La valorisation de la donnée est un concept qui a pour objectif de donner une valeur financière aux données dont disposent une entreprise afin de les considérer comme de véritables actifs. La valeur d’une donnée est calculée en fonction d’une multitude de facteur qui peut aller de la donnée en tant que telle jusqu’à la façon dont elle peut être utilisée. Ainsi, une adresse mail qui est utilisable pour l’envoi de prospection commerciale aura une valeur potentiellement supérieure à une donnée relative à la santé d’une personne mais dont l’utilisation est extrêmement restreinte, par exemple, lorsque la personne n’a pas donné son consentement.
Cette notion de réutilisation est centrale dans le mariage entre Règlement Général sur la Protection des Données (RGPD) et valorisation. En effet, et à la lettre du Règlement, chaque traitement de données personnelles doit avoir une base légale (article 6 du RGPD). Par conséquent, les actions issues de la valorisation de la donnée telles que la vente, l’utilisation, etc. doivent être légalement justifiées. Ainsi, si le consentement de la personne concernée n’a pas été collecté au préalable, il sera impossible de les vendre, la valorisation sera donc très faible.
On se rend par conséquent compte que la valorisation des données personnelles n’est pas absolue et que les acteurs doivent s’inscrire dans un cadre strict. Ce cadre peut représenter un frein pour les sociétés qui utilisent la valorisation comme fonds de commerce ou des entreprises cherchant à lever des fonds.
Comme évoqué précédemment, il est important, pour évaluer la valeur d’une donnée, de déterminer si elle pourra être réutilisée et dans quel cadre.
A ce titre, il convient d’envisager deux cas de figure, le premier étant celui où vous souhaitez valoriser une base de données existante, et le deuxième où vous souhaitez valoriser une base de données à construire.
Afin de déterminer la valeur de vos données, il est nécessaire que vous vous assuriez si vous êtes en mesure, conformément au RGPD, de réutiliser ces données pour des finalités ultérieures. Ainsi, votre CRM doit être en mesure de vous permettre de retracer l’origine des données et si un consentement a été donné. Le cas échéant, vous devez pouvoir identifier qu’elle est la portée du consentement : concerne-t-il l’envoi d’une newsletter ? Le partage de données à des partenaires ?
Si vous n’avez pas obtenu le consentement préalable des personnes concernées pour les finalités ultérieures, vous êtes en mesure d’effectuer une analyse de la compatibilité des traitements conformément à l’article 6(4) du RGPD ou de procéder à une campagne de collecte de consentement par mail. Si vous souhaitez explorer ces possibilités, n’hésitez pas à nous contacter.
Si votre base de données n’est pas encore constituée, c’est le moment parfait pour faire en sorte que l’intégralité de votre base soit conforme au RGPD et ainsi maximiser sa valorisation.
Récolte du consentement spécifique, information aux personnes concernées conformément à l’article 13 du RGPD, respect du principe de minimisation, capacité à retracer le consentement donné en cas de demande d’une autorité de contrôle ou d’un futur partenaire, c’est autant de sujet qu’il faudra prendre en compte afin d’avoir une base de données totalement réutilisable.
DPO Consulting s’attache à rendre la protection des données accessible à tous. Cette accessibilité s’accompagne par un suivi personnalisé pour chacune de vos activités, y compris l’analyse de la conformité de votre base de données par le biais de sessions d’audits.
Certains GAFAM ont fait de leur cœur de métier l’exploitation des données personnelles dont ils disposent. En effet, si nous prenons l’exemple de Google ou encore de Facebook, lorsque l’on utilise leurs services, ces derniers collectent massivement des données sur les utilisateurs, au-delà de celles qui peuvent être indiquées lors de la création d’un profil ou de la création d’un compte. A partir du moment où l’utilisateur va naviguer sur l’application, chaque mouvement et chaque recherche vont être scrupuleusement stockés par ces géants du numériques. L’intégralité de ces informations, qui sont bien évidemment des données personnelles, font ensuite l’objet d’une valorisation en ce qu’une analyse va être effectuée sur la qualité de la donnée et une tarification va être apposée.
Les sociétés souhaitant faire de la publicité vont ensuite contacter Facebook ou Google afin d’apparaitre sur le fil d’actualité de personnes répondant à un certain nombre de critères. La tarification allouée prendra donc en compte la valorisation qu’a effectuée le vendeur de ces données.
Cependant, ce modèle économique est actuellement face à un problème juridique. En effet, conformément à l’article 44 et suivants du RGPD, lorsque les données personnelles de personnes localisées dans l’EEE sont transférées en dehors de l’EEE, des garanties complémentaires doivent être mises en place. Initialement, les clauses contractuelles types de la Commission Européenne étaient la méthode la plus utilisée pour garantir ces transferts vers les Etats-Unis depuis l’invalidation du Privacy Shield par l’arrêt Schrems II.
Ce même arrêt a mis en exergue qu’au-delà des garanties spécifiées dans le RGPD, des mesures de sécurité complémentaires doivent être mis en place notamment pour faire face aux Etats dont la législation permet leur ingérence.
Pour autant, les clauses contractuelles types sont rédigées, dans leur nouvelle comme leur ancienne version, afin d’assurer la sécurité des traitements. La question se pose donc actuellement de la fiabilité juridique de l’utilisation de ces clauses.
La question est d’autant plus importante depuis les récentes affaires concernant Google Analytics. Suite à des plaintes de l’association NOYB l’autorité de protection des données autrichienne, le CEPD et la CNIL ont pris position en considérant que les transferts de données à Google Analytics étaient illicites. Ainsi, les garanties mis en place ne seraient pas suffisantes et ne permettraient pas d’assurer la confidentialité des données face aux programmes de surveillances américains malgré la signature de clauses contractuelles types et de garanties complémentaires.
Ainsi, nous pouvons constater que la valorisation des données par les sociétés américaines d’une part mais également des sociétés qui bénéficient des services américains (Google Analytics) est susceptible d’être bloquée par les exigences du RGPD et la jurisprudence qui en découle.
Si vous souhaitez valoriser les données personnelles dont vous disposez dans le respect du RGPD, nous sommes prêts à vous accompagner afin de vous fournir des recommandations adaptées à vos activités.
La valorisation des données de santé est un véritable enjeu pour les acteurs de la santé. En effet, les hôpitaux, les cliniques, les centres de radiologie, etc. ont chacun une base de données patients comportant des données de santé. L’utopie voudrait que chaque praticien pourrait accéder à une banque de données généralisées sans contraintes afin de permettre d’accélérer l’accroissement de la médecine et de mener à bien des prouesses technologiques rapidement. Cependant, les exigences en matière de traitement des données sensibles sont encore plus fortes et la valorisation des données n’en est que réduite.
Les acteurs de la santé doivent s’assurer d’avoir obtenu le consentement de la personne concernée, les données doivent être stockées de façon sécurisée et pseudonymisées, les habilitations d’accès doivent être restreintes, etc. Cette liste de mesures à mettre en œuvre n’est évidemment pas exhaustive mais elle démontre que le traitement de données de santé, malgré sa richesse évidente, est extrêmement complexe et d’autant plus pour des professionnels de santé qui n’ont pas une expertise en matière de protection des données.
La CNIL a notamment mis en place des méthodologies de référence afin de permettre aux acteurs de la santé de pouvoir bénéficier des données déjà collectées. En effet, par exemple, la MR 004, issue de la délibération n°2018-155 du 3 mai 2018 permet, pour les recherches n’impliquant pas la personne humaine, cette réutilisation.
Cette possibilité répond tout de même à un certain nombre d’exigence. Dans un premier temps, les personnes concernées doivent être préalablement informées du traitement qui sera fait de leurs données et doivent être avoir été mis en capacité de s’opposer à la transmission des données vers le sponsor de l’étude. Cette information peut passer par le biais d’une information générale qui est affichée dans le centre où le patient est pris en charge et par la remise d’un formulaire de façon individuelle. Il peut également être envisagé de faire apparaitre sur le site internet une liste des études cliniques pour lesquelles le centre participe.
Ensuite, des exigences en matière de sécurité doivent être mis en place, notamment les sponsors de l’étude ne doivent avoir accès qu’à des données pseudonymisées. Les données reçues doivent aussi répondre au principe de minimisation des données, ainsi, il n’est pas possible pour le sponsor de collecter massivement de la donnée.
Pour avoir la liste intégrale des exigences en la matière, nous vous invitons à consulter directement le site de la CNIL.
En tout état de cause, si vous souhaitez avoir des informations complémentaires ou si vous souhaitez bénéficier de la valorisation des données de santé, nous pouvons vous accompagner.
Pour conclure, nous constatons que la valorisation des données est l’enjeu d’aujourd’hui comme de demain. Cette valorisation doit répondre à un certain nombre d’exigence qui nécessite une réelle expertise tant la législation applicable est actuellement changeante. Nous ne sommes pas à l’abri, dans les prochains mois, voire les prochaines semaines, de prendre connaissance de nouvelles décisions en la matière. Nous ne manquerons pas de vous tenir
– Alexis Dessaints