2.5 Principes de base pour des espaces de données fiables
Comme indiqué dans le mandat du Conseil fédéral, certaines conditions de nature technique, juridique, économique et sociale doivent être remplies pour permettre de créer des espaces de données fiables et de mettre en œuvre, par ce biais, l’autodétermination numérique. Elles le sont lorsqu’un espace de données répond à certaines exigences fondamentales en matière de conception, de fonctionnement, d’attribution de droits et d’obligations, etc. Ces exigences sont présentées dans ce chapitre comme des principes de base.
Il s’agit de la transparence, du contrôle, de l’équité, de la responsabilité et de l’efficacité.
La transparence est un fondement de la confiance, de la compréhension et de la prévisibilité. Elle
permet aux utilisateurs, d’une part, d’acquérir les connaissances et la compréhension nécessaires sur le fonctionnement d’un espace de données (intelligibilité) et, d’autre part, de comprendre clairement les processus et les conséquences attendus (clarté). Les mesures de transparence devraient donc tenir compte des indicateurs suivants: étendue, efficacité, clarté et vérification. Les différents indicateurs sont expliqués ci-après :
Premièrement, l’étendue des informations disponibles doit être suffisante. Concrètement, les
administrateurs de l’espace de données (→ Administrateurs de l’espace de données) doivent fournir les indications et les informations permettant aux utilisateurs de se faire une idée claire de l’utilisation et du traitement des données (p. ex., informations sur la finalité du traitement des données, l’accès de tiers, les droits des acteurs ainsi que le modèle économique de l’espace de données).51
Deuxièmement, les informations publiées doivent être efficaces. Par conséquent, les informations sur la transparence doivent être communiquées de manière proactive, avant le partage des données, et être trouvables facilement et rapidement à tout moment.52 Dans certaines situations (p. ex. en cas de failles de sécurité), il est en outre important d’utiliser des canaux de communication qui permettent d’informer les acteurs concernés le plus rapidement possible (p. ex. via un message Push ou un SMS).
Troisièmement, les informations fournies doivent être claires. Les utilisateurs doivent pouvoir les comprendre le plus facilement possible et identifier rapidement les risques éventuels. Outre un langage simple et compréhensible et la garantie de l’accessibilité, des canaux d’information adaptés au public cible (p. ex., des informations pour les utilisateurs moyens ainsi que de la documentation plus détaillée pour les experts) et des aides visuelles peuvent être utilisés.
Quatrièmement, une certaine vérification doit être garantie. Les utilisateurs doivent pouvoir compter sur le fait que les informations mises à disposition sont aussi exactes et véridiques que possible. Différentes approches sont envisageables pour garantir cela, par exemple des rapports de transparence, des certifications ou des organismes de contrôle indépendants. Elles doivent être considérées comme un complément aux mécanismes existants dans le cadre de la législation sur la protection des données.
La fédération Edulog dans le domaine de l’éducation est un bon exemple de mise en œuvre des indicateurs présentés. Un tableau de bord est disponible sur le site, où les utilisateurs peuvent voir à tout moment quelles informations ont été transmises à quel fournisseur tiers. Les indicateurs relatifs à l’étendue et à la clarté sont ainsi réalisés. En outre, Edulog facilite la compréhension et la prévisibilité, chacun sachant où et comment les données sont utilisées.
Le principe de base du contrôle permet aux individus d’exercer effectivement leurs droits (s’ils le souhaitent)(Voir aussi les possibilités juridiques en particulier les art. 28 ss. CC ainsi que les art. 25 et 32 revLPD). Il leur donne la possibilité d’agir si nécessaire et d’aller au-delà de la simple information. Le contrôle signifie donc, d’une part, la capacité d’agir pour intervenir et, d’autre part, la liberté d’action pour prendre des décisions de manière réellement autonome. Pour répondre à cette exigence, il convient de tenir compte, dans les mesures de contrôle, des indicateurs suivants: possibilités de contrôle, démarche volontaire et liberté de choix ainsi que protection contre la perte de contrôle.
Premièrement, des possibilités de contrôle doivent permettre de décider directement si et dans quelles circonstances des données peuvent être utilisées, à qui elles sont accessibles et de quel type de données il s’agit. Si possible, il faudrait pouvoir limiter le traitement des données, en particulier lorsqu’elles sont sensibles (p. ex. par différents niveaux d’accès ou de confidentialité).
Pour garantir la liberté d’action, les décisions de partage doivent en outre toujours pouvoir être retirées et limitées dans le temps. Un consentement doit pouvoir être retiré et, si le but de l’utilisation des données est défini de manière générale, renouvelé périodiquement.
Deuxièmement, la démarche volontaire et la liberté de choix doivent être garanties. La participation à une utilisation commune des données doit se faire selon sa propre volonté et sans pression extérieure. Les utilisateurs devraient également avoir la possibilité de choisir librement entre différentes offres, c’est-à-dire sans que cette décision ne compromette les possibilités futures ou n’entraîne de dépendances. Par conséquent, ils doivent pouvoir changer facilement de fournisseur et transférer leurs propres données, comme le prévoit l’article 28 de la revLPD. Une véritable liberté de choix signifie également que la décision relative à la gestion de ses propres données peut être déléguée à des tiers, par exemple dans le cadre des activités d’un administrateur de données (→ Administrateur de données).
Troisièmement, il doit exister une protection efficace contre la perte de contrôle. L’intégrité de l’espace de données et donc la sécurité des données doivent être garanties par les mesures de sécurité et de cybersécurité nécessaires et par des processus clairs de gestion des risques. De même, il convient de mettre en place des procédures contraignantes et des mesures d’urgence pour protéger les utilisateurs si la sécurité d’un espace de données a été compromise (p. ex., notification immédiate, voir aussi l’exigence minimale selon l’art. 24, al. 4, revLPD).
Le principe de base du contrôle est illustré par le dossier électronique du patient (DEP), qui accorde une grande importance au contrôle et met déjà en œuvre les différents indicateurs. Les utilisateurs ont la possibilité de contrôler à qui ils veulent accorder un droit d’accès et pour combien de temps. Ce droit peut être révoqué à tout moment. Le caractère volontaire et la liberté de choix sont également assurés: chacun est libre d’ouvrir un dossier électronique du patient et peut déterminer librement dans quelle mesure un professionnel de la santé a accès aux données, dans le contexte du traitement.
L’équité en tant que principe de base garantit un traitement équitable à tous les acteurs. En revanche, l’équité ne signifie pas une égalité de traitement au sein d’un espace de données. En effet, divers rôles ou formes de gouvernance peuvent entraîner des obligations et des privilèges différents. Néanmoins, certains standards minimaux doivent être garantis en ce qui concerne l’accès à l’espace de données et la répartition des avantages, afin que ces derniers soient proportionnels au rôle de l’acteur concerné. Les indicateurs identifiés pour ce principe de base sont la proportionnalité, la non-discrimination, la répartition équitable des charges et des bénéfices ainsi que l’indépendance.
Premièrement, la proportionnalité doit être garantie, tant en ce qui concerne le traitement des données que l’organisation des différents rôles (Voir aussi l’art. 6, al. 2, revLPD). S’agissant des données, il faut toujours vérifier s’il existe une alternative à l’utilisation de certaines données (p. ex, utilisation de données anonymisées au lieu de données personnelles → Anonymisation ou confidentialité différentielle → Confidentialité différentielle) et si le principe de suffisance des données (c’est-à-dire ne collecter que la quantité de données nécessaire → Protection de la vie privée dès la conception) est appliqué au mieux. De même, une éventuelle inégalité de traitement dans un espace de données (p. ex. en raison de rôles différents) doit toujours être proportionnelle (voir aussi non-discrimination).
Deuxièmement, les charges et les bénéfices doivent être répartis de manière équitable. L’équité porte d’une part sur l’accès aux espaces de données et l’utilisation de leurs avantages, et d’autre part sur les questions de partage des coûts entre les acteurs impliqués (aussi bien les particuliers que les entreprises). Certaines entreprises pourraient, par exemple, bénéficier d’une plus-value grâce à des chaînes d’approvisionnement intégrées ou à des gains d’efficacité chez les fournisseurs. Des approches telles que des compensations pour les entreprises qui mettent leurs données à disposition pourraient également être envisagées. Elles suscitent toutefois aussi des critiques (d’autant plus vives lorsqu’il s’agit d’incitations monétaires ou de compensations pour les particuliers), en raison du risque d’exploitation des personnes vulnérables et plus faibles, ainsi que d’une éventuelle déception, car la valeur de certains ensembles de données est souvent bien inférieure à celle espérée. Il n’en reste pas moins qu’une incitation monétaire serait susceptible de conduire à une plus grande disponibilité des données, offrant ainsi aux entreprises un meilleur accès à celles-ci en vue de concevoir des produits et services individualisés (Voir à ce sujet BitsaboutMe AG Le site promet de gagner de l’argent à qui partage ses données avec des institutions académiques ou des entreprises à des fins de recherche).
Troisièmement, les espaces de données fiables doivent fonctionner de manière non discriminatoire. La non-discrimination porte aussi bien sur les questions d’accès aux données que sur celles relatives à la base de données représentative pour prendre des décisions. Les administrateurs d’espaces de données doivent veiller à ce que tous les acteurs impliqués aient accès aux données nécessaires selon des critères objectifs et équitables. En ce qui concerne la qualité (→ Qualité des données), des données insuffisantes peuvent conduire à une image numérique déformée d’une personne, si bien que le soi physique ne correspond plus au soi numérique (→ Biais des données). Cette insuffisance peut avoir un effet discriminatoire pour certaines actions dans l’espace numérique, car le soi numérique se définit uniquement en référence aux données collectées le concernant. En outre, une qualité élevée des données est importante pour réduire les effets discriminatoires que l’utilisation des données peut avoir sur les groupes vulnérables. Les administrateurs d’espaces de données doivent donc s’assurer que les inégalités sont réduites lorsque les données sont utilisées dans des situations de discrimination structurelle préexistante.
Quatrièmement, l’exploitation d’un espace de données doit être indépendante, c’est-à-dire exempte d’éventuels conflits d’intérêts et protégée contre les abus de pouvoir. Les organismes responsables de la technique et de la réglementation ne doivent pas être unilatéralement dépendants de certains acteurs. La gouvernance doit donc être conçue de manière à ce que l’administrateur de l’espace de données soit transparent dans son fonctionnement et doive éventuellement en rendre compte. En outre, selon Collovà P. et al. (2021) et Schneider I. (2019), il convient de s’assurer qu’il ne poursuit pas d’autres intérêts et objectifs que ceux définis dans les statuts. Le choix de l’architecture peut également avoir une influence: une architecture d’utilisation décentralisée ou partagée peut, dans certaines circonstances, réduire considérablement le risque d’abus de pouvoir. En outre, la représentation de tous les acteurs contribue à l’indépendance de l’espace de données. Des procédures de représentation simples et transparentes (p. ex. par le biais de conseils consultatifs) peuvent renforcer la prise de décision inclusive, en particulier pour les acteurs dont l’influence est faible ou limitée (p. ex. les PME ou les particuliers).
L’infrastructure nationale de données dans le secteur de l’électricité (hub de données) ainsi que l’infrastructure nationale de mise en réseau des données sur la mobilité (NADIM) servent d’exemples d’application des indicateurs relatifs au principe d’équité. Le hub de données permet à tous les acteurs un accès non discriminatoire et clairement réglementé à l’infrastructure de données dans le secteur de l’électricité; la plateforme NADIM, en tant qu’établissement public neutre et indépendant, garantit l’indépendance.
Références :
Collovà P. et al. (2021), « Vertrauenswürdige Datenräume unter Berücksichtigung der digitalen Selbstbestimmung »;
Blankertz A. (2020), « Designing Data Trusts: Why We Need to Test Consumer Data Trusts Now »; Schneider I. (2019), « Governance der Datenökonomie: Politökonomische Verfügungsmodelle zwischen Markt, Staat, Gemeinschaft und Treuhand »
Le principe de base de responsabilité permet d’attribuer et de faire valoir des droits et des obligations. Les indicateurs identifiés comprennent des mécanismes de gouvernance et des mécanismes d’application clairs.
Premièrement, des mécanismes de gouvernance clairs supposent que le fonctionnement organisationnel d’un espace de données fiable soit défini et connu pour tous les acteurs. Il peut exister
plusieurs formes de gouvernance (voir annexe 2). Indépendamment de cela, les droits et les obligations des différents acteurs ainsi que les structures de décision à l’intérieur d’un espace de données doivent eux aussi être clairement établis. Dans l’idéal, les mécanismes de base ainsi que les rôles et les responsabilités sont définis (p. ex. dans des statuts ou contrats contraignants ou, pour des cas spécifiques, dans des aides à l’orientation telles que des check listes, ou, dans certains cas, par des dispositions légales).
Deuxièmement, des mécanismes d’application doivent permettre aux acteurs d’exiger le respect des dispositions en vigueur dans l’espace de données, même s’il ne s’agit pas de violations du droit applicable (Voir à ce sujet les art. 32, 41 et 49 revLPD). Par conséquent, les mesures prises dans un espace de données (p. ex. l’exclusion d’un acteur) doivent être justifiées de manière claire et démontrable. Il convient en outre d’instaurer des procédures de recours simples afin d’éviter de longs processus. Diverses modalités sont possibles, qui peuvent aller des procédures de recours internes à des organes de conciliation externes préalablement définis. Dans des cas particuliers, par exemple lorsqu’il s’agit de données hautement sensibles, la mise en place d’une instance de recours indépendante pourrait favoriser la confiance.
Tant le dossier électronique du patient (DEP) que la fédération Edulog prévoient des mesures
concernant la responsabilité. Le DEP contient un mécanisme d’application: à moins qu’il s’agisse d’une situation d’urgence médicale, quiconque accède au dossier électronique du patient sans autorisation, c’est-à-dire sans avoir reçu les droits d’accès correspondants de la part de l’utilisateur, est puni d’une amende. Edulog crée, par le biais de dispositions contractuelles entre les fournisseurs de services, des mécanismes de gouvernance transparents dans le but de protéger les données personnelles des utilisateurs.
Le cinquième principe de base concerne l’efficacité. Les espaces de données ne sont utiles que si les données peuvent être échangées et utilisées sans problème. Pour définir l’efficacité d’un espace de données, les indicateurs suivants sont pris en compte: qualité élevée des données, échange, interopérabilité et adaptabilité.
Premièrement, les données doivent être disponibles dans une qualité suffisamment élevée ou, du moins, la précision ou la qualité des données doit être indiquée (La notion de « qualité élevée » dépend de la finalité de l’utilisation des données. Il est essentiel de disposer d’une preuve de la qualité ou de la précision des données, qui indique par exemple qui les a produites ou quand elles ont été complétées pour la dernière fois). Elles doivent pouvoir être utilisées directement, sans qu’il faille prendre des mesures supplémentaires pour en améliorer la qualité. Une qualité élevée implique que les données soient aussi complètes et intactes que possible – d’une part du point de vue structurel, à savoir en ce qui concerne leur étendue, et d’autre part du point de vue du contenu, à savoir en ce qui concerne les informations décrites. Pour garantir la qualité nécessaire des données, il faut des procédures et des processus clairs de gestion de la qualité. Les administrateurs d’espaces de données doivent définir des normes claires, réévaluer régulièrement les procédures nécessaires et définir précisément les responsabilités concernant la maintenance des données. Ils peuvent également contribuer eux-mêmes à la qualité des données, par exemple lorsqu’ils les traitent.
Deuxièmement, l’interopérabilité (→ Interopérabilité) entre les acteurs d’un espace de données ainsi qu’entre différents espaces de données doit être garantie. Pour que les données puissent être utilisées efficacement, les redondances et les divergences à l’intérieur des systèmes et entre eux doivent être réduites. On distingue généralement différents niveaux d’interopérabilité.
Troisièmement, les espaces de données fiables doivent être conçus de manière adaptable. Dans un environnement dynamique, ils doivent pouvoir être modifiés facilement en réaction à des changements rapides. L’augmentation du nombre d’acteurs ou l’intégration de nouvelles sources de données ne doivent pas en compromettre la fiabilité ni le bon fonctionnement. En conséquence, les mécanismes de gouvernance et l’infrastructure technique doivent être conçus de manière à pouvoir s’adapter aux évolutions et à la croissance. Par ailleurs, il faut tenir compte du fait que le profil de risque d’un espace de données peut également changer sous l’influence de facteurs extérieurs. Il convient d’évaluer régulièrement si les mesures actuelles sont appropriées, le cas échéant en faisant appel à des tiers (p. ex. vérificateurs ou autres administrateurs d’espaces de données).
Pour illustrer le principe de base de l’efficacité, citons l’infrastructure nationale de mise en réseau des données sur la mobilité (NADIM). En tant qu’infrastructure centrale, elle permet l’utilisation d’un maximum de données pertinentes pour la mobilité multimodale. Elle garantit l’interopérabilité afin de rendre l’échange et l’utilisation des données aussi efficaces que possible pour tous les acteurs (notamment les entreprises). Le hub de données dans le secteur de l’électricité, pour lequel un haut degré de standardisation est également visé, est conçu de manière similaire.
Dans le sens du présent rapport, il ne s’agit pas seulement de respecter les obligations légales existantes, en particulier le droit de la protection des données, mais d’appliquer des critères élevés pour être digne de confiance.
Outre les cinq principes de base, les espaces de données fiables doivent être conçus de manière écologiquement et socialement responsable, conformément à l’Agenda 2030 pour un développement durable et à ses 17 Objectifs de développement durable (ODD), afin de contribuer à l’amélioration de notre bien commun, à la réduction de la fracture numérique, à l’utilisation durable des ressources naturelles et à l’égalité des chances. La durabilité des espaces de données est un aspect important de la société des données dans son ensemble, aussi mis en évidence dans les principes de base.
La diversité des espaces possibles de données fiables et de leurs objectifs empêche d’établir une typologie fixe ou un modèle idéal. Il convient plutôt de tenir compte des multiples défis et situations de départ. La conception concrète, c’est-à-dire la pondération et l’application des différents principes de base et de leurs indicateurs, variera donc en fonction du secteur.
Conclusion intermédiaire
Les cinq principes de base présentés et les indicateurs correspondants sont les piliers de la réponse au mandat confié par le Conseil fédéral d’exposer les conditions nécessaires à la création d’espaces de données fiables. Ils doivent être considérés comme des lignes directrices et peuvent servir d’impulsion pour l’architecture globale, la gouvernance et la conception technique de ces espaces. Les principes de base, les indicateurs et les recommandations constituent le cadre de référence pour la mise en œuvre concrète et peuvent servir aux travaux futurs sur un code de conduite volontaire pour la création et l’exploitation d’espaces de données fiables. Ils doivent être considérés comme une boîte à outils pour des travaux ultérieurs.
Le contenu de ce module ainsi que les graphiques sont issus du rapport du DETEC et du DFAE au Conseil fédéral
« Création d’espaces de données fiables, sur la base de l’autodétermination numérique ».