Réflexions sur la tri-datation : cas des mineurs dans la réglementation GDPR

La tri-datation est un concept qui m’est un peu trop personnel : je ne manque pas une occasion de le partager.

La GDPR illustre bien la nécessité de jongler avec 3 dates, de ne pas les confondre, et ne pas se contenter d’une seule date à tout faire. Car dès lors qu’il n’y a qu’une date, ce dont on se satisfait bien souvent, il peut y avoir confusion et, de fait, absence de synchronisation des systèmes. Pour un SI « data centric » c’est un défaut majeur, un gêne manquant.

Rappelons les 3 dates :

  • date de fait
  • date de vision
  • date de mise en qualité

Prenons maintenant le cas du consentement d’une personne à un traitement. La réglementation doit que ce consentement peut être donné, et surtout retiré « à tout moment ». Il y a donc bien une date de fait du consentement ou de son retrait. En général, le consentement est applicable immédiatement : il n’y a pas de date de vision.

Par contre dans le cas du mineur, en pratique, dès l’instant ou celui-ci devient majeur, il prend lieu et place de la personne qui était son « représentant légal » auparavant. En pratique ce serait stupide de ne pas anticiper cette bascule, de ne pas la préparer en temps utile : il faut donc prévoir ce fait, en relation avec la date de majorité : disposer d’une date de vision et d’une date de fait, pour anticiper sur le consentement du mineur. La double datation est une nécessité fonctionnelle pour répondre à ce besoin.

Supposons enfin qu’une personne, au delà du cas du mineur, puisse exprimer ses consentements par plusieurs canaux : sur site, par courrier, auprès d’un agent, etc… Il est possible qu’il le fasse à des instants différents, bien que concernant des dates de validité identiques (voir des dates de vision identiques dans le cas d’un mineur passant à majorité). Il faudra donc bien identifier d’une part la source d’expression, et d’autre part l’instant qui authentifie cette demande. Voilà donc une troisième date qui ne concerne ni le fait, ni la vision. Selon les règles de la GDPR, il faudra tracer toutes ces demandes, les canaux et les dates correspondantes : le modèle de données du « puits des demandes » doit accepter cette tri-datation.

La simplicité, et la force, de ce modèle générique de tri-datation est qu’il s’applique partout, et constitue donc une loi (ou plutôt un axiome) universelle.

Dans cet exemple, est on est bien sur des fondamentaux « data » : cette base créée, il devient possible de synchroniser ou désynchroniser à loisir le flux des exigences de consentement, persisté dans un puits des consentement, et les flux ou lots de traitements, qu’ils soient activés de façon unitaire, avec ou sans latence, ou regroupés par lots.