P2P et gestion des données personnelles

Suite au billet de Mathieu, je ressors de mes tablettes une idée que je cultive depuis quelques années. Si aujourd’hui on parle beaucoup des blogs comme volet numérique de l’identité de l’individu, je reste convaincu qu’il faille aller plus loin et regarder du coté du p2p pour gérer ses données personnelles.

A Hourtin 2003, je m’étais amusé à confronter cette idée à celle du projet mon.service-public.fr qui visait à créer une plate forme où chaque citoyen pourrait se constituer un espace de partage d’information avec l’administration. J’avais eu un petit succès dont j’avais été assez fier…

Le raisonnement est le suivant. Dans le modèle de société numérique qui est en train de se constituer, nous sommes de plus en plus amené à divulguer des informations personnelles sur des serveurs de tiers. Que ce soit une plate forme de réseautage social pour se présenter, le site du ministère des finances pour déclarer ses revenus ou plus modestement FilckR pour montrer la photo de la petite dernière dans son bac à sable. A chaque fois, nous faisons confiance à l’éditeur du site pour qu’il respecte ses données et donc ma vie privée.

Je reste cependant convaincu que ce modèle n’est pas le bon. Au delà de la question de la protection des données il y a un celle de la duplication. Si demain je remplis une déclaration de ressources sur le site de la caisse d’allocation familiale je vais devoir tout ressaisir. C’est pour cela que certains éditeurs ou certains acteurs publics réfléchissent à un espace de stockage de données personnelles que l’on pourrait ouvrir ponctuellement aux services qui en ont besoin, voir pour cela les réflexions autour du projet P3P du w3c.

Malgré tout, ce n’est pas satisfaisant. Il faut descendre au niveau de l’individu ou d’un tiers de confiance. Je m’inspire pour ce raisonnement du partage de fichiers musicaux sur l’Internet. Quelque soit l’outil p2p utilisé, l’utilisateur, vous comme moi (non pas vous ? à bon…), décide de ce qu’il met en partage. Le principe est simple j’ouvre ou pas l’accès à mon ordinateur, je mets ou pas des fichiers dans le dossier qui est partagé avec les autres utilisateurs. Et si on faisait pareil avec nos données personnelles ?

Imaginons donc une plate forme p2p de gestion de données personnelles. Il s’agirait en fait d’un SIP (Système d’Informations Personnelles) dans lequel j’aurais à disposition des formulaires de description de mes revenus, de mes polices d’assurances, de mon parcours professionnel,… (ça ne sera pas simple à fédérer tout ça, mais bon je suis dans de la prospective…). Ces formulaires seraient remplis par moi avec la possibilité de les faire certifier par un acteur tiers (mon assureur, mon employeur, les écoles dans lesquelles j’ai fait mes études,…). Dans ce SIP j’aurais donc au final toutes les informations qui me sont utiles dans mes échanges avec des tiers. Il me suffirait alors d’autoriser ou pas l’accès à ces données suivant leurs besoins.

Lors de la déclaration de revenus, je choisis ce qui doit être diffusé et à qui. Ainsi, mon SIP ouvre alors sur un port identifié un accès à ces données pendant une durée précise, quelques jours pour le serveur du ministère des finances. Au final, je n’ai pas à saisir de façon multiple mes données, c’est le serveur qui vient me solliciter et c’est moi qui l’autorise à les exploiter.

Vous me direz qu’un tel modèle se réserve à des utilisateurs avertis de l’informatique et des réseaux. On peux l’étendre à un tiers de confiance. Ce n’est plus moi qui gère, mais quelqu’un qui s’en occupe. Mon SIP est hébergé chez lui, je reste toutefois maître des autorisations. Dans ce modèle là, ce sont les notaires qui auraient une carte à jouer. Je me souviens d’ailleurs d’avoir entendu Jean-Pierre Quignaux de l’UNAF sur ce sujet.

Ce SIP peut s’étendre à des données plus légères : billets, photos numériques, bookmarks,… tout serait préparé en un lieu unique puis transféré sur les plates formes de diffusion qui les utilisent. Un tel modèle peut aussi s’envisager dans l’entreprise… mais là ça fera l’objet d’un autre billet.

Ce que j’écris là doit être en développement quelque part, c’est peut être déjà en test. Il y a un peu de web sémantique, de RDF, de Xforms, de webservices… Il faut juste espérer que c’est le fruit d’une initiative collective, libre et ouverte, et éviter que ce soit Microsoft qui s’y colle (ce qui est tout à fait possible au regard du rachat de groove et des annonces autour de longhorn) voire même Google.