Introduction au partage des données personnelles

Toute interaction dans une économie numérique crée d'énormes masses de données qui, si elles sont partagées avec la bonne partie prenante, peuvent permettre à leur propriétaire d'accéder à un large éventail de services. Au niveau mondial, l'accent est mis sur la "protection des données", qui consiste à s'assurer que les données d'un individu sont protégées contre tout accès non autorisé. Il est utile de considérer les données comme une monnaie moderne qui peut être utilisée pour débloquer des services. Ce cadre permet de passer du modèle de la protection des données à celui de la protection des données et de la responsabilisation, où l'utilisateur contrôle ses données (privées et publiques) et peut les partager librement. L'ouverture de l'accès aux données personnelles, aux ensembles de données de référence (données utilisées pour définir et classer d'autres données), aux ensembles de données anonymes et agrégées, aux données d'entraînement et aux modèles relève également de l'autonomisation des données.

Le partage de données personnelles peut prendre la forme d'un partage d'informations d'identification vérifiables ou d'un partage de données granulaires avec le demandeur.

D'une manière générale, nous pouvons identifier trois types de partage de données avec consentement :

• Des informations d'identification vérifiables à l'aide de e-wallets

• Partage de données entre systèmes

• Partage de données par consentement en réseau

• Identifiants vérifiables : Un identifiant vérifiable est un instrument de confiance solide, signé numériquement, lisible par une machine et destiné à servir de preuve aux personnes qui le présentent. Tout certificat/identifiant peut être transformé et présenté comme un identifiant vérifiable (par exemple, un certificat de vaccination, une licence professionnelle, un dossier scolaire, etc. Il est également recommandé de recueillir le consentement du détenteur des données dans le cadre de ce processus. Dans le domaine de la santé, les exemples les plus courants sont le partage des certificats de vaccination, le partage des certifications professionnelles des médecins, etc.

• Partage de données entre systèmes : Dans de nombreux cas, il est nécessaire de partager les données collectées/existantes en interne (au sein de services relevant d'un même organisme, comme le gouvernement) ou au sein d'un groupe d'entités de confiance. Dans ce cas, un processus de partage de données de système à système peut être mis en place sans impliquer le sujet des données. Des API ouvertes de partage de données et un mécanisme d'autorisation permettant de vérifier l'autorisation du demandeur y contribueront. Cette architecture ne devrait être utilisée que dans un environnement de haute confiance. Des exemples courants sont le partage de données de patients entre deux programmes gouvernementaux, etc. (Il est fortement recommandé d'obtenir le consentement du sujet avant le partage des données et d'informer le donneur d'ordre après le transfert).

• Le partage de données en réseau fondé sur le consentement : Dans ce modèle, un réseau facilite l'échange de données entre les fournisseurs de données et les utilisateurs de données par l'intermédiaire du sujet des données (l'utilisateur). Il n'y a pas de stockage centralisé des données et les données circulent en temps réel sur la base d'une demande qui comporte également le consentement de l'utilisateur. Dans ce cadre, l'utilisateur est entièrement en contrôle de la situation. Trois puissants éléments techniques peuvent favoriser le partage de données en temps réel, avec le consentement de l'utilisateur, à savoir les API de partage de données, les schémas de données spécifiques au secteur et la norme de consentement.

Partage transfrontalier de données

Les flux transfrontaliers sont plus simples à travers des méthodes axées sur l'utilisateur, telles que les identifiants, qui n'exigent pas des parties émettrices qu'elles aient conclu des accords bilatéraux ou multilatéraux avec tous les vérificateurs internationaux possibles d'un identifiant. Au lieu de cela, toute entité de vérification potentielle de l’identifiant qui souhaite accéder aux données peut vérifier localement la signature numérique pour accéder aux données personnelles présentées par l'utilisateur. L'entité de vérification doit s'assurer d'avoir accès aux registres de confiance (et les mettre en cache avec les paramètres ttl - time to live), à savoir la liste globale des émetteurs, les clés de vérification et la liste de révocation correspondantes, ainsi que le schéma des données des identifiants, afin d'accepter les identifiants avec une plus grande confiance et une plus grande commodité pour le présentateur.

Le partage de données de système à système dans les cas d'utilisation transfrontalière peut nécessiter un niveau de coordination légèrement plus élevé entre les services gouvernementaux, la mise en place de gestionnaires de consentement internationaux, des cadres juridiques ou réglementaires de soutien, des autorisations de sécurité (pour l'ouverture des ports API) ainsi que l'interopérabilité des systèmes techniques afin d'être couronné de succès.

Les ensembles de données fédérées anonymes peuvent être utilisés pour la recherche transfrontalière et les initiatives de développement grâce à une contextualisation appropriée des données. Veuillez vous référer ici pour des choix de conception supplémentaires afin de permettre et d'accéder à des ensembles de données fédérées anonymes.