GDPR : pas de portabilité des données sans API, avertit un collectif

Un collectif de personnalités et de sociétés françaises milite pour une clarification des règles du règlement GDPR en matière de portabilité des données. Et veut imposer l’ouverture d’API sur les services en ligne.

Pour Tristan Nitot, « le diable est dans les détails ». Comme le note l’ancien de la fondation Mozilla aujourd’hui directeur des produits de la start-up Cozy Cloud, le futur règlement européen sur la protection des données (GDPR) n’aura d’effet réel sur le marché que si les conditions de son application sont au rendez-vous. Tristan Nitot cible en particulier un point du texte : la portabilité des données, permettant en théorie à un utilisateur lambda de passer simplement d’un service à un autre sans perdre tout son historique de données. Une disposition qui ne sera réellement applicable en pratique que si les fournisseurs de service se voient imposer la mise à disposition d’API permettant une récupération simple de ces données, selon Tristan Nitot. « Le fournisseur de service qui ne mettrait pas une API pour que l’on puisse récupérer nos données, alors que c’est le moyen le plus efficace et moins cher de transférer directement des données, serait objectivement animé par une volonté d’obstruction », écrit l’auteur de Surveillance://. Une façon de mettre la pression sur les GAFAM qui pourraient être tentés d’appliquer le GDPR à minima.

La démarche est évidemment intéressée de la part de Cozy Cloud, qui entend offrir aux utilisateurs des applications de Cloud personnel, mais la start-up a réussi à fédérer autour d’elle d’autres sociétés ou organisations comme Qwant, France Digitale, Framasoft, OpenDataSoft, AlterWay ou Dashlane ainsi qu’une poignée de personnalités comme Benoît Thieulin (le DG de la Netscouade, aujourd’hui dans le giron d’Open) ou Antoine Petit (Pdg de l’Inria). Tous cosignent un commentaire envoyé au G29, le groupement des CNIL européennes, qui recueille en ce moment des avis sur le projet de règlement européen.

Transmission sans entrave = API

Mozilla-tristan-Nitot
Tristan Nitot

« L’objectif de ce commentaire est de signifier que les guidelines du G29 sur la portabilité devraient mentionner explicitement le recours aux API, faute de quoi il sera nécessaire d’attendre une jurisprudence dont les délais et aléas seront à l’avantage des plus gros acteurs du numérique, aux dépens des utilisateurs et des services plus petits et plus innovants », résume Tristan Nitot, dans un billet de blog.

Le texte du GDPR, qui doit s’appliquer en mai 2018, prévoit que : « lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable de traitement à un autre lorsque cela est techniquement possible ». Et, les guidelines du G29 précisent que ces transmissions de données ne doivent pas subir d’entraves (« without hindrance »).

Pour Nitot et les autres cosignataires, ces conditions passent par l’ouverture d’une API sur les services soumis au règlement. Les signataires du commentaire appellent donc le G29 à durcir ses recommandations. Ces dernières se contentent pour l’heure d’indiquer que cette portabilité « peut être implémentée en rendant une API disponible ». Les signataires recommandent donc la rédaction suivante : « dans la plupart des cas, rendre une API disponible est la seule façon de garantir une transmission directe (des données, NDLR) et les exceptions (à ce principe, NDLR) doivent être justifiées techniquement ».

A lire aussi :

Règlement européen sur la protection des données : ce qu’en pensent les entreprises

CISPE, lobby européen du Cloud, publie un code de conduite conforme GDPR

Tristan Nitot se lance dans l’aventure Cozy Cloud

Crédit photo : justgrimes via Visual Hunt / CC BY-SA