Iñigo de Miguel Beriain et Lorena Pérez Campillo (UPV/EHU)
La dernière section de ce document reproduit partiellement la partie de l’IA écrite à l’origine par Gianclaudio Malgieri et Andrés Chomczyk Penedo (VUB).
Mario Muñoz Organero et Julian Estévez ont apporté une aide précieuse pour les questions techniques.
Cette partie des lignes directrices a été révisée par Elena Gil González, avocate spécialisée en informatique et en protection des données, et finalement validée par Iñaki Pariente, ancien directeur de l’Agence basque de protection des données.
Introduction
“Dans le contexte des services de géolocalisation en ligne fournis par les services de la société de l’information, trois fonctionnalités différentes peuvent être discernées, avec des responsabilités différentes pour le traitement des données à caractère personnel. Il s’agit du responsable des données d’une infrastructure de géolocalisation, du fournisseur d’une application ou d’un service de géolocalisation spécifique et du développeur du système d’exploitation d’un appareil mobile intelligent. Dans la pratique, les entreprises remplissent souvent plusieurs rôles en même temps, par exemple lorsqu’elles combinent un système d’exploitation avec une base de données avec des points d’accès WiFi cartographiés et une plateforme publicitaire”.[1]
Dans cette section des lignes directrices, nous nous concentrons sur les deux derniers types de responsables du traitement : ceux qui sont disposés à fournir une application ou un service de géolocalisation spécifique ou à concevoir le système d’exploitation d’un appareil mobile intelligent.
De même, nous n’abordons pas les questions de protection des données liées au traitement effectué par des tiers en ligne qui permettent le traitement (ultérieur) des données de localisation, comme les navigateurs, les sites de réseaux sociaux ou les moyens de communication qui permettent par exemple la “géolocalisation”. Nous ne considérons pas ici le développement d’un dispositif ou d’un système basé sur des données de localisation ou de proximité. Ces activités sont incluses dans les parties consacrées aux réseaux sociaux et aux services en ligne.
Il est également nécessaire de souligner que les développeurs du système d’exploitation du dispositif mobile intelligent pourraient être le responsable du traitement des données de proximité ou de localisation lorsqu’ils interagissent directement avec l’utilisateur et collectent des données à caractère personnel (par exemple en demandant l’enregistrement initial de l’utilisateur et/ou en collectant des informations de localisation à des fins d’amélioration des services). “Un développeur est également le responsable du traitement des données qu’il traite si l’appareil dispose d’une fonctionnalité de “call home” pour connaître sa localisation. Puisque les développeurs décident dans ce cas des moyens et des finalités d’un tel flux de données, ils sont les responsables du traitement de ces données. Un exemple courant d’une telle fonctionnalité de “call home” est la fourniture automatique de mises à jour du fuseau horaire en fonction de la localisation.”[2]
Ce chapitre des lignes directrices suit la structure de la charte Locus.[3] Il s’agit d’une intention importante visant à créer certains principes internationaux communs pour aider les utilisateurs de données géospatiales à prendre des décisions mieux informées, et à fournir la base de la communication avec les personnes concernées par ces décisions. PANELFIT est heureux de coopérer à un tel effort de collaboration qui a été soutenu à l’origine par les initiatives Benchmark et EthicalGEO. Conformément à la Charte, nous considérons qu’il y a dix principes de base qui doivent être respectés lors de l’utilisation des données de position/proximité : réaliser des opportunités, comprendre les impacts, ne pas nuire, protéger les personnes vulnérables, traiter les biais, minimiser l’intrusion, minimiser les données, protéger la vie privée, empêcher l’identification des individus et assurer la responsabilité. Cette partie des lignes directrices vise à concrétiser ces principes éthiques en conseils juridiques tangibles.
CLAUSE DE NON-RESPONSABILITÉ
Cette partie des lignes directrices a été rédigée à une époque où le règlement sur la vie privée et les communications électroniques n’avait pas encore été adopté. Il se peut qu’au moment de l’utilisation de cet outil, le règlement soit en vigueur. Dans ce cas, il sera nécessaire de prendre en compte les éventuels changements que cela a pu engendrer dans le cadre réglementaire. Quoi qu’il en soit, ce document a tenté d’introduire certaines des principales dispositions incluses dans le projet de règlement “vie privée et communications électroniques”. Ceci parce que, au minimum, nous devons comprendre qu’il s’agit d’exigences éthiques qu’une mise en œuvre correcte du RGPD exige. En ce sens, nous avons introduit dans cette partie des lignes directrices les principales instructions élaborées par l’EDPB à cet égard. [4]
Jusqu’à l’entrée en vigueur du règlement “vie privée et communications électroniques”, une situation fragmentée existera. En effet, les autorités de contrôle sont maintenant confrontées à une situation où l’interaction entre la directive “vie privée et communications électroniques” et le RGPD coexistent et posent des questions quant aux compétences, aux tâches et aux pouvoirs des autorités de protection des données dans les domaines qui déclenchent l’application à la fois du RGPD et des lois nationales transposant la directive “vie privée et communications électroniques”. [5]
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/EN WP 185, P. 12, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/EN WP 185, P. 12, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
- https://ethicalgeo.org/locus-charter/ ↑
- EDPB, Avis 5/2019 sur l’interaction entre la directive “vie privée et communications électroniques” et le RGPD, en particulier en ce qui concerne la compétence, les tâches et les pouvoirs des autorités chargées de la protection des données Adopté le 12 mars 2019, à l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf. ↑
- EDPB, Avis 5/2019 sur l’interaction entre la directive “vie privée et communications électroniques” et le RGPD, notamment en ce qui concerne la compétence, les tâches et les pouvoirs des autorités de protection des données Adopté le 12 mars 2019, à l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf. ↑