====== Recommandations RGPD pour la fédération ====== Cette page reprend les conclusions du rapport RGPD réalisé en 2019 pendant le projet SEN1 et disponible ici : https://github.com/consometers/sen1-poc-docs/blob/master/Rapport-RGPD.pdf . Y sont rappelés les définitions et les textes de référence. Cette page vise à permettre la diffusion et suivi de ces recommandations dans les travaux ultérieurs des Consometers. ^ Recommandation ^ Statut ^ Commentaire ^ |1. Parcours d'inscription harmonisé | :?: || |2. Procédure d'information sur le partage de données |:?:|| |3. Suivi des données reçues |:?:|| |4. Droit d'opposition |:?:|| |5. Portabilité|:?:|| |6. Pseudonymisation |:?:|| |7. Relations de sous-traitance|:?:|| |8. Code de conduite |:?:|| ---- ===== RECOMMANDATION 1 ===== Dans le cadre de la fédération, le recueil du consentement peut s'envisager selon deux modalités : - Le consentement est laissé à la charge de l’application « initiale » qui en transfère une preuve à l'application « secondaire », et assume l'ensemble de la responsabilité de traitement. - La demande de consentement est transmise à l'application « secondaire » qui le recueille selon ses propres modalités, puis transmet les données concernées à l'application « initiale ». Dans les deux cas, il sera opportun de disposer d'un parcours d'inscription harmonisé, qui garantisse la validité du consentement exprimé dans chaque outil de la fédération. Pour cela, il pourra être fait appel à un design d'interface graphique (UI designer) et d’expérience utilisateur (UX designer). ===== RECOMMANDATION 2 ===== Dans le cadre de la fédération, il peut être défini une procédure commune de diffusion des données utilisées et de l’information sur le traitement. Ainsi, les nouveaux entrants dans la fédération auraient un cadre clair (modèles et procédures approuvées) leur permettant de mettre en place leur service de manière rapide et contrôlée. ===== RECOMMANDATION 3 ===== Pour chaque application, une attention particulière devra être portée sur la provenance des données. A minima, chaque donnée transférée devra s’accompagner d’une durée de conservation maximale, qui s’imposera aux applications la recevant. A défaut de pouvoir prouver via le protocole de fédération que les données obtenues auprès d'un Responsable de Traitement ont été collectées directement par lui-même (et qu'il a bien respecté ses devoirs au titre du RGPD), il devra être envisagé de s'en assurer au travers d'un Code de Conduite (voir 2.6 Les codes de conduite), et ce avant toute utilisation de donnée à caractère personnel. ===== RECOMMANDATION 4 ===== En cas d’exercice du droit d'opposition, les données d’un traitement qui consiste en la transmission d'information à un tiers cesseront d'être transmises. - Dans le cas d'un sous-traitant, il n'aura plus aucune justification de conserver les données déjà transmises, et devra donc les supprimer. - Dans le cas de co-traitance, le RT étant en communication directe avec la personne concernée (par son obligation d'information), il n'y a pas d'obligation explicite d'arrêt du traitement des données déjà transmises. ===== RECOMMANDATION 5 ===== La portabilité peut être encouragée par la définition d’un format d'export de données commun à toute la fédération. ===== RECOMMANDATION 6 ===== La pseudonymisation peut être une méthode de gestion des données pour la fédération. Cependant il faut mettre en place une procédure explicite de traitement de pseudonymisation, qui désigne les informations supplémentaires ayant été retirées, ainsi que leurs modalités de séparation (technique et organisationnelle), afin de se prémunir contre la levée d’anonymat. ===== RECOMMANDATION 7 ===== Dans le cadre des échanges entre applications via le protocole technique de fédération, il est nécessaire de définir juridiquement la nature de la relation entre les Responsables de Traitement ainsi fédérés. Cette démarche pourrait s'enrichir d'un modèle de document juridique pour la sous-traitance et pour la cotraitance. ===== RECOMMANDATION 8 ===== Les opérateurs de services (applications) de la fédération pourront co-rédiger un code de conduite tel que défini dans le RGPD, afin de clarifier la mise en œuvre du RGPD dans le cadre de la fédération de données d'énergie. À court terme, ce code servira de charte entre les acteurs de la fédération naissante, ainsi que du document explicatif de la philosophie du projet. À moyen terme, le code pourra être soumis à la CNIL pour une approbation juridique, devenant ainsi une marque de sérieux pour les interlocuteurs.