Liste de contrôle
Home » Géolocalisation » Liste de contrôle
Liste de contrôle : [1]

☐ Les développeurs ont fixé les principaux objectifs à atteindre par le dispositif et envisagé les problèmes de protection des données que leur développement et leur mise en œuvre pourraient entraîner.

☐ Les développeurs ont soigneusement examiné si la quantité de données ou le type de traitement nécessaires au bon fonctionnement du service sont compatibles avec les considérations relatives à la protection des données.

☐ Les développeurs peuvent assurer une mise en œuvre adéquate des politiques de vie privée dès la conception. Ils peuvent démontrer comment ils s’alignent sur le RGPD et le cadre réglementaire sur les données de localisation/proximité. Les actions mises en œuvre pour assurer cet alignement ont été soigneusement documentées.

☐ Les développeurs ont examiné les avantages et les inconvénients d’un système centralisé/décentralisé et ont pris une décision éclairée qui peut être soumise à l’examen de l’opinion publique. À cette fin, des consultations avec les principales parties prenantes ont été menées et documentées.

☐ Les développeurs ont consulté les parties prenantes sur les éventuelles questions éthiques et juridiques en jeu.
Liste de contrôle :

☐ Les développeurs ont vérifié que les concepteurs d’outils et tous ceux qui auront à traiter des données ont acquis une connaissance adéquate du cadre de protection des données, ou ils ont assuré une participation adéquate de professionnels formés aux questions de protection des données dans l’équipe de développement.

☐ Les développeurs ont mis en place un programme de formation sur les questions de confidentialité, d’intégrité et de disponibilité des données.

☐ Les développeurs ont fait appel à un expert des utilisations éthiques/juridiques dès les étapes préliminaires du projet de recherche.
Liste de contrôle : base juridique

☐ Les développeurs ont vérifié qu’ils disposent d’une base juridique permettant un traitement licite des données.

☐ Les responsables du traitement ont vérifié le cadre réglementaire européen ou national concernant l’utilisation des données personnelles.

☐ Si les données personnelles sont utilisées à des fins compatibles, le responsable du traitement a effectué le test de compatibilité et s’est assuré que les utilisations sont compatibles.

☐ Si les données sont utilisées dans un but autre que celui initialement recherché, l’outil est conçu pour informer l’utilisateur de cette utilisation.

☐ Cet outil est conçu pour permettre la réutilisation des données à caractère personnel uniquement lorsqu’elle est fondée sur le droit de l’Union ou des États membres qui établit une liste de finalités compatibles claires pour lesquelles le traitement ultérieur peut être légalement autorisé ou constitue une mesure nécessaire et proportionnée dans une société démocratique.
Liste de contrôle : consentement

☐ Les responsables du traitement sont en mesure de démontrer que, après avoir mis en balance les circonstances du traitement, ils ont conclu que le consentement est la base juridique la plus appropriée pour le traitement.

☐ Les responsables du traitement demandent le consentement des personnes concernées de manière libre, spécifique, informée et non équivoque, conformément à l’article 7 du RGPD.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment.

☐ Le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales.

☐ Lorsque le consentement général est utilisé, le responsable du traitement est particulièrement conscient que les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci.

☐ Les responsables du traitement ont une relation directe avec le sujet qui fournit les données.

☐ Le déséquilibre des pouvoirs entre les responsables du traitement et les personnes concernées ne fait pas obstacle au libre consentement. Ceci est particulièrement important dans certains contextes tels que le cadre du travail.

☐ Les contrôleurs demandent aux personnes de s’inscrire activement.

☐ Lescontrôleurs n’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut.

☐ Les contrôleurs utilisent un langage clair et simple, facile à comprendre.

☐ Les responsables du traitement précisent pourquoi ils veulent les données, ce qu’ils vont en faire et pendant combien de temps les données seront traitées.

☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement.

☐ Les responsables du traitement établissent un lien entre les données ou les catégories de données qui seront traitées pour chaque finalité.

☐ Les responsables du traitement ont informé les personnes concernées de leur droit de retirer leur consentement à tout moment et de la manière de le faire.

☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de consentir sans que cela ne porte atteinte à leur accès au service.

☐ Les contrôleurs évitent de faire du consentement une condition préalable à un service.
Liste de contrôle :

☐ Le dispositif ne comprend pas d’outils permettant une utilisation des données d’une manière peu compatible avec la préservation des espaces de confidentialité pertinents.

☐ L’outil tient compte des principes de durabilité environnementale, tant en ce qui concerne le système lui-même que la chaîne d’approvisionnement à laquelle il est relié (le cas échéant).

☐ La configuration par défaut de l’appareil ne permet pas une utilisation disproportionnée des données à des fins de surveillance.

☐ Les responsables du traitement ont veillé à ce que l’outil tienne compte du bien-être de toutes les parties prenantes et une réduction générale de leur bien-être n’est pas du tout prévisible.

☐ Le dispositif n’est pas conçu à des fins qui sont difficilement compatibles avec les principes éthiques propres à l’UE.
Liste de contrôle : une AIPD est-elle nécessaire ?

☐ Le responsable du traitement a déterminé les juridictions où les activités de traitement des données auront lieu.

☐ Le responsable du traitement a vérifié si ces juridictions ont adopté des listes indiquant les traitements qui requièrent une analyse obligatoire de l’impact sur la protection des données et a vérifié si le traitement des données prévu est couvert par ces dispositions.

☐ Si le responsable du traitement n’est pas sûr de la nécessité d’effectuer une analyse de l’impact sur la protection des données, il doit consulter le DPD ou, à défaut, le service juridique du responsable du traitement.

☐ Le cas échéant, le responsable du traitement a procédé à une analyse d’impact sur la protection des données.

☐ Si nécessaire, le responsable du traitement a déposé une consultation préalable auprès de l’autorité de contrôle compétente.

☐ Si des modifications étaient suggérées, le responsable du traitement suivait l’avis de l’autorité de contrôle.

Liste de contrôle : [2]

☐ Le responsable du traitement a évalué les formes potentielles d’attaques auxquelles l’outil pourrait être vulnérable, a introduit des mesures d’atténuation et les a documentées.

☐ Le responsable du traitementa examiné différents types et natures de vulnérabilités, comme la pollution des données, les infrastructures physiques et les cyberattaques.

☐ Le responsable du traitementa mis en place des mesures ou des systèmes pour garantir l’intégrité et la résilience du système contre les attaques potentielles.

☐ Le responsable du traitementa vérifié comment le système se comporte dans des situations et des environnements inattendus.

☐ Le responsable du traitementexamine dans quelle mesure le système pourrait être à double usage. Si c’est le cas, le responsable du traitementa pris des mesures préventives appropriées contre cela.

☐ Le responsable du traitements’est assuré que le système dispose d’un plan de repli suffisant s’il est confronté à des attaques adverses ou à d’autres situations inattendues (par exemple, procédures de commutation technique ou demande d’un opérateur humain avant de poursuivre).

☐ Les données envoyées au serveur central sont transmises par un canal sécurisé. L’utilisation des services de notification fournis par les fournisseurs de plateformes OS est soigneusement évaluée et ne conduit pas à la divulgation de données à des tiers.

☐ Les demandes ne sont pas vulnérables à la falsification par un utilisateur malveillant.

☐ Des techniques cryptographiques de pointe sont mises en œuvre pour sécuriser les échanges entre l’application et le serveur et entre les applications et, en règle générale, pour protéger les informations stockées dans les applications et sur le serveur.

☐ Le serveur central ne conserve pas les identifiants de connexion réseau (par exemple, les adresses IP) des utilisateurs.

☐ Afin d’éviter l’usurpation d’identité ou la création de faux utilisateurs, le serveur authentifie l’application.

☐ L’application authentifie le serveur central.

☐ Les fonctionnalités du serveur sont protégées contre les attaques par rejeu.

☐ Les informations transmises par le serveur central sont signées afin d’authentifier leur origine et leur intégrité.

☐ L’accès à toutes les données stockées dans le serveur central et non accessibles au public est limité aux seules personnes autorisées.

☐ Le gestionnaire d’autorisations de l’appareil au niveau du système d’exploitation ne demande que les autorisations nécessaires pour accéder aux modules de communication et les utiliser, pour stocker les données dans le terminal et pour échanger des informations avec le serveur central.

☐ Lepersonnel et autre personne physique du projet a été informé et sensibilisé aux mesures de sécurité.
Liste de contrôle :

☐ Les responsables du traitement ont mis en œuvre des politiques adéquates pour notifier les violations de données dès que possible et tous les participants au processus de développement en sont bien conscients.

☐ Des modèles concernant les informations à inclure dans les notifications ont été conçus.

☐ Des politiques et des outils de communication, visant à faciliter la communication avec les personnes concernées en cas de violation des données, ont été créés.
Liste de contrôle :

☐ Les responsables du traitement ont mis en place des contrôles supplémentaires pour leurs systèmes de profilage/décision automatisée afin de protéger tout groupe vulnérable (y compris les enfants).

☐ Les informations et les politiques de confidentialité doivent être accessibles par différents moyens (voix, images, vidéo ou dans un langage facile à comprendre). Cela est particulièrement important si le dispositif de localisation est destiné à un groupe d’utilisateurs spécifique.

☐ Le consentement est adapté aux populations vulnérables et aux besoins des enfants.

☐ Des options d’utilisation facilitant l’utilisation du dispositif par les populations vulnérables ont été envisagées.

☐ Si le responsable du traitement est disposé à utiliser les données pour une finalité autre que celle initialement demandée, l’outil est conçu pour demander l’autorisation aux utilisateurs vulnérables d’une manière qui soit compatible avec leurs conditions personnelles.
Liste de contrôle : [3]

☐ Le responsable du traitementa mis en place des moyens de mesurer si l’outil fait un nombre inacceptable de prédictions biaisées.

☐ Le responsable du traitement a mis en place une série de mesures pour accroître la précision de l’outil.

☐ Le responsable du traitement a mis en place des mesures pour évaluer s’il est nécessaire de disposer de données supplémentaires, par exemple pour éliminer les biais.

☐ Le responsable du traitement a vérifié le préjudice qui serait causé si l’outil faisait des prédictions biaisées.
Liste de contrôle[4] :

☐ L’outil est basé sur une architecture reposant autant que possible sur les appareils des utilisateurs.

☐ Les demandes faites par les applications au serveur central ne révèlent pas d’informations inutiles pour les besoins du service au système.

☐ Afin d’éviter la réidentification par le serveur central, des serveurs proxy sont mis en œuvre. Le but de ces serveurs non collaboratifs est de mélanger les identifiants de plusieurs utilisateurs avant de les partager avec le serveur central, afin d’empêcher ce dernier de connaître les identifiants (tels que les adresses IP) des utilisateurs.

☐ L’application et le serveur sont soigneusement développés et configurés afin de ne pas collecter de données inutiles (par exemple, aucun identifiant ne doit être inclus dans les journaux du serveur, etc.
Liste de contrôle[5] :

☐ Conformément au principe de minimisation des données, l’application ne collecte pas de données autres que celles qui sont strictement nécessaires à ses finalités.

☐ Lorsque cela est possible compte tenu de la finalité du traitement, les responsables du traitement donneront la préférence à l’utilisation de données anonymes. Si des données personnelles doivent être utilisées, les données pseudonymes prévaudront sur les données personnelles directes.

☐ L’outil ne collecte que les données transmises par les instances de l’application ou des applications équivalentes interopérables. Aucune donnée relative à d’autres applications et/ou dispositifs de communication de proximité n’est collectée.

☐ Les demandes faites par les applications au serveur central ne révèlent pas d’informations inutiles pour les besoins du service au système.

☐ Les demandes faites par l’outil au serveur central ne révèlent pas d’informations inutiles sur l’utilisateur, à l’exception, éventuellement, et seulement si nécessaire, de ses identifiants pseudonymes et de sa liste de contacts.

☐ L’utilisation de l’application ne permet pas aux utilisateurs d’apprendre quoi que ce soit sur les autres utilisateurs, si cela n’est pas strictement nécessaire.

☐ Le serveur central ne tient pas à jour ni ne fait circuler une liste des identifiants pseudonymes des utilisateurs.
Liste de contrôle[6] :

☐ L’outil ne collecte pas de données autres que celles strictement nécessaires à ses finalités, sauf à titre facultatif et dans le seul but d’aider à la prise de décision d’informer l’utilisateur.

☐ Si l’outil est destiné à la recherche de contacts, il ne permet pas aux utilisateurs d’identifier les mouvements des autres utilisateurs.

☐ En général, aucune donnée ne quitte l’équipement des utilisateurs si elle n’est pas strictement nécessaire.

☐ La conception des dispositifs ou de l’outil tient compte des principes de protection de la vie privée dès la conception et vise à ne pas collecter plus de données que nécessaire.

☐ Si la conception de l’appareil ou des outils permet plusieurs options concernant la collecte et le traitement ultérieur des données, la plus protectrice sera définie par défaut.
Liste de contrôle[7] :

☐ Les responsables du traitement ont clairement identifié leur(s) finalité(s) de traitement, qui doivent être “spécifiques”.

☐ Les responsables du traitement ont documenté ces finalités.

☐ Les responsables du traitement incluent les détails de leurs finalités dans les informations sur la vie privée des personnes, en veillant à ce que la personne concernée soit correctement informée, conformément à l’art. 12-14 duRGPD.

☐ L’outil ne peut pas être détourné par inadvertance de son usage principal.

☐ L’outil n’utilise pas de murs pour collecter des données inutiles

☐ Si le responsable du traitement entreprend un traitement ultérieur de données à caractère personnel, un test de compatibilité a été effectué et documenté afin de respecter le principe de responsabilité. Ce test doit prendre en compte, au minimum, les facteurs énumérés à l’art. 6(4) du RGPD.

☐ Si le responsable du traitement souhaite traiter ultérieurement les données pour une finalité autre que celle initialement obtenue et incompatible avec la finalité initiale, et dans le cas où le consentement est la base légale la plus adéquate, l’outil est conçu pour demander la permission aux utilisateurs. Dans tout autre cas, le responsable du traitement doit trouver la base légale la plus adéquate.

☐ Si l’outil a été conçu pour fonctionner sur des données de proximité, il ne peut pas être utilisé pour tirer des conclusions sur la localisation précise des utilisateurs en fonction de leur interaction et/ou de tout autre moyen.

☐ Si l’outil a été conçu pour travailler sur des données de localisation, il ne peut pas être utilisé pour tirer des conclusions sur l’interaction des utilisateurs avec d’autres personnes ou pour faire des déductions sur d’autres catégories de données en fonction des lieux visités par la personne ou par tout autre moyen.

Liste de contrôle :

☐ L’historique des contacts ou les données de localisation stockées sur le serveur central sont supprimés dès qu’ils ne sont plus nécessaires aux fins du traitement.

☐ La procédure d’effacement des données est conçue de manière adéquate et le responsable du traitement et les utilisateurs en sont bien conscients.

☐ Tout identifiant inclus dans l’historique local est supprimé après X jours de sa collecte (la valeur X étant définie par la finalité du traitement).

☐ Les données contenues dans les journaux des serveurs sont réduites au minimum et sont conformes aux exigences en matière de protection des données.

☐ S’il existe un serveur central et qu’il doit stocker des identifiants de données, ceux-ci doivent être supprimés une fois qu’ils sont distribués aux autres applications, sauf si une raison juridique/technique recommande le contraire.
Liste de contrôle : [8]

☐ Les responsables du traitement revoient régulièrement leurs traitements et, le cas échéant, mettent à jour leur documentation et les informations relatives à la vie privée des personnes.

☐ Les utilisateurs sont informés de toutes les données personnelles qui seront collectées. Ces données ne sont collectées que si une base légale pour le traitement s’applique.

☐ Les responsables du traitement expliquent comment les gens peuvent accéder aux détails des informations qui sont utilisées pour les services offerts par l’outil.

 

Liste de contrôle[9] :

☐ Les utilisateurs peuvent exercer leurs droits via l’application.

☐ Si l’outil a été conçu pour fonctionner sur des données de proximité, il ne peut pas être utilisé pour tirer des conclusions sur la localisation des utilisateurs en fonction de leur interaction et/ou de tout autre moyen.

☐ Si l’outil a été conçu pour travailler sur des données de localisation, il ne peut pas être utilisé pour tirer des conclusions sur l’interaction des utilisateurs avec d’autres personnes.

☐ Si les données sont utilisées à des fins compatibles, le responsable du traitement a effectué le test de compatibilité.

☐ Si le responsable du traitement souhaite utiliser les données dans un but autre que celui initialement recherché, l’outil est conçu pour demander la permission aux utilisateurs.
Liste de contrôle[10] :

☐ Le code source de l’application et de son backend est ouvert, et les spécifications techniques ont été rendues publiques, afin que toute partie concernée puisse auditer le code et, le cas échéant, contribuer à l’améliorer, à corriger les éventuels bugs et à assurer la transparence du traitement des données personnelles.

 

Liste de contrôle : diligence raisonnable du sous-traitant

☐ Si le traitement implique un transfert international de données, les responsables du traitement ont obtenu des informations concernant le lieu où les activités de traitement des données auront lieu et (1) ont procédé à l’examen de la jurisprudence suggéré au point ci-dessous ; et (2) ont évalué si les juridictions, dans le cas de pays non membres de l’UE, sont considérées comme adéquates par la Commission européenne.

☐ Les responsables du traitement ont examiné la jurisprudence des autorités de contrôle nationales où le sous-traitant opère afin de vérifier les sanctions potentielles.

☐ Les responsables du traitementont exigé la preuve de l’adhésion à un code de conduite ou à une certification (ceci n’est pas strictement nécessaire mais peut être considéré comme une bonne pratique).

☐ Les responsables du traitementont exigé la preuve d’une certification ISO pertinente (ceci n’est pas strictement nécessaire mais peut être considéré comme une bonne pratique).

☐ Si un sous-traitant est impliqué, les responsables du traitementdoivent obtenir une copie des registres des activités de traitement.

☐ Les responsables du traitementse sont enquis du processus de développement de l’outil, en particulier du type de données utilisées pour la formation de l’outil et des données dont il a besoin pour fonctionner et fournir un résultat utile.
Liste de contrôle : DPD

☐ Les responsables du traitementont vérifié si l’institution a déjà nommé un DPD.

☐ Si ce n’est pas le cas, ils ont vérifié auprès du service juridique si les activités de traitement des données envisagées nécessitent la désignation d’un DPD, en examinant les interprétations européennes faisant autorité, les réglementations locales, les interprétations locales faisant autorité et la jurisprudence nationale et européenne pertinente.

☐ Les responsables du traitementont exigé la nomination d’un DPD si nécessaire, et son implication dans le processus de développement de l’outil si nécessaire.

☐ En règle générale, le DPD doit être informé de chaque démarche entreprise afin de pouvoir intervenir s’il le juge utile.

 

  1. Cette liste de contrôle a été élaborée sur la base des documents suivants : http://www.oecd.org/coronavirus/policy-responses/tracking-and-tracing-covid-protecting-privacy-and-data-while-using-apps-and-biometrics-8f394636/.
  2. Cette liste de contrôle a été construite sur la base de ces documents : EDPB, Lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie COVID-19 Adoptées le 21 avril 2020 ; Groupe d’experts de haut niveau sur l’intelligence artificielle (2019) Lignes directrices éthiques pour une IA digne de confiance. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai.
  3. Cette liste de contrôle a été adaptée de celle élaborée par le Groupe d’experts de haut niveau sur l’intelligence artificielle (2019) Lignes directrices en matière d’éthique pour une IA digne de confiance. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai (consulté le 20 mai 2020).
  4. Cette liste de contrôle a été élaborée sur la base de celle qui figure dans les lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020, à l’adresse suivante : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf.
  5. Cette liste de contrôle a été élaborée sur la base de celle qui figure dans les lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020, à l’adresse suivante : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf.
  6. Cette liste de contrôle a été élaborée sur la base de celle qui figure dans les lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020, à l’adresse suivante : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf.
  7. Cette liste de contrôle a été construite sur la base de ces documents : EDPB, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak Adopté le 21 avril 2020 ; ICO (no date) Principle (b) : purpose limitation. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse suivante : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consulté le 17 mai 2020).
  8. Cette liste de contrôle a été construite sur la base de ces documents : EDPB, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak Adopté le 21 avril 2020 ; ICO (no date) Principle (b) : purpose limitation. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse suivante : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consulté le 17 mai 2020).
  9. Cette liste de contrôle a été élaborée sur la base des lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020.
  10. Cette liste de contrôle a été élaborée sur la base des lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020.
Aller au contenu principal