En avez-vous déjà eu assez de votre fournisseur de téléphonie mobile ? Peut-être aviez-vous une bonne affaire les premiers mois, puis soudainement vos tarifs augmentent ou votre service devient irrégulier. Peut-être avez-vous terminé un appel avec le service client en disant : « Eh bien, j'en ai assez. Je change de fournisseur. »

Grâce aux lois sur la portabilité des numéros de téléphone, quitter un fournisseur n'est pas une menace vide. Les gens peuvent changer de fournisseur de services sans craindre de perdre le numéro de téléphone que leur famille et leurs amis (et les spammeurs !) utilisent pour les joindre.

Et si cette même fonctionnalité de portabilité s'appliquait à... vos données ?

Droits des utilisateurs en vertu des lois sur la portabilité des données

Si vous vivez en Californie, dans l'Union européenne, et potentiellement dans d'autres juridictions comme l'Australie, vous pouvez emporter vos données - qu'il s'agisse de listes de contacts, de photos, de documents, de playlists - avec vous lorsque vous changez de fournisseur. Les lois sur la confidentialité, y compris le Règlement général sur la protection des données (RGPD) et la California Consumer Privacy Act (CCPA) ont déjà codifié la portabilité des données dans la loi, tandis que plusieurs gouvernements ont commencé à introduire une législation similaire.

Emportez vos données avec vous

Mais, que signifie exactement la portabilité des données ?

Par exemple, disons que vous n'êtes pas satisfait de votre fournisseur actuel de streaming musical en ligne. En utilisant les droits de portabilité des données, vous pouvez facilement copier toutes vos playlists vers un autre fournisseur de streaming musical. Ou, si vous êtes un cinéphile, vous pouvez emporter des données sur vos préférences de streaming de films et vos émissions préférées avec vous vers un autre fournisseur de streaming vidéo.

Que disent exactement les lois, spécifiquement, sur la portabilité des données ?

« La personne concernée a le droit de recevoir les données à caractère personnel la concernant, qu'elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été fournies y fasse obstacle. »

-Article 20 du Règlement (UE) 2016/679 du Parlement européen et du Conseil

La CCPA accorde des droits similaires de portabilité des données en vertu de la Section 1798.100(d), qui stipule : « Une entreprise qui reçoit une demande vérifiable d'un consommateur pour accéder à des informations personnelles doit prendre rapidement des mesures pour divulguer et livrer, gratuitement au consommateur, les informations personnelles requises par cette section. Les informations peuvent être livrées par courrier ou électroniquement, et si elles sont fournies électroniquement, elles doivent être dans un format portable et, dans la mesure du possible techniquement, dans un format facilement utilisable qui permet au consommateur de transmettre ces informations à une autre entité sans entrave. »

Actuellement, il existe une législation similaire en attente sur la portabilité des données en Australie. La Commission australienne de la concurrence et de la consommation (ACCC) et la Consumer Data Right (CDR) visent à transférer la propriété des données des clients des entreprises aux clients, permettant aux clients de partager leurs propres données avec d'autres entreprises. Le gouvernement australien a l'intention d'appliquer ces nouveaux droits des consommateurs en matière de données au secteur bancaire, suivi par le secteur de l'énergie, et peut-être d'autres.

Il existe également une législation proposée aux États-Unis au niveau fédéral. Les sénateurs Mark Warner, Richard Blumenthal et Josh Hawley ont introduit le Augmenting Compatibility and Competition by Enabling Service Switching Act (ACCESS Act) en octobre 2019. Concernant la portabilité des données, le projet de loi stipule : « Les grands fournisseurs de plateformes de communication - c'est-à-dire les fournisseurs exploitant des plateformes de communication avec plus de 100 millions d'utilisateurs actifs mensuels aux États-Unis - doivent exploiter des interfaces transparentes et accessibles par des tiers qui permettent aux utilisateurs de transférer en toute sécurité leurs données (directement à l'utilisateur ou à un fournisseur de communication concurrent agissant à la demande d'un utilisateur)... les fournisseurs concurrents qui reçoivent des données portées doivent sécuriser correctement les données portées. »

Dans un communiqué de presse, le sénateur Josh Hawley a déclaré : « Vos données sont votre propriété. Point final. Les consommateurs devraient avoir la flexibilité de choisir de nouvelles plateformes en ligne sans barrières artificielles à l'entrée. Ce projet de loi crée des exigences attendues depuis longtemps qui stimuleront la concurrence et donneront aux consommateurs le pouvoir de déplacer leurs données d'un service à un autre. »

Que signifie la portabilité des données pour les entreprises ?

La portabilité des données introduit des impacts majeurs sur les entreprises.

Premièrement, les lois sur la portabilité des données peuvent être utilisées comme une mesure antitrust, alors préparez-vous à une concurrence plus rude sur les marchés respectifs. En particulier, la concurrence des startups pourrait devenir plus féroce. Les startups, qui avaient historiquement un accès limité aux données des consommateurs, auront désormais un avantage lorsque les consommateurs porteront leurs données vers un autre fournisseur.

Deuxièmement, les entreprises doivent optimiser leur processus de transfert de données pour qu'il soit rapide, complet et lisible par machine lorsqu'elles reçoivent une demande d'accès aux données de la personne concernée (DSAR) d'un consommateur. Pour ce faire, les entreprises doivent savoir où se trouvent les données des consommateurs dans leurs systèmes. Pour ce faire, les entreprises doivent savoir où se trouvent les données des consommateurs dans leurs systèmes et être capables de les récupérer lorsque nécessaire.

Une solution conçue pour gérer l'ensemble de ce processus - de la cartographie des données au traitement des demandes d'accès aux données de la personne concernée - est une plateforme de confidentialité des données. Compte tenu des exigences légales concernant le temps dont dispose une entreprise pour répondre à une DSAR, envisagez d'utiliser une plateforme de confidentialité des données ou un logiciel DSAR pour aider à automatiser ces processus. (Pour la CCPA, le délai de réponse à une DSAR est de 45 jours. Pour le RGPD, il est de 30 jours.)

Quels formats de fichiers pouvez-vous utiliser pour porter des données

Lorsque les entreprises traitent une DSAR, quel format lisible par machine doivent-elles utiliser ? L'interopérabilité des formats de fichiers peut poser de nombreux problèmes. Reconnaissant les limitations que les formats de fichiers imposent à la recherche de données, le National Institute of Standards and Technology (NIST) et plus de 800 experts de l'industrie, du milieu universitaire et du gouvernement ont commencé à évaluer ce problème en 2013 ; ensemble, ils viennent de publier leur Big Data Interoperability Framework (NBDIF) en octobre. Le NBDIF du NIST est un guide qui permet aux données d'être interopérables et portables entre les plateformes.

La bonne nouvelle pour les entreprises traitant des DSAR est que ni le RGPD ni la CCPA n'incluent actuellement de formats de fichiers spécifiques pour la portabilité des données. Ainsi, pour l'instant, les entreprises ont la possibilité de choisir le format qui leur convient le mieux. Cependant, il est toujours important pour les entreprises de considérer quels formats sont standards dans leur industrie. S'il n'y a pas de standard, envisagez des formats ouverts comme CSV, XML et JSON.

Comment transférer réellement les données

Les entreprises doivent trouver un moyen de transmettre en toute sécurité ces données sensibles des consommateurs.

Le procureur général de Californie a publié des règlements proposés en octobre 2019 offrant des conseils sur la manière de transférer les données en toute sécurité.

« Si une entreprise maintient un compte protégé par mot de passe avec le consommateur, elle peut se conformer à une demande de connaissance en utilisant un portail en libre-service sécurisé pour que les consommateurs accèdent, visualisent et reçoivent une copie portable de leurs informations personnelles si le portail divulgue pleinement les informations personnelles auxquelles le consommateur a droit en vertu de la CCPA et de ces règlements, utilise des contrôles de sécurité des données raisonnables et se conforme aux exigences de vérification énoncées à l'article 4. »

L'industrie dans son ensemble reconnaît qu'il peut être difficile de transférer des données d'un fournisseur de services à un autre. Un programme appelé le Data Transfer Project (DTP) est une initiative open-source qui permet la portabilité des données entre plusieurs plateformes en ligne. Google a fondé le Data Transfer Project en 2018 ; d'autres membres du projet incluent Facebook, Microsoft, Twitter et Apple.

Les logiciels de transfert de fichiers gérés (MFT) peuvent aider les entreprises avec le chiffrement des données sensibles.

Quelles données devez-vous inclure dans une demande de portabilité des données ?

Quelles données doivent être incluses dans une demande de portabilité des données ? À vrai dire, ce n'est pas encore bien défini. Les données que les utilisateurs souhaitent porter incluent des données générées ou fournies par l'utilisateur telles que leurs carnets d'adresses, répertoires d'amis ou graphes sociaux. Cela pourrait inclure des informations passives sur les utilisateurs telles que les préférences déduites. Mais, qu'en est-il des données créées en collaboration avec d'autres ? Cela devrait-il être inclus lors du traitement d'une DSAR ?

Zones problématiques liées au traitement des demandes de portabilité des données

Le traitement des demandes de portabilité des données peut ouvrir une boîte de vers enchevêtrés. Par exemple, si un utilisateur a travaillé en collaboration avec une autre personne pour créer des données, un utilisateur devrait-il porter ces données ? Que se passe-t-il si les données d'un utilisateur incluent également les données de quelqu'un d'autre ? Cela devrait-il être portable ? Faut-il obtenir le consentement des collaborateurs ?

En réponse à ces inconnues, Facebook a publié un livre blanc dans lequel l'entreprise s'interroge sur les meilleures façons de protéger la vie privée d'un utilisateur tout en permettant la portabilité. Par exemple, que se passe-t-il si une personne ou une entité demande des données en votre nom ? Les entreprises devraient-elles se conformer à de telles demandes ? Que se passe-t-il si quelqu'un dépose une DSAR frauduleuse ? Les entreprises sont-elles équipées pour valider correctement les utilisateurs avant de leur fournir leurs données sensibles de consommateur ? Après que les données des personnes ont été transférées, qui est responsable si les données sont mal utilisées ou piratées ?

Les inconnues liées à ces lois et à ce processus seront probablement résolues au fur et à mesure qu'elles se présenteront. Dans les mois à venir, attendez-vous à ce que les consommateurs soient informés de leurs droits d'accès aux données concernant la portabilité des données, d'autant plus que les utilisateurs peuvent monétiser leurs données. Les entreprises peuvent se préparer en ayant un plan de portabilité des données en place ainsi que les politiques et outils pour mettre en œuvre ces plans.

*Avertissement : Je ne suis pas avocat et je ne donne pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé. Je ne donne pas non plus de conseils en mode, en relations ou de recommandations de films. Croyez-moi, c'est pour le mieux.