Projet GDP-ERE : ''RGPD et Cloud Personnel : de l’Empowerment à la Responsabilité''

Date:
Mis à jour le 13/02/2020
Alors que se profile un monde bouleversé par l’intelligence artificielle et l’exploitation des données personnelles, la place des individus et la maîtrise de leurs données se sont imposées comme des questions centrales dans le nouveau règlement général sur la protection des données (RGPD) et la loi pour une République numérique. Célia Zolynski, Professeure de droit privé à l’université de Versailles - Saint-Quentin-en-Yvelines (UVSQ), et Nicolas Anciaux, directeur de recherche de l’équipe Petrus au centre Inria Saclay – Île-de-France, ont saisi l’opportunité offerte par l’Institut DATAIA lors de son appel à projets pour continuer à faire collaborer informaticiens et juristes pour analyser les architectures de cloud personnel proposées aujourd’hui et établir les responsabilités de chacun avec comme objectif central la protection de l’individu.
Illustration RGPD
© Inria / Photo G. Scagnelli

Qui est responsable de quoi ?

Le RGPD remplace une directive datant de 1995 et devient ainsi le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. La législation européenne devenait en effet vétuste au regard de l’explosion du numérique, l’apparition de nouveaux usages ainsi que la mise en place de nouveaux modèles économiques.
Entré en application le 25 mai dernier, le RGPD porte un autre regard sur le droit à la portabilité des données : chacun peut aujourd’hui récupérer les données personnelles qu’un fournisseur de services aura stockées. « Mais à partir du moment où je récupère mes données, que je veux en faire usage, qui devient responsable de quoi ? » souligne Nicolas. « Des solutions de cloud personnel émergent actuellement avec des architectures très différentes. Il devrait donc y avoir un niveau de responsabilité gradué en fonction du niveau de responsabilité ou de souveraineté que l’individu veut exercer sur ses données et selon l’architecture technique. »

Le projet GDP-ERE se propose d’analyser l’impact des architectures de cloud personnel sur les enjeux de responsabilité, de confronter cette analyse aux règles édictées par le RGPD et d’envisager des évolutions législatives et technologiques pour mieux capturer le partage de responsabilité nécessaire entre les différentes parties en apportant à chacune d’elles les outils appropriés pour les endosser.

Une collaboration née il y a plusieurs années déjà

« Célia et moi nous sommes rencontrés dans le cadre de l’ISN, l’Institut de la Société Numérique créé par Nozha Boujemaa qui avait déjà à l’époque discerné l’intérêt de faire se croiser des scientifiques avec des économistes et des juristes. Cela nous a donné l’occasion de nous rendre compte que nous utilisions des concepts assez similaires dans différentes disciplines et que nos expertises pouvaient se nourrir mutuellement », constate Nicolas. « Chez Inria, dans l’équipe Petrus, nous nous intéressons au cloud personnel et au patrimoine numérique des individus. Au laboratoire Dante de l’UVSQ, Célia s’intéresse à la notion de propriété des données personnelles et à l’autodétermination informationnelle. Nous avons vite trouvé des points de convergences et commencé à monter un groupe de travail. »

Une nouvelle chaîne des responsabilités

Avec la réforme du RGPD, une nouvelle chaîne des responsabilités a été pensée, selon une logique de "compliance" : l’opérateur est responsable du traitement des données mais également ses sous-traitants. Dans le cadre des outils de cloud personnel, en fonction des architectures, c’est l’utilisateur ou l'utilisatrice qui peut être qualifié de responsable du traitement de ses données.

Le projet GDP-ERE s’interroge sur la répartition de la responsabilité entre l’individu et le fournisseur. « Sur le plan juridique, nous allons essayer d’étudier comment appliquer le RGPD à des cas comme le cloud personnel sachant que la législation n’a pas été conçue pour ce type de modèle de traitement de données où l’utilisateur (ou utilisatrice) est actif », nous explique Célia. D’autant qu’en termes de responsabilité, le régime classique qui s’applique en dehors de toute législation spéciale, est le droit commun qui prend en compte la part active d’une personne pour engager sa responsabilité. Il en résulte le risque d’une responsabilisation disproportionnée de l’individu au regard de ses capacités et celui d’un flou sur l’étendue des responsabilités associées aux fournisseurs de plate-forme , susceptible de limiter le déploiement de ces dernières.

Les recherches menées dans le cadre du projet GDP-ERE conduiront donc à vérifier si l’individu est en capacité d’assumer le nouveau pouvoir qui lui est ainsi conféré. Célia souligne qu’il s’agit là d’une condition essentielle pour que l’autonomisation annoncée tienne ses promesses et ne produise pas un "effet boomerang", c’est à dire qu’elle ne conduise pas à départir l’individu de la protection que la loi lui confère aujourd’hui sur ses données personnelles. Cela revient à vérifier l’équation selon laquelle « portabilité des données + responsabilité = autonomisation (empowerment) » , pour garantir l’effectivité de la souveraineté numérique de l’individu.

Collaborer pour faire émerger des solutions qui fonctionnent dans plusieurs disciplines

Célia et Nicolas se sont fixé un double objectif.
D’une part, il s’agit d’analyser l’impact des architectures actuelles de cloud personnel sur la responsabilité des utilisateurs et de confronter cette analyse à la législation et aux règles édictées par le RGPD.
Et d’autre part, il sera question de formuler des préconisations en matière législative et technologique, sur la base d’un niveau de responsabilités gradué variant en fonction du niveau de souveraineté que l’individu entend conserver sur ses données, afin de préserver son autonomie et de se prémunir contre les risques d’effet boomerang liés à cette nouvelle capacité.
Pour cela, ils comptent recruter un doctorant ou une doctorante en thèse côté juridique puis un ou une postdoc côté informatique. « Un objectif complémentaire, selon Nicolas, sera d’analyser les solutions techniques "compatibles" et "transparentes  par construction" visant à garantir que la responsabilité incombe bien à la bonne personne : l’hébergeur, l’éditeur, l’utilisateur etc… ».
Afin de permettre à chaque acteur d’exercer ses prérogatives de façon éclairée et d’endosser ses responsabilités avec des outils adéquats, tous deux comptent sur les relations tissées par leurs équipes respectives avec des acteurs industriels du cloud personnel comme Cozy Cloud ou Hippocad, pour partager leurs analyses et à terme envisager leur mise en œuvre dans des cas réels.