Tin tức

Bonne gouvernance des données : Équilibrer les droits et les intérêts

Categories: Data Management, News

 

Une bonne gouvernance des données fournit à votre entreprise une valeur fiable. Il est probable qu’une approche de laissez-faire en matière de politique des données détériore la fiabilité de vos données, la compétitivité de votre entreprise et votre revenu global. Qu’est-ce qui définit donc une bonne gouvernance des données ?

Le Congrès européen de la protection des données 2017 en une seule leçon

Cette question était au centre du congrès annuel de l’Association internationale des professionnels de la vie privée sur la protection des données en Europe, qui s’est tenu à Bruxelles au début du mois. Parmi les orateurs figuraient plusieurs personnalités éminentes des milieux universitaires, publics, commerciaux et juridiques. Parmi elles, le Contrôleur européen de la protection des données, le responsable de la protection de la vie privée et de la transparence de la NSA, les directeurs de la sécurité et de la protection de la vie privée de géants de l’informatique tels que Facebook, Microsoft et IBM, ainsi que des personnalités juridiques de premier plan issues de cabinets d’avocats et d’universités de renom.

Alors, qu’est-ce qui a réuni toutes ces perspectives et tous ces intérêts ? Quelles que soient les différences d’expertise et d’angle, chaque session a permis de tirer la même leçon fondamentale : la RGPD doit être considérée comme une opportunité de permettre une bonne gouvernance des données dans une atmosphère de responsabilité et de redevabilité.

Une gouvernance des données de pointe

Ces valeurs de responsabilité et d’obligation de rendre compte sont traduites en exigences explicites dans le RGPD – en particulier la transparence (article 12) et les droits des personnes concernées (articles 13 à 22). Ces articles peuvent être considérés comme conférant des “droits actifs” en ce sens que les personnes dont proviennent les données (les “personnes concernées”) peuvent faire valoir activement ces droits auprès du responsable du traitement. Le responsable du traitement doit bien entendu s’y conformer. La RGPD a été conçue de telle sorte que toute organisation relevant de son champ d’application doit garantir les droits des personnes concernées.

Cela nous amène à la conclusion provisoire que la gouvernance moderne des données n’englobe pas seulement les processus de collecte et de traitement des données. Elle doit également prévoir un cadre de responsabilité actualisé, tout en gardant trace des objectifs, des fondements juridiques et des mesures de protection (le “quoi, le pourquoi et le comment”) liés à tout traitement.

Il est intéressant de voir comment le respect des droits de ces personnes protège activement les intérêts du responsable du traitement. Il est temps d’y regarder de plus près.

Première phase : le droit “absolu” d’accès

Toute personne physique qui pense qu’un responsable du traitement traite ses données peut demander au responsable du traitement si c’est bien le cas. Si c’est le cas, la personne concernée a le droit d’accéder à ces données. Le responsable du traitement fournit ces données et doit également informer la personne concernée des finalités du traitement, des catégories de données à caractère personnel traitées, de la durée de conservation des données, des personnes auxquelles les données peuvent être communiquées, de l’existence ou non d’un profilage et des conséquences éventuelles sur la vie personnelle de la personne concernée. En outre, le responsable du traitement est également chargé d’informer la personne concernée de ses autres droits.

Deuxième phase : Faire d’une pierre deux coups

Après avoir accédé à ses données, la personne concernée dispose de certaines options. Elle peut laisser les choses telles qu’elles sont. Elle peut aussi invoquer d’autres droits. Pour souligner l’importance d’une bonne gouvernance des données, nous mettons l’accent sur le droit d’effacement et le droit d’opposition.

Droit d’effacement

La personne concernée peut invoquer son droit à l’effacement, peut-être mieux connu sous le nom de “droit à l’oubli”. En effet, lorsqu’il est accordé, toutes les données à caractère personnel de la personne concernée doivent être effacées par le responsable du traitement. Toutefois, cela ne signifie pas que le responsable du traitement doit accéder à cette demande immédiatement et à tout moment. Le droit invoqué par la personne concernée n’est pas un droit absolu ; il doit être mis en balance avec d’autres droits et intérêts. C’est pourquoi, en tant que responsable du traitement, il est d’un intérêt vital de disposer d’une gouvernance des données à jour. Voyons comment cela fonctionne, en utilisant deux contextes comme études de cas.

Contexte 1 : Droits de la personne concernée et intérêts du responsable du traitement

Avant de pouvoir être exécuté, le droit à l’effacement doit être mis en balance avec les intérêts du responsable du traitement des données. Le droit d’effacement ne peut être invoqué que si les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, ou si le traitement est illicite, ou si l’effacement est requis par une autre loi. Cela signifie que le responsable du traitement peut avoir des raisons impérieuses (intérêts légitimes) qui lui permettent de poursuivre le traitement. Même lorsque le traitement se fait sur la base du consentement de la personne concernée, qu’il révoque ensuite, les données ne seront pas simplement effacées s’il existe un autre motif légal pour leur traitement.

Contexte 2 : Droits des personnes concernées par rapport à d’autres droits fondamentaux

Le droit d’effacement ne peut être exécuté lorsque le traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information. En outre, lorsque le responsable du traitement traite les données pour se conformer à d’autres obligations légales, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique, les données ne peuvent pas être effacées.

Droit d’opposition

Un autre droit fondamental, mais non absolu, de la personne concernée est le droit de s’opposer au traitement de ses données. Une condition préalable s’applique : la base juridique du traitement doit être soit les intérêts légitimes du responsable du traitement, soit l’exécution d’une mission effectuée dans l’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement. En d’autres termes : si la personne concernée a préalablement consenti au traitement, elle ne peut pas simplement s’y opposer. Elle doit alors suivre un chemin différent, à commencer par la révocation de son consentement.

Équilibre : intérêts, droits et libertés

Si la personne concernée s’oppose au traitement, le responsable du traitement doit mettre fin à ce traitement. Toutefois, si le responsable du traitement démontre qu’il existe des motifs légitimes et impérieux de procéder à ce traitement qui l’emportent sur les intérêts, les droits et les libertés de la personne concernée, il ne peut pas être tenu de le faire. Là encore, il s’agit de trouver un équilibre entre les droits et les intérêts, et de se préparer.

Si cette préparation n’est pas mise en place, chaque demande entraînera probablement une “limitation du traitement” temporaire jusqu’à ce que l’on obtienne plus de clarté – au risque de ne pas respecter les droits ou de porter atteinte aux intérêts. Cependant, si le responsable du traitement dispose d’une préparation et d’une documentation adéquates de toutes ses activités de traitement, il sait s’il doit ou non se conformer, en tout ou en partie, aux demandes qu’il reçoit, ainsi que les conséquences juridiques, financières et opérationnelles.

Bonne gouvernance des données

Une bonne gouvernance des données permet la transparence tout en préparant et en protégeant votre organisation contre l’incertitude dans les domaines juridique, financier et opérationnel. Une préparation et une documentation minutieuses des droits de vos personnes concernées présentent de nombreux avantages.

Une bonne gouvernance des données :

  • Garantit les droits de vos personnes concernées (et l’augmentation/la diminution de la réputation qui en découle) ;
  • Vous protège, en tant que responsable du traitement des données, contre les tentatives injustes de restreindre vos activités de traitement des données (qui peuvent même vous faire perdre votre conformité avec d’autres lois) ;
  • Vous donne une vue d’ensemble de vos activités de traitement, de leurs valeurs et de leurs conséquences financières, juridiques et opérationnelles.

Préparer votre organisation à un avenir de gestion durable des données n’est que raisonnable. Si vous souhaitez avoir une indication gratuite de votre situation actuelle, consultez notre évaluation de l’état de préparation du PIB.

Commencez l’évaluation

Consultez notre évaluation GRPD
Nous recrutons un Data Steward
Menu