Les 10 principes du GDPR. #1: La portabilité des données

Difficultés liées aux obligations imposées par le GDPR

Selon le Rapport annuel sur la gouvernance de la protection des données publié en 2016 par l’International Association of Privacy Professionals (IAPP), les responsables du traitement des données estiment que trois aspects du GDPR seront particulièrement ardus à mettre en œuvre au sein de leur organisation : le droit à l’oubli, la portabilité des données et l’obtention d’un consentement explicite. Cet article nous permettra de détailler les raisons pour lesquelles la mise en œuvre du GDPR et le droit à la portabilité des données méritent toute votre attention. Vous pourrez aussi comprendre pourquoi elle est à la fois un risque et une opportunité stratégique pour votre organisation.

Qu’est-ce que la portabilité des données ?

Il s’agit de 1) la possibilité et la capacité à exporter des données à caractère personnel recueillies et stockées numériquement et 2) la possibilité d’obtenir des données à caractère personnel et d’autoriser un autre responsable de traitement à recevoir des données portables. Le principe de portabilité des données comprend deux types d’exigences : une obligation en matière de conception de technique mais aussi une obligation relative aux droits de la personne concernée. Sur le plan technique, les responsables de traitement des données devront s’assurer que leurs systèmes, produits connectés, applications et appareils qui recueillent et stockent des données sur les personnes concernées possèdent une fonctionnalité supplémentaire permettant le portage et la transmission des données. Il leur faudra donc, dans certains cas, ajuster ou repenser certains systèmes, produits, applications et appareils.

La nouvelle fonctionnalité de portage doit par ailleurs pouvoir exporter les données dans un format structuré, couramment utilisé et lisible par machine afin de pouvoir être réutilisées.

Quant au droit des personnes concernées, le droit à la portabilité des données génère un nouveau droit permettant aux personnes physiques d’exercer davantage de contrôle sur leurs propres données. Elles pourront recevoir les données à caractère personnel qu’elles ont communiquées à un responsable de traitement. Les responsables de traitement de données devront donc concevoir et déployer, en plus des systèmes et de la fonctionnalité supplémentaire des propositions/produits numériques, des processus facilitant le traitement des demandes des personnes concernées, manuellement ou de manière automatisée. Une fois les données reçues, la personne concernée doit être en mesure de les transmettre à un autre responsable de traitement sans que cela ne génère une charge supplémentaire ou une gêne pour le responsable de traitement des données précédent. Le droit de porter des données implique également, lorsque cela est techniquement possible, la transmission directe des données à caractère personnel d’un responsable de traitement à un autre. N’oubliez pas que le droit de demander une copie des données dans un format lisible par machine est soumis à la condition que celles-ci aient été i) communiquées par la personne physique au responsable de traitement, ii) traitées à l’aide de procédés automatisés et iii) traités sur la base d’un consentement ou dans le cadre de l’exécution d’un contrat.

Lien avec d’autres droits

La portabilité des données s’inscrit dans l’éventail plus large des droits des personnes concernées : le droit d’accès aux données à caractère personnel et de leur rectification ou de leur effacement, le droit de s’opposer aux décisions sur la base de procédés automatisés et de notifier les personnes concernées en cas de violation de données à caractère personnel. Là encore, les responsables de traitement des données devront instaurer des processus leur permettant de répondre à ces demandes. Pour un responsable de traitement, le processus d’exécution d’une demande de portage des données signifiera sans doute que vous devrez faciliter plusieurs actions similaires à la mise en œuvre d’autres droits des personnes concernées. Dans un premier temps, il faudra vraisemblablement prévoir pour la personne physique un accès aux informations à caractère personnel afin que la personne concernée puisse déterminer celles qui sont traitées. Dans un second temps, il faudra peut-être corriger les erreurs si le sujet le demande et, enfin, il faudra effacer l’ensemble des données à caractère personnel (conformément aux délais de conservation établis et aux stipulations contractuelles) si le sujet demande leur transfert à un autre prestataire de services. Le traitement d’une demande de portabilité des données pourrait donc avoir des répercussions sur trois autres droits des personnes concernées.

Il convient toutefois de noter que le droit d’accès, de rectification et d’effacement n’est pas similaire au droit à la portabilité des données. Le responsable de traitement des données pourrait simplement appliquer les mêmes processus pour ces droits afin de faciliter le droit à la portabilité des données.

En pratique

En pratique, il faudra donc pouvoir fournir au client ou au consommateur une copie de toutes les données à caractère personnel le concernant que vous détenez et lui permettre de les transférer à un autre responsable de traitement de données ou prestataire de services. Les données que vous détenez concernant un consommateur ou un client sont toutes les données que la personne physique a sciemment et activement communiquées. Cela couvre les renseignements fournis par la personne physique par le biais de l’utilisation d’un service ou d’un appareil (par exemple, les données de localisation ou les battements cardiaques enregistrés par un fitness tracker). Le volume des données collectées peut donc être conséquent. D’autre part, les données doivent être communiquées d’une manière qui facilite leur réutilisation. À titre d’exemple, l’adresse e-mail doit être communiquée dans un format qui préserve toutes les méta-données et permet de la réutiliser efficacement. Communiquer des emails au format PDF ne conviendrait pas puisqu’il est insuffisamment structuré pour leur réutilisation. Répondre à une demande de portabilité des données peut s’avérer long et très coûteux pour beaucoup d’organisations qui n’ont pas encore adopté une approche de protection de la vie privée dès la conception et la construction de leurs systèmes et produits/propositions numériques.

Un impact considérable 

Ce droit devrait avoir un impact considérable sur votre entreprise parce qu’il modifie le rapport entre les sujets et les responsables de traitement des données. Les personnes physiques peuvent désormais gérer leurs données sur diverses plateformes, à l’aide, par exemple, d’un outil ou une application en téléchargement direct. La plateforme qui sera choisie par la personne concernée devra finalement pouvoir recevoir l’ensemble des données à caractère personnel. Si votre plateforme n’est pas celle privilégiée par la personne concernée, vous devrez transférer vos données à un concurrent et peut-être effacer les (précieuses) informations que vous avez recueillies au fil des ans. La concurrence entre responsables de traitement de données va donc s’intensifier, un point à prendre en compte dans la définition de votre stratégie d’entreprise.

En faire un atout 

1. S’efforcer d’être efficace. Les responsables de traitement des données doivent pouvoir satisfaire aux demandes dans des délais raisonnables et, dans tous les cas, pas plus d’un mois après réception de la demande. Si vous établissez un processus de portage des données, vous devez prévoir une procédure permettant de traiter les autres demandes des sujets conformément à la législation, et offrir des services supplémentaires, tels que la garantie d’une sécurité des données renforcée.
   
2. Rechercher un avantage concurrentiel. Pensez à développer un outil ou une interface simple à utiliser qui permette à la personne concernée de participer et qui lui offre plus de transparence, une meilleure visibilité et un plus grand contrôle sur ses données que vos concurrents.
   

Ce droit permet aux clients de passer plus facilement d’un prestataire de services à l’autre. Faites alors en sorte qu’ils transfèrent leurs données à caractère personnel vers votre entreprise plutôt qu’à vos concurrents.

Demander une entrevue individuelle sur le GDPR

N’hésitez pas à nous contacter si vous souhaitez avoir une discussion approfondie sur les défis et opportunités que le GDPR représente pour votre entreprise.