Bonne gouvernance des données: équilibrer les droits et les intérêts

Bonne gouvernance des données: équilibrer les droits et les intérêts

novembre 27, 2017 / by Trueson / GDPR

 

Une bonne gouvernance des données fournit à votre entreprise une valeur fiable. Probablement, une approche de laisser-faire à la politique de données est susceptible de détériorer la fiabilité de vos données, la compétitivité de votre entreprise – et votre revenu global. Qu’est-ce qui définit la bonne gouvernance des données?

Congrès européen sur la protection des données 2017 en une leçon

Cette question a été un thème central lors du Congrès européen annuel sur la protection des données de l’Association internationale des professionnels de la protection de la vie privée à Bruxelles, plus tôt ce mois-ci. Parmi ses conférenciers figuraient plusieurs personnalités du monde académique, public, commercial et juridique. Ceux-ci comprenaient le Contrôleur européen des données, la confidentialité et la transparence de la direction de la NSA; les directeurs de la sécurité et de la confidentialité des géants de l’informatique tels que Facebook, Microsoft et IBM; ainsi que des personnalités juridiques de renom de cabinets d’avocats et d’universités.

Alors, qu’est-ce qui a réuni toutes ces perspectives et intérêts? Peu importe les différences d’expertise et d’angle, chaque séance a enseigné à maintes reprises la même leçon fondamentale: le GDPR doit être considéré comme une opportunité de permettre une bonne gouvernance des données dans une atmosphère de responsabilité et de responsabilité.

Gouvernance des données à la pointe de la technologie

Ces valeurs de responsabilité et de responsabilité sont traduites dans des exigences explicites dans le GDPR – en particulier la transparence (article 12) et les droits des personnes concernées (articles 13 à 22). Ces articles peuvent être considérés comme fournissant des «droits actifs» en ce sens que ceux dont proviennent les données («personnes concernées») peuvent poursuivre activement ces droits auprès du responsable du traitement des données. Le responsable du traitement des données doit bien entendu se conformer. Le GDPR a été conçu de manière à ce que toute organisation de son périmètre garantisse les droits des personnes concernées.

Cela conduit à la conclusion provisoire que la gouvernance des données modernes englobe non seulement les processus de collecte et de traitement des données. Il doit également stipuler un cadre de responsabilisation à jour, tout en gardant trace des objectifs, des bases légales et des mesures de protection (le «quoi, pourquoi et comment») liés à tout traitement.

Ce qui est intéressant, c’est la manière dont le respect des droits de ces personnes concernées protège également activement les intérêts du responsable du traitement des données. Il est temps de regarder de plus près.

Première phase: le droit d’accès « absolu »

Toute personne physique qui croit qu’un responsable du traitement traite ses données peut demander au responsable du traitement si c’est effectivement le cas. Si tel est le cas, la personne concernée a le droit d’accéder à ces données. Le responsable du traitement fournit ces données et doit également informer la personne concernée des finalités du traitement, des catégories de données à caractère personnel traitées, de la durée de conservation des données, des destinataires des données, que le profilage soit effectué ou non, et les conséquences possibles que cela peut avoir sur la vie personnelle de la personne concernée. De plus, le responsable du traitement est également chargé de notifier la personne concernée sur ses autres droits.

Deuxième phase: Tuer deux oiseaux avec une pierre

Après avoir accédé à ses données, la personne concernée dispose de quelques options. Il / elle peut simplement laisser les choses telles qu’elles sont. Alternativement, il / elle peut invoquer d’autres droits. Pour souligner l’importance de la bonne gouvernance des données, nous insistons sur le droit à l’effacement et le droit d’opposition.

Droit d’effacement

La personne concernée peut invoquer son droit d’effacement, peut-être mieux connu sous le nom de «droit à l’oubli». En effet, lorsqu’elles sont accordées, toutes les données personnelles de la personne concernée doivent être effacées par le responsable du traitement. Cependant, cela ne signifie pas que le contrôleur doit se conformer à une telle demande immédiatement, en tout temps. Le droit invoqué par la personne concernée n’est pas un droit absolu; il doit être équilibré avec d’autres droits et intérêts. C’est pourquoi, en tant que contrôleur, il est primordial de mettre à jour sa gouvernance des données. Voyons comment cela fonctionne, en utilisant deux contextes comme études de cas.

Contexte 1: Droits des personnes concernées par rapport aux intérêts du responsable du traitement des données

Avant de pouvoir être exécuté, le droit d’effacement doit être mis en balance avec les intérêts du responsable du traitement des données. Le droit d’effacement ne peut être invoqué que si les données personnelles ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées ou traitées, ou si le traitement a lieu illégalement ou si l’effacement est requis par une autre loi. Cela signifie que le responsable du traitement peut avoir des raisons impérieuses (intérêts légitimes) qui lui permettent de poursuivre le traitement. Même lorsque le traitement est effectué sur la base du consentement des personnes concernées qu’il révoque ensuite, les données ne seront pas simplement effacées s’il existe un autre motif juridique pour son traitement.

Contexte 2: Droits des personnes concernées contre d’autres droits fondamentaux

Le droit d’effacement ne peut pas être exécuté lorsque le traitement est nécessaire pour exercer le droit à la liberté d’expression et d’information. En outre, lorsque le responsable du traitement traite les données pour se conformer à d’autres obligations légales, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique, les données ne peuvent pas être effacées.

Droit d’opposition

Un autre droit fondamental, mais non absolu, de la personne concernée est le droit de s’opposer au traitement de ses données. Une condition préalable est la suivante: le fondement juridique du traitement doit être soit les intérêts légitimes du responsable du traitement, soit l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique, dévolue au responsable du traitement. En d’autres termes: si la personne concernée a déjà consenti au traitement, elle ne peut pas simplement s’opposer. Il / elle doit alors emprunter un itinéraire différent, en commençant par la révocation de son consentement.

Équilibre: intérêts, droits et libertés

Si le sujet traite les données, le contrôleur doit arrêter ce traitement. Toutefois, si le responsable du traitement démontre des motifs légitimes et impérieux justifiant le traitement qui l’emporte sur les intérêts, les droits et les libertés de la personne concernée, il peut ne pas être obligé de le faire. Encore une fois, il s’agit d’équilibrer les droits et les intérêts et de se préparer.
Si cette préparation n’est pas en place, chaque demande entraînera probablement une «restriction de traitement» temporaire jusqu’à ce que plus de clarté soit obtenue, ce qui risque d’entraîner une non-conformité ou des intérêts endommagés. Toutefois, si le responsable du traitement dispose d’une préparation et d’une documentation adéquates de toutes ses activités de traitement, il sait s’il doit ou non se conformer, en totalité ou en partie, aux demandes qu’il reçoit, ainsi qu’aux conséquences juridiques, financières et opérationnelles.

Bonne gouvernance des données

Une bonne gouvernance des données permet la transparence tout en préparant et protégeant votre organisation contre l’incertitude dans les domaines juridiques, financiers et opérationnels. Une préparation et une documentation soigneuses des droits de vos personnes concernées présentent de nombreux avantages.

Bonne gouvernance des données:

  • garantit les droits de vos personnes concernées (et l’augmentation / diminution de la réputation associée);
  • vous protège en tant que contrôleur de données contre les tentatives injustes de restreindre vos activités de traitement de données (ce qui peut même vous faire perdre votre conformité à d’autres lois);
  • donne un aperçu de vos activités de traitement, de ses valeurs et de ses conséquences financières, juridiques et opérationnelles.

Préparer votre organisation pour un avenir de gestion durable des données est seulement judicieux. Si vous aimez une indication gratuite de votre statut actuel, consultez notre évaluation GDPReadiness..

Commencer l’évaluation:

Tags
Étiquettes :
Share