Les PIMS

Le terme apparaît courant des années 2010[1] dans sa problématique encore actuelle : comment permettre aux entreprises ou aux citoyens de garder le contrôle des données les concernant, dans un environnement internet où tous les fournisseurs de service collectent des données puis les exploitent, notamment à des fins marketing ?

A l’origine, en simplifiant, la solution idéale faisait de chaque citoyen le possesseur d’un serveur informatique, sur lequel il hébergerait à la fois les applications qui l’intéressent et ses données privées. Ainsi, les applications diverses partageraient une même source de données, le tout sous son contrôle direct. On pense au CRM pour une entreprise, par exemple.

Face aux compétences techniques inaccessibles au plus grand nombre, l’intermédiation d’un acteur économique à qui l’on délèguerait la gestion de ce serveur de données apparaît. Le risque évident à gérer : la dépendance à cet acteur. On met alors en avant le cloud et l’open-source pour mitiger ce risque.

En octobre 2016, le CEPD (Contrôleur Européen de la Protection des Données, organe consultatif de la Commission Européenne) émet une Opinion sur les PIMS[2], les présentant comme une solution d’avenir, dans un modèle économique nouveau, à créer, centré sur l’usager, et non plus sur les grandes plateformes numériques (on pense à Google, Facebook, etc…) auxquelles on concède quasiment contraint et forcé la possession et l’usage de nos données, si l’on veut profiter de leur service.

Les PIMS sont donc centrés sur 4 axes fondamentaux :

1. La sécurisation des données
2. Les conditions de mise à disposition des données
3. La gestion du consentement
4. L’interopérabilité des systèmes sur un jeu de données unique.

A côté, on peut imaginer des services supplémentaires : fourniture d’analyses périodiques à l’utilisateur, par exemple sur son historique d’usage internet des données, principaux acteurs consommateurs, etc.

Appliqué au domaine public, on peut imaginer que le citoyen puisse savoir quelle administration a transmis quelles données à quelle autre administration. Ce serait gage d’une transparence vertueuse, de nature à renforcer la confiance des citoyens dans leur administration.

En installant une nouvelle application sur votre ordinateur ou votre smartphone, vous avez probablement déjà vu les suggestions « se connecter avec Google » ou « avec Facebook » ou autre… Ce sont des cas concrets de PIMS : un tiers (par exemple Google) gère vos données personnelles, vous consentez à ce qu’il vous identifie.

Idem, les solutions grand public de partage de documents (Google drive, Microsoft OneDrive, Dropbox, Apple iCloud…) rendent a priori les services d’un PIMS : mais toute la logique est centrée sur le fournisseur de solutions. Notamment, ils ne permettent pas de maîtriser les grands principes embarqués dans la notion de PIMS : le choix de l’usage des données, et l’interopérabilité des systèmes. Vous devez encore multiplier vos dépôts de données sur chacune de ces grandes plateformes, et consentir à ce qui vous est demandé.

Dans ce que j’ai pu trouver, sans nullement prétendre à l’exhaustivité :

• la plateforme open-source Cozy Cloud[3] propose une solution alternative, via un serveur cloud personnel et des connecteurs à disposition des services tiers, et revendique clairement la protection des données personnelles par une « recentralisation »,
• la solution Digiposte[4] permet là aussi par connecteurs de réceptionner des documents émis par des organismes référencés.

Je note que ces deux acteurs sont en France, pays d’une CNIL créée en janvier 1978 avec une tradition de défiance aux autorités. Pour le coup, la France peut mettre à profit cette sensibilité précoce, pour adresser un sujet aujourd’hui très largement partagé dans le monde, et tout particulièrement dans l’espace européen.

Le concept semble donc encore balbutiant en termes de solutions du marché. Le vocable de « Personal Information Management » désigne pour l’instant surtout des logiciels d’organisation du temps et des activités des personnes[5], sans réellement porter la notion de gestion du consentement ni d’ouverture de l’accès aux données à des tiers. La littérature de recherche est encore active[6], et il est attendu de l’Union Européenne qu’elle soutienne les démarches innovantes qui permettront cette bascule d’un business model « platform-centric » vers un modèle vertueux « user-centric ».

Voyons dans quelques jours si le Data Governance Act que l’UE doit rendre public apporte les orientations, à défaut des moyens, qu’on est en droit d’espérer.

[1] La notion fait avant cela référence à la gestion des données de l’individu, par exemple le système technique de collecte des données de géo-localisation d’un appareil wireless.

 A partir de 2014 les choses se formalisent dans leur nouvelle acception :

 S. Abiteboul, B. André, D. Kaplan, « La gestion de votre « vie numérique » avec un système de gestion des informations personnelles
https://www.lemonde.fr/blog/binaire/2014/07/31/votre-vie-numerique-dans-un-pims/

[2] Avis 9/2016 du CEPD (contrôleur Européen de la Protection des Données) sur les systèmes de gestion des informations personnelles)
https://edps.europa.eu/sites/edp/files/publication/16-10-20_pims_opinion_fr.pdf :

Page 3 « Les PIMS promettent non seulement une nouvelle architecture technique et une nouvelle organisation de la gestion des données, mais aussi des cadres basés sur la confiance et, de ce fait, des modèles commerciaux différents pour collecter et traiter les données à caractère personnel à l’ère des données massives d’une manière plus respectueuse de la législation européenne en matière de protection des données. »

Page 7 : « L’idée maîtresse qui sous-tend le concept de PIMS est de transformer le système actuel, centré sur les fournisseurs, en un système centré sur des personnes capables de gérer et de contrôler leur identité en ligne »

[3] Les principes structurants de Cozy Cloud : https://cozy.io/fr/about/

[4] Les principes structurants de Digiposte :
https://www.laposte.fr/digiposte/tous-mes-documents-partout-et-tout-le-temps

[5] Une liste de logiciel étiquetés aujourd’hui (30/11/2020) Personal Information Managers :
https://en.wikipedia.org/wiki/List_of_personal_information_managers

[6] SWYSWYK: a Privacy-by-Design Paradigm for Personal Information Management Systems, P. Tran-Van, N. Anciaux, P. Pucheral, Janvier 2018
https://hal.inria.fr/hal-01675090