesure de ces usages désormais massifs. Elles ont le sentiment d’être exclues de cette relation entre leurs clients et ces nouveaux entrants.

Scenario 3

« Do it yourself : les gens mesurent tout par eux-mêmes »



P2P

local

partagé

Des plateformes ultra-sécurisées sont créées à destination des individus, de natures différentes (une logique P2P cohabite avec une logique de serveur…) : elles permettent aux individus de mesurer et de gérer leurs données de façon confortable, et simplifient les relations avec les autres individus et organisations. Les usagers ont le choix des données qu’ils souhaitent donner ou partager, ils choisissent leurs relations et les termes de celles-ci.

Les grandes organisations

voient une opportunité

de nouveaux marchés

et de nouveaux services.

scénario 3 : « Do it yourself : les gens mesurent tout par eux-mêmes. »

SITUATION SOUHAITÉESi ce fait déclencheur s’achève sur un sentiment d’exclusion des organisations de la relation entre leurs clients et de nouveaux entrants, ce sentiment ne dure pas ; les grandes organisations s'organisent pour proposer de nouveaux services.

Usagers

grandesentreprisesJe réagis

Je partage

Je me protège

Je propose

start upsgrandesentreprises


1

En parallèle, les grandes organisations établissent des partenariats avec les nouveaux entrants, afin de revenir dans la relation avec les clients.Des services se multiplient rapidement sous la houlette

2


opt-in

Servicesdes organisations pour développer des synergies entre des données provenant de différentes sources : données personnelles mesurées d’un côté, et données personnelles que les entreprises décident finalement de restituer, de l’autre côté.

Les institutions prennent la mesure de ces changements : chantage et pressions sont évitées, grâce à une législation spécifique.

1 2



Les individus doivent être en mesure d’être les acteurs de la sécu-rité de leurs données ; des outils permettant de sécuriser soi-même doivent être développés.

Ils doivent être vraiment en position de décision et de choix quand aux outils qu’ils utilisent, ce qu’ils font de leurs données ; ce sont notamment des plateformes plutôt qu’une plateforme unique qui leurs sont proposées pour les outiller.

La portabilité des données doit être généralisée.

Un standard partagé doit être créé, pas de façon top down, mais par des communautés, comme dans le monde du libre.

Des outils/services, permettant la capture, l’analyse, le partage, ..., doivent faire leur apparition ; la situation souhaitée ne pourra être atteinte que si faire usage de leurs données est pour les indi-vidus pratique, ludique, confortable.

Des alliances multiples doivent être contractées entre les acteurs entrants (startups et autres) et les acteurs déjà présents (parmi lesquelles les grandes organisations, détentrices de données per-sonnelles).

Deux droits doivent être affirmés : le droit à l’oubli, et éventuelle-ment le droit au mensonge.


©

DATA

Contre toute attente, l’élection présidentielle américaine se joue au moins en partie sur la privacy. Mitt Romney combat le “big govern-ment” et sa tendance à la surveillance, Barack Obama dénonce les pratiques manipulatoires des grandes entreprises.

Au bout du compte, les deux convergent vers un renforcement consi-dérable du contrôle des individus sur leurs données personnelles, dont ils se voient reconnaître un véritable droit de propriété. Consé-quences : généralisation du principe d’opt-in, limitation drastique des durées de conservation des données, obligation aux réseaux sociaux de rendre les données de leurs clients “portables”...

L’architecture des échanges de données change : de plus en plus, les données des individus sont conservées par eux dans des “coffres-forts” sécurisés, et ne sont transmises aux entreprises que sur re-quête, après accord de l’individu (ou de son “agent” logiciel) et de manière éphémère...

Scenario 4

«Données personnelles, patrimoine personnel»




La généralisation des règles de transparence et de protection des données personnelles est indispensable, afin de faciliter la pré-vention, voire la sanction, des abus.

Les individus doivent être informés de leurs droits et des outils à leurs dispositions comme les «coffres-forts», sans cela ils ne contrôleront pas réellement leurs données personnelles.

L’Etat doit mettre en place une stratégie qui empêche la marchan-disation des données personnelles par les individus.

La culture de la protection de ses données personnelles doit être intégré par tous les individus pour que ce processus ne devienne pas trop lourd.

Un marché de services doit émerger pour accélérer la transition entre le «contrôle» et la «mise à disposition» des données


SYNTHÈSE DES MENACES ET OPPORTUNITÉS


Les principes de la CNIL deviennent inopérants

Proposition de biens et services non personnalisés

Fuite des données

Cyber-attaque

Usurpation d’identité

Vol Fraude

Survalorisation de la pulsion

"Mon quart de confiance, c'est Big Brother !"

"Attention aux données de santé, c'est sensible !"

"Quoi ? Vous savez tout ça sur moi ??"

Nouvelles connais-sances, (cartographies sensibles des villes)

Nouvelles formations dans les écoles et universités

MENACESOPPORTUNITÉS

CÔTÉ

INDI

VIDU

SCÔ

TÉ E

NTRE

PRIS

ESSÉCURITE

Rééquilibrage des relations individus

Organisations

SYMETRIE

Vivre sous plusieurs identités

Stratégies de valorisation

Intention economy

PROJECTION DE SOI

Élaborer des projets de long terme

Accompagnements personnalisés (ex : demandeurs d'emploi)

Diversifier les occasions et modalités de relation

Choisir ses relations

RELATION

Accès à de nouvelles données

Des données plus riches, à jour, mieux qualifiées

Le nouvel "écosystème" peut fonctionner avec les outils existants

DONNÉES

Nouveaux gisements de services

Renforcer ses positions auprès des clients

Des coeurs de métiers demeurent (ex : communi-cation entre les systèmes)

Intérêt pour tous les acteurs de collaborer (standards, APIs...)

CHAI

NE DE VALEUR

Marketing moins divinatoire

Proximité relationnelle

Confiance renforcée et gain en image, nouveaux clients etc.

RELATION

Contrôle de ses données

Respect des droits existants : accès, rectification, effacement...

CONTROLE

"Tiens je ne savais pas..."

Etre mieux informéMieux se situer

"J'ai compris ton modèle d'affaire !"

INFO

RMAT

ION / CONNAISSANCE

Transfert des charges de marketing aux individu

Coût de la protection des données

Coût de la Fatigue à gérer toutes ces données des données

COUTS

Monétisation des data

Fantasme sur les données existantes

Coûts engendrés par "l'ouverture" des données

Risque de perte de données des individus

DONNÉES

Obligation de transparence

Adapter la gestion de sa relation client sous contrainte

Clients trop exigeants dans le contrôle et la transparence

Méfiance des clients qui n'adhèrent pas

RELATION

Nouveaux intermédiaires plus agiles

Nouveaux monopoles, standards fermés

Etre concurrencé sur ses propres données

Guerre des "Tiers de confiance"Baisse d'efficacité de l'attention economy

Business models

HyperconcurrenceCHAI

NE DE VALEUR

Inégalités face aux données

Nouvelles fractures entre individus (et dans la société)

Enfermement dans ses habitudes, préférences, perte de curiosité

NOUV

EL

LES INEGALITÉS

Trafic de données

Rachat de données

«MAR

CHÉ P

ARRALLÈLE DES DONNEES»

chantage des organisations

Pression accrue sur les consommateurs

NOUV

ELLE

S ASYMETRIES

Nouvelles conduites addictives : tout mesurer, tout connaître...

ADDICTION

synthèse du 1er workshop mesinfos - 4 scénarios des données personnelles partagées

Technology