RGPD : le droit à la portabilité pas encore synonyme de migration facile entre les services

Stéphane Moussie |

Avec l’entrée en vigueur du RGPD, vous espériez pouvoir transférer vos données de Spotify vers Apple Music (ou l’inverse) dès aujourd’hui ? Il faudra revenir.

Étapes de la mise à disposition des données personnelles de Spotify.

Les principaux services en ligne respectent dès à présent le droit à la portabilité, mais a minima. Prenons l’exemple de Spotify. Le service vous permet dorénavant de télécharger une copie complète de vos données personnelles (option disponible dans les paramètres de confidentialité), c’est-à-dire :

vos playlists, votre historique de streaming et vos recherches des 90 derniers jours, mais aussi une liste d’éléments sauvegardés dans votre bibliothèque, le nombre de vos abonnés, le nombre et le nom des autres utilisateurs et artistes que vous suivez, ainsi que vos données de paiement et d’abonnement.

Spotify se conforme en cela à l’obligation de mettre à disposition de ses utilisateurs leurs données personnelles, même s’il faudra vérifier si elles sont fournies « dans un format structuré, couramment utilisé et lisible par machine », comme le veut le RGPD — elles ne sont en effet pas disponibles immédiatement, il faut attendre jusqu’à 30 jours.

Mais une fois que vous aurez toutes ces données essentielles pour ne pas repartir de zéro sur Apple Music, vous les importez comment dans la nouvelle plateforme ? La question se pose aussi dans le sens inverse, ainsi qu’avec Deezer, Google Play Musique et les autres.

Pour l’heure, il ne semble pas y avoir de solutions officielles pour importer les données issues d’un service concurrent. Pas plus qu’il n’y a de solution pour transmettre directement vos données d’un service à un autre, ce qui est pourtant prévu par le RGPD… « lorsque cela est techniquement possible. » Les services peuvent se réfugier derrière ces cinq mots pour justifier l’absence de fonction « Exporter mes données vers X ou Y ».

Il faut espérer qu’Apple, Spotify, Google, Amazon et tous les autres s’entendent sur un système de transfert de données pour que la migration d’un service à un autre ne demande qu’un clic. Google a lancé dans ce sens le Data Transfer Project, une initiative visant à poser un socle logiciel commun pour le transfert de données entre services d’acteurs différents. À voir si cela portera ses fruits.

Mise à jour le 28 mai : Deux jours après notre demande, nous avons reçu nos données personnelles Spotify sous la forme de sept fichiers JSON, un format standard qui pourrait permettre l'importation des données, mais aucun service n'offre aujourd'hui d'option d'importation à notre connaissance.

avatar naarin | 

En théorie, si un service veut gagner des abonnés, il aura tout intérêt à proposer rapidement un moyen d’importer les données en provenance d’un autre service et mises à disposition de l’utilisateur dans le cadre du RGPD.

avatar shaba | 

@naarin

Oui mais il devrait permettre de les exporter aussi et c’est là que ça doit coincer :)

avatar YAZombie | 

@shaba (tout le monde se foutant bien évidemment de ce que raconte C1rc3@0rc), "Oui mais il devrait permettre de les exporter aussi et c’est là que ça doit coincer":
ben ça peut coincer mais c'est de toute façon une obligation, ils n'ont pas le choix 🤷️

avatar Bigdidou | 

@YAZombie

"ben ça peut coincer mais c'est de toute façon une obligation, ils n'ont pas le choix"
On peut rendre l'export plus ou moins simple.
Exemple : l'export des données de Dashlane vers 1password...

avatar YAZombie | 

@Bigdidou: je ne comprends pas ce que tu veux dire. Pour moi ton exemple c'est plutôt l'import qui va être compliqué, et qui reste du ressort de 1password (toujours dans ton exemple).

avatar C1rc3@0rc | 

@naarin

Le RGPD a un cadre limité et c'est une reponse circonstancié face a la pression americaine d'echange automatique de données et d'appropriation de fait de la loi americaine.
Pour le droit americain, une donnee qui passe a un moment par un acteur soumis au droit americain lors d'un traitement (circulation, stockage, analyse,...) releve du droit americain, peu importe le lieu de collecte, elaboration, stockage et peu importe la nationalité ou résidence de la personne physique ou morale qu'elle concerne.

Le RGPD met un frein a cette aberration qui viole ouvertement le droit international et la souveraineté des nations et les droits de leurs citoyens. C'est ça le cadre.

L'interoperabilité est une question qui est anterieure et qui elle se confronte au principe commercial du business des donnees.

Ce qui est interoperable est de facto anti monopole et anti obsolescence programmée, deux principes de plus en plus developpés par le secteur privé et plus encore quand il est sous controle du secteur financier.

En fait l'interoperabilite est tres simple a mettre en oeuvre: le format de stockage et de traitement des données doit être publié et accessible a tout un chacun gratuitement.

Il est donc uniquement nécessaire d'imposer (légalement) cette publication et de creer des "dépositoires" nationaux ou internationaux (par exemple sous la responsabilité d'une organisation comme l'ONU) et d'imposer une licence de type GPL.
Apres l’accès aux données "identifiée" (identifiants et données connexes directes) doit etre connu - explicitement et vérifiée - par la personne concernée et la personne doit avoir un droit total dessus (consultation, modification, suppression).

avatar reborn | 

Ça va être une guerre sans pitié entre les services..

avatar McFlan | 

On se demande dans quel monde vit MacG. Certains ont attendu le dernier jour pour se conformer au règlement européen et il faudrait que les concurrents aient analysé la structure des fichiers et conçu une application pour récupérer ces données et les intégrer en quelques heures/jours.

C’est comme publier un article le jour de l’entrée en vigueur d’une loi relative à la sécurité routière en titrant : « Pas encore synonyme de baisse de morts ».

Tout le monde s’en doute, sauf ceux que ces lois ou règlements emmerdent, évidemment.

avatar ovea | 

@McFlan

«sauf ceux que ces lois ou règlements emmerdent»

C'est un exemple venant des GAFAMI :

Les «lois ou règlements» de Microsoft, consistant à redonner du boulot de merde aux développeurs, en rendant incompatibles les anciens programmes en VBA utilisés pour étendre le tableur basic, «emmerdent» également, mais beaucoup plus ;)

Cela n'apporte rien du tout.

Là, c'est intéressant de consentir, sans trop se renifler les doigts, aux «lois ou règlements»,
qui apportent des droits.

Ça change certainement des devoirs habituels.

avatar Oracle | 

@ovea

Ton exemple VBA me brûle la rétine de sa limpidité et de sa parfaite adéquation pour illustrer la situation initiale. Ralentis ton excellence stp, j’ai peur de finir aveugle 🤩

avatar PiRMeZuR | 

C’est un des éléments les plus importants pour réinjecter un peu de concurrence dans un domaine où les données pré-existantes jouent un rôle capital.

Pour ceux qui sont intéressés, une des organisations qui se battent pour une parfaite interopérabilité et une pleine maitrise du transfert des données par l’utilisateur s’appelle MyData. En France, sous le nom MesInfos, il y a un projet intéressant qui a été lancé il y a 2 ans avec comme gestionnaire de permission de données CozyCloud de Tristan Nitot. Vous pouvez récupérer vos données de consommation énergétique, télécom, etc. mais il n’est pas encore possible d’en faire grand chose.

avatar C1rc3@0rc | 

@PiRMeZuR

Il y a un 2 elements a considerer avant tout:
- la notion de propriété de la donnée.
- la notion identifiante de la donnée.

Les deux sont differentes et necessites des cadres specifiques.

Par exemple un numero de securité social n'appartient pas a la personne, mais c'est un identifiant de portée legale et administrative.

Une donnees biometrique appartient a la personne et c'est un identifiant qui a valeur legale et administrative en plus de biologique.

Un profil de consommation (ou politique,...) est une donnee qui appartient a la societe qui la generee, c'est indiscutable. Mais lorsque ce profil est lie a une ou plusieurs donnees permettant l'identification de la personne, le droit de la personne doit prevaloir sur le controle de cette donnee et son utilisation.
La notion de proprieté n'est donc pas simple et celle du droit sur cette donnee est complexe.

Se rajoute ensuite la notion de valeur economique et du potientiel d'exploitation commerciale de la donnee.
La question se pose a divers niveaux et la aussi c'est complexe.
Si on reste au niveau basique commercial, peut on autoriser une societe a "faire" de l'argent avec des donnees concernant le comportement ou la qualité d'un individu, a fortiori sans le consentement de celui-ci et sans "dedommagement".

Si on va plus loin et que l'on aborde le domaine médical par exemple, on voit que de nombreuses sociétés établissent des profils comportementaux, "raciaux", physiologiques, médicaux totalement personnel sans aucune garantie de confidentialité, de sécurisation et encore moins de consentement explicite des personnes concernées.
Ces donnees peuvent servir a des choses positives - comme la prevention de risques de santé - mais aussi a des choses tres negatives - sans meme aller chercher les derives eugenistes il faut penser aux traitement par les assurances et les risques de segregations qui ne peuvent que se renforcer dans ce secteur -

Si par exemple les CNILs mettent l'accent sur l'interdiction de croisement de fichiers c'est parce que l'identification d'une personne peut se faire de maniere fiable indirectement mais aussi parce que les traitements statistiques de masse conduisent a des erreurs et des consequences dramatiques.

Plus on dispose d'une information exhaustive plus son efficacité est grande, mais plus les dangers d'exploitations malfaisantes sont aussi importants.

Une chose est certaines, aucune societe privee, a fortiori sous gouvernance financiere, ne devrait pouvoir collecter et utiliser des donnees identifiantes et incluant des donnees legales et administrative (et encore moins medicales). Pourtant aujourd'hui c'est toujours le cas.

avatar Bigdidou | 

@C1rc3@0rc

'Une chose est certaines, aucune societe privee, a fortiori sous gouvernance financiere, ne devrait pouvoir collecter et utiliser des donnees identifiantes et incluant des donnees legales et administrative (et encore moins medicales)'

Non, c'est loin d'être certain.
- Je vois mal comment une structure de soins pourrait fonctionner sans récupérer les données de soins non anonynimisées...
Nous obéissons d'ailleurs un cadre législatif et réglementaire tout à fait spécifique. La transmission de dossier médical est depuis longtemps procédurée, répondant à un cadre réglementaire et légal stricte (comme les conditions d'obtention, de recueil, de partage et de conservation des données) mais je suis tout à fait incapable de détruire un dossier médical même si on m'en fait la demande : impossibilité technique d'une part, obligation légale de l'archiver dans certaines conditions et pour un certain temps.
- Les mutuelles et assurances santé peuvent difficilement fonctionner sans des informations minimales : date et nature d'une consultation et de soins, d'une hospitalisation, médicaments achetés...
On pourrait rêver qu'on ne leur présente qu'une facture à régler, sans les détails, mais au prix d'une fraude incontrôlable. Un point sur lequel je te rejoins : même si elle le demande parfois, ces assurances ne devraient pas connaitre le diagnostic médical.
Maintenant, à mon avis, on aurait dû tout faire pour bloquer l'arrivée des assurances santé et garder un système purement mutualiste, mais cela n'était certainement pas possible.

avatar C1rc3@0rc | 

@Bigdidou
«- Je vois mal comment une structure de soins pourrait fonctionner sans récupérer les données de soins non anonynimisées...»

Hum ma phrase est mal construite et succede a un paragraphe qui lui aussi ne fait pas une distinction explicite, désolé.
Mon propos ne concerne ni les cabinets medicaux et paramedicaux, ni les cliniques.
Les professionnels et établissements de soins ont évidement toute légitimité a constituer des dossiers médicaux les plus détaillés et exhaustifs possibles.

Mon propos concerne donc les assurances, banques, fond de pensions,... mais aussi les societes commerciales (que soit des fabricants de produit medicaux ou des boites comme Google...).

«Nous obéissons d'ailleurs un cadre législatif et réglementaire tout à fait spécifique. La transmission de dossier médical est depuis longtemps procédurée, répondant à un cadre réglementaire et légal stricte»

La grande question de la transmission et du traitement du dossier medical... les cadres légaux et réglementaires sont effectivement largement suffisants et compliqués. J'ai ete confronté au problème plusieurs fois dans le cadre de l'informatisation autant dans le cadre libéral que public...
Tant que le traitement se fait entre professionnels soumis au secret medical, il n'y a aucun probleme. Par contre des que se pose la question de l'acces a un autre personnel (voir a l'IT, administration) la ça devient tres compliqué. Une solution c'est de dissocier les données nominatives dans un fichier séparé et d'utiliser un identifiant de dossier. Seul les personnels soumises au secret medical ont acces aux 2 fichiers. Mais il faut introduire des donnees de verification d'identité (du patient) et un protocole de validation systématique.

«Maintenant, à mon avis, on aurait dû tout faire pour bloquer l'arrivée des assurances santé et garder un système purement mutualiste,»
Je suis du meme avis et je vais meme plus loin: je considere que le secteur de la sante releve uniquement du public en terme administratif et financier. Un systeme d'assurance a mes yeux releve purement du devoir de l'etat et les assurances privées (meme les mutuelles) sont une ineptie cause de toutes les derives et problemes possibles.

La defense du systeme d'assurance privé se pose habituellement sur la liberté de choix du type, niveau de soins et choix du professionnel. L'autre element c'est l'interet de la concurrence pour avoir des tarifs les plus bas possibles, mais aussi une prise en charge de soin que le systeme public n'accepte pas.
Lorsque le systeme public de santé repose sur une caisse unique nationale et sur un systeme de formation reglementaire tous ces arguments sont caducs.

Un exemple de inefficacité du systeme privé c'est le modèle américain: déficient, inégalitaire, horriblement cher (le cout des medicaments est absurde), mais surtout dysfonctionnel en terme de santé publique: impossible d'avoir une politique de prévention et éradication des maladies epidemique avec plus de la moitie de la population qui a un acces aux soins minimalistes voire nulle. Or les populations précaires sont celles qui sont le plus exposées et celles dans lesquelles démarrent les epidemies... et on ne parle même pas des troubles mentaux qui sont simplement ignorés (dans un pays ou les armes sont en libre acces en plus)...

«Les mutuelles et assurances santé peuvent difficilement fonctionner sans des informations minimales : date et nature d'une consultation et de soins, d'une hospitalisation, médicaments achetés...»

Deja je pense que le systeme de santé n'a pas a considérer les professionnels patentés comme des voyous... si le professionnel declare un acte et que le patient valide cet acte, l'acte doit etre pris en charge. Pour la delivrance de medicament, le probleme se pose uniquement hors pharmacie... et la solution est simple: restreindre la délivrance de medicaments aux pharmaciens et laisser les pharmaciens exercer pleinement leur metier - le medicament n'est pas un produit de consommation -, pas les soumettre a n'etre que des commerçants de produits industriels!
A ce niveau le systeme canadien est assez remarquable.
Idem pour les soins: s'ils sont délivré par un professionnel patenté, l'assurance publique n'a pas de raison de ne pas le prendre en charge totalement.
Apres on peut imaginer un systeme de paiement reposant sur la cryptographie: le professionnel est payé par l'assurance des que le patient valide l'acte/delivrance avec une cle complementaire (a celle du professionnel): jamais de donnees identifiante ne circulent...

avatar Bigdidou | 

@C1rc3@0rc

"Mon propos concerne donc les assurances, banques, fond de pensions,... mais aussi les societes commerciales (que soit des fabricants de produit medicaux ou des boites comme Google...)."

Ah, là, je te rejoins.
Mon avis est que les assurances santé ne devraient tout simplement pas exister, uniquement les mutuelles.

"Par contre des que se pose la question de l'acces a un autre personnel (voir a l'IT, administration) la ça devient tres compliqué. "

Pas tant que ça. Nous avons choisi un système modulaire où les modules sont reliés par des ponts (medsphère, osiris & co). Il persiste un module sensible qui est celui du codage. A ce niveau, le rôle de la secrétaire médicale, et dans les grosses structures du TIM qui est à l'interface médico-administrative est essentiel.

"Un exemple de inefficacité du systeme privé c'est le modèle américain" et ce qui suit

Tout à fait d'accord.
Mais ne confondons pas avec la dispensiation du soin lui même où le privé et le libéral ont tout leur sens.
Les systèmes de dispensiation uniquement étatique du soin (ou à grande dominante comme en GB) sont, dans un genre très différents des Etat Unis, tout aussi catastrophiques. Le pire exemple est celui de l'URSS qui a laissé un système dont la Russie ne semble pas encore parvenir à se remettre.
Le privé et l'associatif en France sont des acteurs essentiels, y compris dans le champ médicosocial où certains secteurs sont totalement abandonnés par l'état. Un vrai paradoxe.

"Deja je pense que le systeme de santé n'a pas a considérer les professionnels patentés comme des voyous..."

Ce n'est pas si simple, mais cela nous emmènerait dans un débat trop technique, notamment à propos des amm, des ald, du partage du remboursement cpam/mutuelles et assurance. Dans un secteur que je connais bien, les addictions, le controle des ordonnances n'est pas illégitime. Maintenant, on pourrait faire mieux, mettre des systèmes de contrôle plus intelligents, fins et ciblés, conditionnels et tout ça.
Mais pour le moment, il faut vivre avec la binarité et la brutalité de ce système. Mais c'est beaucoup général.
Si le stalinisme existait encore, il ne renierait pas la cpam, c'est une chose certaine.

avatar iCHrome | 

Pour transférer des playlist il y a pas mal d’outils qui existent, des gratuits comme des payants (pour aller vers Apple Music).
J’ai déjà testé 3 fournisseurs de streaming en transportant systématiquement mes playlist ...
Mais c’est vrai que ce serait mieux si c’était intégré par défaut 😁

avatar DG33 | 

« Google a lancé dans ce sens le Data Transfer Project, une initiative visant à poser un socle logiciel commun pour le transfert de données entre services d’acteurs différents. À voir si cela portera ses fruits. »
Il me semble évident que le fruit sera sucré pour Google qui, en traitant le transfert d’une Playlist Spotify vers une Playlist Apple se fera un plaisir de pomper les données au passage...

avatar YAZombie | 

Ça n'a pas grand sens ce que tu dis, tel que tu le dis.

CONNEXION UTILISATEUR