« Droit à la portabilité des données » : quelles implications pour les centres de contact ?

Comprendre l'article 20 de la RGPD

Le droit à la portabilité des données constitue l'une des grandes nouveautés de la RGPD. En effet, il n'était pas mentionné dans la « Directive sur la protection des données » à caractère personnel, prédécesseur de la RGPD ; et jusqu'à maintenant, le droit européen n'a fait que rarement référence à la portabilité des données, et ce principalement dans le secteur des télécommunications. Ce droit ambitieux représente, avec d'autres sections de la RGPD, l'une des premières étapes théoriques donnant au consommateur la propriété par défaut de ses données à caractère personnel. Il lui confère ainsi un plus grand pouvoir car il augmente son éventail de choix. En facilitant le libre jeu du marché, il est également susceptible d'influencer et d'ouvrir le marché dans son ensemble : il favorise l'interopérabilité des services et force les organisations à développer des plateformes plus centrées sur l'utilisateur pour la gestion des données à caractère personnel. Ce nouveau droit pourrait entraîner des coûts considérables pour les organisations, mais il offre également une opportunité stratégique s'il est mis en œuvre correctement.

Alors, qu'est-ce que la portabilité des données ?

La « portabilité des données » est le droit d'une personne de recevoir et de réutiliser des données à caractère personnel à ses propres fins. Les organisations doivent envoyer sur la demande d'un utilisateur une copie des données à caractère personnel qu'il a fournies précédemment, à une autre organisation (même s'il s'agit d'un concurrent). Lorsque cela est techniquement possible, la RGPD encourage la transmission directe des données d'un « responsable du traitement » (la société qui détient les données) à un autre. Les données doivent être fournies dans un format couramment utilisé et lisible par un Système d'Informations, afin que la nouvelle organisation puisse facilement les importer et les utiliser. La première demande de copie des données à caractère personnel traitées est gratuite et la copie doit être fournie dans un délai d'un mois après la demande. Cette éventualité permet bien sûr aux utilisateurs de prendre des décisions éclairées lorsqu'ils souhaitent quitter un responsable du traitement ou changer de prestataire de services en utilisant les mêmes données à caractère personnel. Le droit à la portabilité des données ne s'applique que si le traitement des données est « effectué par des moyens automatisés », il ne concerne donc pas les dossiers papier.

Liens avec le droit d'effacement de la RGPD

Le droit à la portabilité des données est étroitement lié à d'autres articles de la RGPD qui exigent un accès distinct aux données de l'utilisateur. Il convient toutefois de noter que les droits d'accès, de rectification et d'effacement sont différents du droit à la portabilité des données ; il est raisonnable de penser que le responsable du traitement utilise les mêmes processus.

C'est avec le « droit d'accès de la personne concernée » (article 15) que le droit à la portabilité des données présente le plus de similitudes. Cependant, ils diffèrent sur de nombreux points. La première différence, évidente, est la méthode par laquelle l'utilisateur final reçoit les données. Bien que dans les deux cas, un certain niveau de connaissances soit nécessaire, seul le droit à la portabilité des données exige que les données soient fournies dans un format exploitable ; il permet en outre aux utilisateurs de demander que ces données soient transmises à une autre société. Par ailleurs, le droit d'accès a une portée beaucoup plus large : il ne concerne pas seulement les données fournies par l'utilisateur, mais, le cas échéant, la finalité de leur traitement, les catégories de données à caractère personnel concernées (toute information se rapportant à une personne physique identifiée ou identifiable), le destinataire auquel ces données seront divulguées, le profilage, etc.

Quels défis pour les centres de contact ?

Pour la plupart des organisations, ce nouveau droit de transférer des données à caractère personnel entre responsables du traitement crée une charge supplémentaire importante et nécessite des investissements substantiels dans de nouveaux systèmes et processus.  Les organisations doivent créer des mécanismes simples pour mettre ce droit en application (par exemple, des outils de téléchargement direct). Elles doivent également assurer l'interopérabilité du format de données fourni lors d'une demande de portabilité. Enfin, elles doivent avoir mis en place un système pour transmettre les données à d'autres responsables du traitement ainsi qu'un autre pour recevoir les données d'autres responsables du traitement. En parallèle, les organisations auront besoin d'une conception technique efficace pour localiser et transmettre les données des clients « dans les meilleurs délais ».

Les responsables du traitement des données devront mettre en œuvre des processus d'accompagnement afin d'être en mesure de répondre à ces demandes ; certains de ces processus sont d'ailleurs utilisés pour la mise en application d'autres droits. En premier lieu, avant de fournir des données à un utilisateur, les organisations doivent être capables de les identifier. Pour celles qui traitent avec des millions de clients et essaient de rassembler autant de données que possible sur chacune de leurs préférences, cela peut constituer un réel défi. Elles doivent également pouvoir le faire sur tous les canaux, faute de quoi elles courent le risque de ne disposer que de la moitié des informations disponibles.

​​Comment NICE peut vous aider ?

La solution NICE Compliance Center permet à nos clients, grâce au marquage avancé des données et aux API de conformité, de localiser facilement (en quelques clics) les interactions et les métadonnées appartenant à des clients spécifiques sur TOUS les canaux. Ce processus s'applique également aux demandes en masse et aux groupes de clients qui font valoir leur droit à la portabilité. Notre solution ​NICE Compliance Center permet de créer des politiques de masse, au sein desquelles les données peuvent être extraites en une seule fois grâce à une logique puissante. Cela permet à nos clients de localiser et de transmettre efficacement les données clients « dans les meilleurs délais ».

Le deuxième grand défi posé par l'article 20 est de fournir ces données dans un format standard exploitable par un Système d'Informations.  NICE Compliance Center permet d'exporter des données dans les formats CSV et WAV, deux des formats électroniques les plus couramment utilisés et privilégiés par la RGPD. Ces exports peuvent eux aussi être générés en quelques clics.

NICE Compliance Center contient également des journaux d'audit, pour la gouvernance des données, de sorte que toute action effectuée par un utilisateur dans la solution est clairement documentée et que la demande est correctement enregistrée. De plus, le système dispose d'un mécanisme d'approbation : par exemple, lorsqu'un manager est saisi d'une demande d'approbation, il peut décider de proposer au client une offre spéciale pour le fidéliser et éviter qu'il ne parte à la concurrence.

C'est le moment idéal pour nous contacter et en savoir plus sur la manière dont notre solution de conformité NICE Compliance Center peut vous aider.

Share this:
Twitter LinkedIn Facebook Email