Boîte à outils gestion responsable de données

3.5 Les accords de partage de données

20-Juin-2023

14 mins

TABLE DES MATIÈRES

3.5.1 Le partage est-il nécessaire ?
3.5.2 Le partage peut-il se faire sans risque ?
3.5.3 Un accord de partage suffit-il ?
- i. Si vous transférez des données vers des partenaires avec un cadre légal similaire au RGPD
- ii. Si vous transférez des données vers des partenaires avec un cadre légal qui n’est pas équivalent au RGPD ?

À retenir

De nombreuses activités des ONG requièrent des partages de données avec d’autres organisation / institutions / autorités. Les accords de partage sont essentiels pour cadrer ces derniers et vous protéger autant que possible de demandes non legitimes, qu’elles viennent de bailleurs de fonds, d’autorités locales ou de partenaires. Attention au cas particulier également des partenariats publics-privés.

Pensez à respecter l’esprit du do no harm dans vos contrats, en particulier le principe de minimisation de données, mais également le fait de vous assurer que vos partenaires ont une maitrise suffisante du sujet pour comprendre les termes et implications du contrat.

Lors d’une intervention humanitaire, les organisations sont souvent amenées à livrer des données personnelles dans le cadre de leurs activités, à leurs parties prenantes (par exemple, leurs partenaires locaux ou leurs bailleurs de fonds). Dans ce cas, elles peuvent faire un transfert (ou partage) de données, c’est-à-dire « communiquer, copier ou déplacer » les données à une autre structure (source : la CNIL).

Les accords de partage de données (on parle généralement de « data sharing agreement» en anglais) sont des contrats qui permettent de clarifier les rôles et responsabilités des organisations impliquées, mais aussi le type de données ciblées.

Vous pouvez vous référer à la note d’orientation n°8 d’OCHA (traduite en français par CartONG) sur les Approches responsables en matière de partages des données pour des éclairages complémentaires pour réfléchir à la sensibilité des données et les facteurs déterminant le partage.

Voici les facteurs clés qu’OCHA recommande de prendre en considération, pour déterminer de partager, ou non, des données non personnelles :

Quelle est l’utilité des données pour les autres parties prenantes ? Déterminer leur niveau de détail, le nombre de personnes ou la zone géographique couverte, leur actualité et leur pertinence pour l’analyse et la prise de décisions dans la réponse humanitaire
À quel point les données sont-elles sensibles ? Les données non personnelles peuvent dans certains contextes, représenter des données sensibles, qui doivent être protégées.

Voici la classification proposée par OCHA :

image info

Quelles sont les capacités humaines et techniques des organisations qui partagent et utilisent les données ? Réfléchir aux moyens humains et techniques et à leur suffisance pour gérer les données de manière responsable
Quels instruments de gouvernance s’appliquent ? Ces instruments doivent préciser la manière dont les données sont partagées pour une gestion responsable

Vous pouvez aussi vous référer à la note d’orientation n°3 d’OCHA (traduite en français par CartONG) sur la Responsabilité des données dans les partenariats public-privé. Ce type de partenariats public-privés concerne généralement la contribution financière, la fourniture de technologies ou leur développement conjoint, l’assistance technique en nature ou encore le partage de données public-privé.

3.5.1 Le partage est-il nécessaire ?

Lors d’une demande de partage de données, la première étape est de vérifier si le partage est nécessaire. Pour accompagner cette démarche, l’ICO (autorité de contrôle britannique) a mis en place la checklist suivante :

Quel est l’objectif du partage ?
Quels sont les avantages et les risques potentiels du partage ou du non-partage pour les personnes concernées ?
Est-il juste de partager des données de cette manière ?
Le partage est-il nécessaire et proportionné à la demande ?
Quelles sont les données minimales que vous pouvez partager pour atteindre l’objectif ?
L’objectif pourrait-il être atteint sans partager de données personnelles, ou en en partageant moins ?
Quelles garanties peuvent-être mises en place pour minimiser les risques ou les effets négatifs potentiels du partage ?
Existe-t-il une exemption applicable dans le RGPD ?

Cette première évaluation permet de s’assurer de la nécessité du transfert.

Notons par exemple que les organisations humanitaires sont souvent sollicitées par les autorités et les gouvernements de leurs zones d’intervention. Bien que cela soit tout à fait normal que les autorités cherchent à savoir ce que les organisations humanitaires font sur leur territoire, il n’empêche que cela ne leur donne pas tous les droits concernant les bases de données personnelles que les ONG ont en leur possession pour fonctionner. Les ONG ont donc besoin de s’interroger sur la légitimité de ces demandes pour savoir comment se positionner et éventuellement suspendre leurs activités de collecte si les risques sont estimés trop importants.

Vous pouvez vous référer à la note d’orientation n°7 d’OCHA (traduite en français par CartONG) sur le Partage responsable des données avec les bailleurs de fonds pour des éclairages complémentaires.

Pour identifier la nature de ces demandes de transferts de données personnelles, voici des exemples de raisons légitimes issues d’une étude de cas du CALP sur le partage de données responsable avec les gouvernements (ressource seulement disponible en anglais) :

Lorsque des populations affectées sont incluses dans un registre social géré par un gouvernement ;
Lorsqu’elle permet d’éviter la duplication des interventions entre les programmes/agences/organisations ;
Lorsqu’il s’agit d’assumer la responsabilité d’une population précédemment desservie par une ou des organisations humanitaires et/ou dans le cadre d’une stratégie de transfert ou de sortie ;
Lorsqu’il s’agit de se conformer aux recommandations mondiales du Groupe d’action financière sur le blanchiment de capitaux (GAFI) ;
Lorsque des organisations humanitaires ou autres sont soupçonnées de corruption et que le gouvernement souhaite procéder à un audit ;
À noter que, même si la raison du partage de données est légitime, il reste indispensable de vérifier si le partage est nécessaire ou non, en amont.

3.5.2 Le partage peut-il se faire sans risque ?

À la suite de la première étape, si la nécessité du partage est avérée, il faut ensuite se poser des questions sur les destinataires du partage, leur contexte légal d’intervention et leur rapport à la protection des données, pour vérifier que celui-ci peut se faire sans risque. Sont-ils soumis au RGPD (voir section Application du RGPD pour en savoir plus) ? À un ou plusieurs autres cadres légaux qui peuvent être questionnant (obligation de partage des données à l’Etat etc) ? Sont-ils soumis à d’autres partenaires et/ou injonctions contradictoires qui peuvent aller à l’encontre de votre devoir de « ne pas nuire », en particulier sur la protection des données ? Avez-vous échangé avec d’autres acteurs à leur sujet, ou déjà entendu parler de situations problématiques les concernant ? Leur niveau de culture des données / appropriation de principes de base de gestion responsable de données vous permet-il de vous assurer que l’esprit de l’accord sera respecté, en principe et en pratique ?

Sur le volet légal par exemple, si une organisation a besoin de transférer des données vers un partenaire local ou international, qui se situe hors UE et non soumis au RGPD, il est essentiel de savoir si les lois du pays dans lequel il se situe ont un niveau de protection des données personnelles équivalent au RGPD. Au-delà d’ailleurs de la localisation du partenaire, si vous allez au bout de ce que nécessite une loi telle le RGPD, vous devriez vérifier le contexte légal de tout pays dans lequel les données transitent (par exemple, si votre outil de partage de données a des serveurs dans un autre pays…).

Plusieurs sites, plus ou moins à jour ou complets, peuvent être regardés pour réaliser cette analyse: la CNIL, DLA Piper (un cabinet suisse d’avocats mettant à disposition un comparatif des lois en protection des données personnelles, exposant les démarches à suivre en cas de transferts de données personnelles entre organisations/partenaires de deux pays différents) (ressource disponible uniquement en anglais), de l’UNCTAD (ressource disponible uniquement en anglais), des recherches de l’université de New South Wales (ressource disponible uniquement en anglais) etc…

Extrait de la carte fournie par DLA Piper ci-dessous :

image info

Dans tous les cas, si la protection des données est considérée insuffisante d’un point de vue légal, alors il est obligatoire de prévoir des « mesures supplémentaires ».

Cela signifie que le partage est possible (si vous ne voyez pas d’autres raisons que des raisons légales de l’interdire), mais il doit être fortement encadré car les risques de violations des données sont plus élevés et que les organisations doivent mettre en place des garanties spécifiques pour les réduire.

Gardez en tête que les données des populations affectées ne sont pas toujours les seules « à risque » - par exemple dans certains contextes où les droits humains ne sont pas respectés - celles de vos salarié·es eux·elles-mêmes peuvent l’être en fonction des acteurs étatiques ou non étatiques présents sur le territoire. Pensez à des situations comme l’Afghanistan, ou la prise de pouvoir par les Talibans leur a donné accès à de nombreuses bases de données mettant à risque de représailles des personnes ayant travaillé en collaboration avec le gouvernement antérieur, que ce soit dans le secteur de la solidarité internationale ou non.

ATTENTION: l’analyse de risques d’un transfert de données, a pour but de vérifier si le transfert contient un niveau de protection des données personnelles suffisant (CNIL) et, si ce n’est pas le cas, pour déterminer les mesures nécessaires pour l’encadrer.
Cette analyse est à différencier de l’analyse d’impact sur la protection des données (AIPD ou “DPIA” en anglaise), qui détermine si la collecte et le traitement de la donnée a un niveau de protection des données personnelles suffisante. Elle porte sur le traitement en lui-même de la donnée, pour identifier les risques et leurs niveaux de gravité, sur la vie privée des personnes concernées du ou des traitement(s) envisagé(s).

Voici un modèle de checklist utilisé par Handicap International/Humanity and Inclusion, qui vous permettra de regarder tous les volets préalables à un transfert de données personnelles : analyse du profil de la structure destinataire, de l’objectif du partage de données, de la présence ou non de données sensibles ; et d’évaluer les risques du transfert et mettre en place les mesures supplémentaires appropriées. Il doit être combiné à une analyse de risques encourus par les populations et des mesures de mitigation.

Vous pouvez également vous référer à ce modèle de « data sharing agreement » issu de Solidarités International (uniquement disponible en anglais) pour clarifier vos transferts de données.

3.5.3 Un accord de partage suffit-il ?

Si le besoin de partage des données est confirmé, une fois sa nécessité examinée et après l’évaluation de son contexte général et de l’identification des risques, l’étape suivante consiste à s’interroger sur le cadre réglementaire qui s’applique au destinataire. Il s’agit de savoir si celui-ci est soumis au RGPD ou à une législation considérée comme « équivalente » par l’UE, ou non, pour déterminer les outils qui accompagneront le partage.

i. Si vous transférez des données vers des partenaires avec un cadre légal similaire au RGPD

En cas de transfert ou partage de données avec une organisation (partenaire, bailleur de fonds, institution publique…) soumise au RGPD ou considérée comme ayant un niveau de protection équivalent (la liste de pays est disponible ici), il est obligatoire d’avoir un accord ou un contrat de partage des données (dans cette partie, nous considérons les deux termes « contrat » et « accord » comme synonymes, afin de ne pas trop entrer dans les subtilités du sujet que nous avons jugé non nécessaires pour évoquer cet aspect du partage).

En effet, il est recommandé, comme bonne pratique de sécurisation de données, d’avoir un accord de partage des données. Il permet :

d’établir les responsabilités de chacune des organisations : qui est responsable de traitement et sous-traitance (Bonne pratique : anticiper et inclure toutes les organisations qui seront impliquées dans le partage et celles qui doivent en être exclues également),
de préciser la ou les finalité des traitements des données : objectif du transfert (pourquoi le transfert est nécessaire pour parvenir à cet objectif) et détail des étapes de chaque traitement de la donnée,
d’identifier le type de données personnelles qui est concerné : données sensibles ou non,
de définir ensemble des procédures : de mettre en place le droit d’accès à leurs données aux populations concernées (Source : ICO, ressource disponible uniquement en anglais).

ATTENTION : un memorandum of understanding simple, sans précision de ces éléments, ne remplit pas la fonction d’accord de partage. Pour rappel, le MoU encadre des relations de travail (par exemple, partenariales), mais n’a pas de valeur juridique contraignante (Source : Ministère français de la culture).

L’ICO a partagé un modèle simple vierge d’accord de partage de données, disponible uniquement en anglais, que vous pouvez utiliser. Reliefweb a partagé un exemple d’accord de partage issu du Programme Alimentaire Mondial, également uniquement en anglais, que nous vous indiquons pour avoir une illustration complémentaire concrète.

ii. Si vous transférez des données vers des partenaires avec un cadre légal qui n’est pas équivalent au RGPD ?

En cas de transfert ou partage de données avec une organisation non soumise au RGPD, ou dont le cadre légal est considéré comme n’ayant pas un niveau de protection équivalent (ce qui est le cas des pays non listés ici) :

Un accord de partage est nécessaire (cf. la sous-section précédente)
En plus de l’accord de partage, des mesures supplémentaires pour réduire les risques sont indispensables pour sécuriser le partage

Parmi les mesures supplémentaires possibles, il y a les clauses contractuelles types : de nombreux modèles de clauses contractuelles types existent, tels les modèles de contrats de transferts créés par la Commission européenne (en annexes). Il existe d’autres outils pour des partages de données hors UE que la CNIL a listé ici. Parmi ces outils, il existe aussi les certifications qui permettent de démontrer le respect de la protection des données et la bonne conformité au RGPD, assurant un niveau de protection adéquat.

Les organisations doivent également s’assurer que le mécanisme de partage inclut l’information aux personnes concernées sur (Source : DLA Piper) :

Les données précises qui seront partagées,
Les destinataires du partage de leurs données,
La raison du transfert,
Le mécanisme de partage qui sera utilisé pour transférer leurs données,
Les obligations du destinataire
Les mesures de sécurité mises en place

Dans tous les cas, au-delà de ce qui est signé dans les contrats/accords de partage, c’est de votre responsabilité vis-à-vis des populations dont vous détenez les données de vérifier le bon respect des accords par les partenaires à qui vous avez fait confiance ou de les accompagner au besoin, par de la formation ou de la sensibilisation ou un suivi de l’accord.