Pour évoquer les projets autour de Solid, l'équipe d'Inrupt, la petite entreprise fondée par Tim Berners-Lee avec John Bruce, a pris le café avec Jan Jambon, ministre-président flamand et ministre du numérique. En marge de cette rencontre, Data News s'est entretenu avec Berners-Lee et ses collègues sur le thème des coffres-forts de données, des collaborations et des techniques pour orienter l'internet dans la bonne direction.
...

Pour évoquer les projets autour de Solid, l'équipe d'Inrupt, la petite entreprise fondée par Tim Berners-Lee avec John Bruce, a pris le café avec Jan Jambon, ministre-président flamand et ministre du numérique. En marge de cette rencontre, Data News s'est entretenu avec Berners-Lee et ses collègues sur le thème des coffres-forts de données, des collaborations et des techniques pour orienter l'internet dans la bonne direction. L'idée sous-jacente de Solid consiste à redonner aux individus le contrôle sur leurs données. Comment cela fonctionne-t-il? TIM BERNERS-LEE (cto et cofondateur Inrupt, inventeur du web): Nous utilisons pour ce faire le web. Solid est en principe un nouveau protocole [à l'instar de http, NDLR]. Ce faisant, nous ajoutons notamment un protocole de 'single sign-on' au web. Cela signifie que vous pouvez vous inscrire avec votre identité sur n'importe quel service Solid supporté. Ce protocole est similaire au 'single sign-on' sur Facebook ou Google notamment, avec cette différence qu'il faut au préalable un compte Facebook. C'est ce principe que nous voulons supprimer. Par ailleurs, nous avons constaté que la plupart des opérations que l'on fait en ligne sont collaboratives. Il existe des activités publiques et d'autres privées, mais ce sont pour la plupart des activités partagées avec d'autres. Jusqu'à présent, le web n'avait aucun concept général pour le contrôle d'accès. C'est ce que nous ajoutons avec Solid qui permet de donner l'accès à certains groupes ou personnes, et de gérer ces accès. Un troisième élément tourne autour des applis. Lorsque l'on construit des applis aujourd'hui, celles-ci sont écrites en silos avec un frontal en JavaScript et PHP en dorsal, après quoi on peut interconnecter toutes sortes d'applis, par exemple pour Facebook ou pour LinkedIn, etc. Et chaque fois que l'on construit quelque chose dans ces silos, il faut demander toute une série d'autorisations. A nos yeux, il serait plus intéressant de permettre aux applis d'obtenir n'importe quelle donnée qu'elles souhaitent utiliser sans devoir d'abord demander l'autorisation au serveur sur lequel ces données sont stockées. Si vous voulez par exemple ajouter un tableau à une appli, il faut en premier lieu s'adresser à celui qui a écrit le code du serveur. Or vous n'allez pas pouvoir demander à un serveur si quelqu'un a été vacciné par exemple. Avec Solid, il est possible de choisir notamment de prévoir dans la structure de données que vous écrivez une fonction booléenne qui indique si une personne a été vaccinée ou non. C'est simplement du code à écrire. RUBEN VERBORGH (professeur de l' UGent et imec, technology advocate chez Inrupt): Ce que nous faisons actuellement avec ces silos, c'est de faire des applis qui constituent un ensemble complet incluant les données, l'identité et l'appli. Nous entendons casser cet ensemble et permettre de choisir où seront stockées les données, comment il faudra s'enregistrer et quelles seront les applis utilisées. Il sera également possible d'interchanger tous ces services. Pour ce faire, nous donnons aux personnes leur propre coffre-fort de données ou POD dans lequel elles stockent leurs données. Ensuite, elles peuvent s'interconnecter avec d'autres POD et gérer qui peut voir quoi. C'est une technique totalement différente de celle qui régit pour l'instant l'économie de la donnée. L'objectif est-il de s'opposer à l'actuelle économie de la donnée? john bruce ( ceo d'inrupt) : Nous préférons la notion de 'correction intermédiaire'. Nous essayons de l'ajuster pour trouver un meilleur environnement. BERNERS-LEE: Il ne s'agit pas d'un nouveau modèle économique spécifique. Les gens qui ont des difficultés avec l'économie de la donnée s'inquiètent en général de certains réseaux sociaux qui incitent les enfants à ne pas faire leurs devoirs ou qui manipulent les gens pour les faire voter pour certaines choses. Mais nous ne disons pas que nous allons créer un nouveau type de réseau social. Le monde des POD est en quelque sorte une grille de Scrabble infinie. Les applis s'ajoutent et permettent parfois d'avoir un avantage supplémentaire en combinant les données d'une appli avec celles d'une autre appli. Ce faisant, de nouveaux angles d'approche se dessinent, mais l'ensemble reste cohérent. Et petit à petit, la grille du Scrabble se remplit au fur et à mesure des données des utilisateurs et du contrôle sur les utilisateurs. Surtout que le système est très flexible. Il est possible d'imaginer n'importe quoi dans le domaine des systèmes collaboratifs, des systèmes démocratiques, des systèmes de débats, ou encore pour vérifier ce que des gens ont dit et si c'est la vérité. On peut bâtir toutes sortes de systèmes permettant d'offrir aux gens un monde meilleur. Sur le plan technique, tout tourne autour des données, mais c'est en principe un web social. VERBORGH: Nous vivons dans une économie dirigée par la donnée. Nous n'allons pas la changer et telle n'est d'ailleurs pas notre volonté. Mais en raison de la manière dont tous ces services de données sont aujourd'hui reliés, l'innovation reste très limitée. Pour innover, il faut aujourd'hui collecter soi-même toutes ces données, avec toutes les responsabilités que cela suppose. Les petites entreprises qui réussissent sont celles qui investissent véritablement dans la collecte de données. Notre ambition est de changer la donne. L'économie de la donnée exige des données, mais il ne faut pas que ce soit le prestataire de services qui collecte ces données, mais que les gens apportent leurs propres données. BRUCE: La plupart des entreprises ne veulent pas vos données, mais simplement y avoir accès. En fait, elles ne veulent pas en être responsables. BERNERS-LEE: Ce dont elles veulent être responsables, c'est la fabrication de pizzas, ou de chaises, ou de chaussures. Et pour ce faire, il est sans doute intéressant de connaître la pointure de la chaussure, mais elles ne veulent pas devoir stocker la pointure de chaque personne. Comment cela fonctionne-t-il pour les entreprises? Car elles doivent en principe réussir à convaincre les gens de leur transmettre leurs données. VERBORGH: Si je crois dans Solid, c'est parce que le modèle vient des deux parties, sans quoi il ne fonctionnerait pas. Tant les entreprises que les utilisateurs y trouvent leur intérêt. Avec Solid, les gens ont un meilleur service, tandis que les prestataires de services peuvent offrir de meilleurs services parce qu'ils disposent de meilleures données. L'économie actuelle a besoin de données et nous n'y changeons rien, mais nous voulons en finir avec l'idée que les entreprises doivent collecter elles-mêmes ces données. Nous allons évoluer vers un monde où les utilisateurs offriront eux-mêmes leurs données pour bénéficier d'un meilleur service. En outre, ils garderont le contrôle, ce qui les incitera précisément à communiquer davantage de données encore. Si vous voulez aujourd'hui un service, vous devez transmettre vos données et vous devez les compléter manuellement, après quoi elles seront peut-être diffusées sans que vous puissiez réagir. En outre, ce sont les entreprises qui assument la responsabilité et doivent faire l'effort de mettre à jour ces données. Ce que nous proposons, c'est que si un prestataire veut proposer un service et a besoin de données, vous puissiez accorder cet accès en échange du service en question. Après quoi il n'y a plus de contact. Jusqu'à ce que vous en ayez à nouveau besoin du service. Il n'y a aucune raison pour une entreprise d'investir dans une infrastructure pour stocker et gérer toutes ces données. Comment ce système s'inscrit-il dans des réglementations comme le RGPD? BERNERS-LEE: Au départ, lorsque le projet Solid était encore hébergé au MIT, des responsables de l'UE sont venus écouter nos idées et s'intéresser à nos travaux. Ceux-ci faisaient partie de l'équipe qui plancherait plus tard sur le RGPD. L'un d'eux nous a ensuite contactés pour nous dire que c'était ce qu'ils voulaient, à savoir redonner le pouvoir aux utilisateurs. Car la technologie vous donne le contrôle sur une zone de stockage, ce qui s'inscrit dans les projets de l'UE. Jusqu'à un certain niveau, la politique et la technologie sont cohérentes. Une législation comme le RGPD prévoit qu'en tant qu'utilisateur, vous avez le droit de gérer vos données. Or si celles-ci sont dans le dorsal d'un grand réseau social, cela devient difficile. Or avec Solid, on en arrive à un bon équilibre. Solid traduit en quelque sorte l'esprit du RGPD, à savoir que vous gérez vos propres données, mais Solid est également plus vaste que le RGPD. En effet, celui-ci concerne en grande partie la protection des données contre les abus, alors que Solid porte plutôt sur l'utilisation active de vos propres données. Les applis que nous construisons sur cette base sont particulièrement larges. Si vous choisissez par exemple une destination de vacances, vous pouvez utiliser des applis qui vous connaissent très bien et peuvent vous faire des suggestions très pointues. Et c'est précisément là que se situe la véritable valeur. Dans ce principe que vos données sont nettement plus importantes pour vous que pour n'importe qui d'autre. Quel est le niveau de sécurité d'un tel coffre-fort de données? BRUCE: Notre directeur de la sécurité est Bruce Schneier [un célèbre cryptographe américain notamment administrateur de l'Electronic Frontier Foundation et du Tor Project, NDLR]. Et il a créé une modélisation particulièrement passionnante. Si des piratages de grande ampleur sont perpétrés, c'est parce qu'il est possible de constituer une équipe expérimentée en lui donnant les moyens et le temps nécessaires pour pénétrer une base de données et dérober ensuite les codes de 20 millions de cartes de crédit. La valeur monétaire de ces données est incroyablement élevée. C'est la même raison qui pousse des voleurs à braquer une banque ou un casino. Avec Solid, si vous parvenez quand même à accéder à mon POD, vous n'aurez qu'une partie de mes données, point final. Je ne pense pas que des organisations vont mettre sur pied des équipes d'experts et consacrer des mois d'efforts pour accéder à un seul POD. C'est un peu comme la différence entre un braqueur de banque et un vol à la tire. Car ces POD disposent d'un cryptage individuel? BRUCE: Il s'agit en effet de petits coffres-forts ayant chacun leur propre sécurité. Compte tenu des autorisations et du contrôle d'accès, cela signifie que pénétrer un POD ne vous ouvre pas l'accès aux autres POD. IL y aura certes incontestablement d'autres types d'attaques, mais pas celles que nous connaissons aujourd'hui. VERBORGH: Il faut aussi savoir qu'il ne s'agit pas d'une plateforme unique, mais d'un ensemble de standards. Tous les comptes bénéficient en standard de la même sécurité, mais il est possible d'y ajouter autant de sécurité supplémentaire que l'on veut. Ainsi, une personne ayant un profil particulier peut être incité à installer davantage de sécurité. Par ailleurs, nous continuons a enrichir les structures existantes utilisées pour l'instant pour la banque en ligne. Un peu comme on peut craindre de voir son compte bancaire être piraté, il faudrait également pouvoir s'inquiéter que son POD ne soit pas attaqué. BERNERS-LEE: Supposez qu'un marché s'ouvre pour les POD. Il pourrait en exister de différents types, par exemple un POD qui stocke uniquement certaines données avec un compte premium de votre banque par exemple. Songez à des documents critiques, des photos de vos enfants, etc. Je peux m'imaginer que les gens veuillent stocker ce type de données dans un POD particulièrement sécurisé, avec un coût plus élevé par octet. L'intérêt de l'environnement Solid est qu'il n'est pas uniforme. Il peut y avoir des endroits où l'on paie davantage pour une sécurité plus élevée, une vie privée plus stricte ou une bande passante supérieure. Ou encore un POD avec peu de sécurité, qui est public et qui stocke des films et de la musique en streaming. Il s'agit à chaque fois du même protocole, mais on obtient ainsi un marché nettement plus riche avec différents niveaux d'accès et de sécurité. VERBORGH: Dans le contexte de la Flandre, nous avons également la Datanutsbedrijf. Si l'on envisage des PODS de données comme des types d'énergie, il est directement question de réglementation. Celui qui veut distribuer de l'électricité ou du gaz en Belgique doit respecter des normes très strictes. Il en va de même pour les banques. Pour la fourniture de POD, il faudra donc également répondre à des normes de sécurité. Il s'agit d'une manière non technique de faire accepter cette problématique. Pourtant, il existe de très nombreuses personnes qui ne semblent pas se préoccuper de ce que l'on fait avec leurs données. Comment les convaincre? BRUCE: C'est en partie une question de s'intéresser à ce qu'il advient de vos données, mais aussi d'imaginer de nouvelles expériences qui sont aujourd'hui impossibles. BERNERS-LEE: Prenez l'exemple d'applis qui vous permettent de choisir une date, comme Doodle. Vous y accédez et leur donnez toutes sortes de jours auxquels vous être libre, des données qu'ils stockent dans leur dorsal. Or Doodle ne les exploite qu'à une seule fin. Supposez maintenant que vous soyez dans le monde Solid où vos données sont dans un POD. Avec le nom des personnes que vous voulez rencontrer et les dates à choisir. Désormais, vous avez un groupe de personnes et un événement, de même qu'une date qui sera transmise dans votre agenda. Mais dans le même temps se crée un objet Solid pour une rencontre. Je peux écrire une appli qui reprend ces informations. Vous avez un agenda pour vos rendez-vous? Un programme, un canal de chat vidéo? Qui prend des notes? Tout cela peut être régi dans une telle appli. Pour une personne qui ne se soucie pas de sa vie privée, c'est le pied. Avec toutes ces options supplémentaires qui s'ouvrent soudain. VERBORGH: Lorsque j'expose cette idée, je ne cherche jamais à convaincre les personnes sur le plan idéologique de l'intérêt de Solid. Les entreprises et les personnes ne vont jamais y adhérer pour des questions de vie privée, mais pour y bénéficier de meilleures expériences, ou dans le cas des entreprises, pour offrir un service meilleur, moins cher ou plus accessible. Tels sont nos priorités. La vie privée est un effet secondaire. La perte de vie privée actuelle est la conséquence d'une approche erronée de l'innovation et des modèles commerciaux actuels. Nous réglons le problème de la vie privée en modifiant les modèles d'affaires. Il y a quelques entreprises qui gagnent des fortunes avec les modèles commerciaux actuels. Ceux-ci peuvent-ils fonctionner en parallèle avec ce que vous proposez? VERBORGH: Vous devez vous rendre compte que la croissance qu'ont connue ces plateformes durant les 10 dernières années ne pourra se répéter durant les 10 années à venir. Toute personne qui voulait par exemple un compte Facebook le possède désormais et toute personne qui n'en voulait pas n'en aura pas non plus à l'avenir. Y aura-t-il une croissance des données par utilisateurs? Peut-être, mais elle ne sera pas très importante. Il existe un plafond qui est pratiquement atteint, surtout compte tenu d'une réglementation comme le RPGD. Je pense que la collecte de données est une stratégie passéiste. Les entreprises vont presser le citron jusqu'à la dernière goutte, mais il ne s'agit pas d'une stratégie pérenne. Je crois que les deux systèmes vont continuer à coexister, mais sans bras de fer. Solid ne s'adresse pas aux grandes entreprises, mais propose des expériences que celles-ci ne peuvent pas offrir. Construire des applis nécessite de disposer d'un nombre minimum de personnes pour un tel POD. Comment convaincre les gens de se lancer? BRUCE: Les utilisateurs ne vont jamais exiger un POD. Ils vont simplement vouloir un meilleur service social, ou un meilleur service au magasin, dans une agence bancaire, etc. Solid agit à ce niveau sous le capot. La Flandre fonctionne différemment, parce que les pouvoirs publics sont ici très tournés vers l'avenir et qu'il existe de très nombreuses entreprises, sans parler du dynamisme de l'UGent, de sorte que tout va ici bien plus vite. Les citoyens vont en effet être effectivement confrontés à la marque Solid, ce qui est atypique. Notre stratégie consiste à distribuer massivement des POD de Solid, lesquels vont directement générer de la valeur selon un modèle qui était impossible jusqu'ici. Elle induit une relation entre l'organisation et les citoyens qui disposent déjà d'un POD. Ce faisant, une nouvelle innovation peut voir le jour. Est-il également possible de stocker Solid sur un serveur interne? Ou faut-il un équipement spécifique? BERNERS-LEE: Je connais quelqu'un qui a installé Solid sur un Raspberry Pi. Il existe des serveurs qui existent déjà pour des POD, tandis que les serveurs 'open source' sont un peu plus complexes. Mais puisque Solid fonctionne sur Docker, il est possible de l'utiliser sur un simple serveur qui peut accueillir Docker. Il y a le concept Solid. Mais il existe aussi Inrupt. Pourquoi? BRUCE: Pour faire office de 'facilitateur' pour Solid. Nous voulions prévoir tous les éléments nécessaires à une entreprise, et surtout une startup, comme une feuille de route, des moyens, un axe stratégique, de la flexibilité, etc. Bref, tous ces aspects pour mettre vraiment Solid sur les rails. VERBORGH: C'est aussi une question de faire office d'exemple. Solid est une idée intéressante, mais il faut une entreprise pour montrer que la solution fonctionne. Il existe bon nombre de bonnes idées, mais si vous ne pouvez pas démontrer une viabilité commerciale, les choses s'arrêtent là. Inrupt démontre précisément qu'il est possible de faire de choses formidables avec les données, en travaillant correctement. On peut créer une entreprise rentable. Ciblez-vous des régions spécifiques? BRUCE: Nous opérons désormais en partie en Australie et la plupart de nos collaborateurs sont répartis à travers l'Europe. Nous n'avons pas d'objectif spécifique dans la mesure où nous essayons surtout de répondre aux demandes que nous recevons. Nous n'avons pas de département des ventes ou du marketing, mais ils devraient bientôt voir le jour. Le timing représente un élément important de l'introduction d'une nouvelle technologie et il semble bien que nous soyons au bon moment. Voici 30 ans, vous étiez l'un des initiateurs du web, lequel a provoqué des bouleversements incroyables. Désormais, c'est Solid. Comment envisagez-vous les 30 prochaines années? BERNERS-LEE: L'évolution que nous avions constatée au début était très positive. Ces 10 à 15 premières années ont vu naître les blogs auxquels les gens ont accordé beaucoup de valeur. C'était passionnant d'avoir son propre site web, dans une optique d'autonomie. Mais il y avait aussi une 'long tail', avec un intérêt marqué pour les petits et moyens sites web. Entre-temps, cette 'long tail' a entièrement disparu. C'est une des choses qui ont changé ces dernières années, sans parler des problèmes liés à la vie privée. J'espère que nous assisterons à une correction intermédiaire de cours pour en revenir à une orientation plus positive où l'esprit de l'autonomie personnelle reprendra le dessus, de même que la créativité personnelle et la créativité de groupe. Nous utilisons désormais la plateforme Solid pour construire des outils collaboratifs et créatifs formidables afin de soutenir la démocratie, d'encadrer la prise de décisions et de gérer les entreprises. Pour les 30 prochaines années, je pense que l'objectif est d'offrir aux gens la possibilité de redevenir enthousiastes à propos de ce qu'ils font. Et pour l'économie, d'en récolter les fruits. Mais il est vrai également que je ne pouvais pas prévoir voici 30 ans ce qui allait arriver. Avec Solid, nous voulons bâtir une plateforme qui soit à ce point puissante que les gens aient envie d'être créatifs et qu'ils puissent aller beaucoup plus loin que ce que nous pouvons imaginer aujourd'hui.