Afin de minimiser l’intrusion dans la vie de la personne concernée, il est essentiel que le dispositif soit conçu de manière à bien préserver le principe de limitation de la finalité. Lorsqu’ils traitent des données de localisation ou de proximité, les destinataires ne doivent utiliser ces informations que pour la tâche pour laquelle elles leur ont été fournies. Ils doivent garder à l’esprit que les données qui ont été collectées à des fins “initiales” spécifiques ne doivent être traitées qu’à ces fins initiales, ou à des fins compatibles. Le traitement ultérieur des données est autorisé dans certaines circonstances en vertu du RGPD. Premièrement, lorsque le responsable du traitement recherche une autre base légale, et sous réserve du respect de toutes les autres exigences légales, telles qu’une information transparente et l’octroi des droits des utilisateurs. Deuxièmement, à certaines fins autorisées au préalable, comme la recherche scientifique ou l’archivage. Troisièmement, lorsque le traitement ultérieur a des finalités compatibles. Pour le cas général, le RGPD donne des critères pour déterminer la compatibilité des finalités, ce qui inclut le lien entre le traitement initial et le traitement ultérieur, la nature des données, les attentes de la personne concernée ou l’existence de garanties appropriées (voir art. 6(4) et voir la sous-section “Limitation des finalités” dans la section “Principes”, dans la partie II des présentes lignes directrices).
Si vous envisagez d’offrir une plate-forme publicitaire et/ou un environnement de type boutique en ligne pour des applications qui seront en mesure de traiter les données personnelles résultant de (l’installation et de l’utilisation de) l’application de données géospatiales, indépendamment des fournisseurs d’applications, cela doit être soigneusement expliqué aux utilisateurs. Ceux-ci devraient donner leur consentement explicite à ces fins. Le refus d’un traitement inutile ne doit pas entraîner l’impossibilité d’utiliser l’appareil ou le système. En général, les murs de traçage, c’est-à-dire le type de système qui lie le service au consentement à l’utilisation des données, et qui ne sont pas nécessaires au fonctionnement de l’outil, doivent être soigneusement évités.
Si l’outil a été conçu pour travailler sur des données de proximité, il ne doit pas permettre au développeur ou à un tiers d’utiliser ces données pour tirer des conclusions sur la localisation des utilisateurs en fonction de leur interaction et/ou de tout autre moyen. Si l’outil a été conçu pour fonctionner sur des données de localisation, il ne doit pas permettre au développeur ou à un tiers de tirer des conclusions sur l’interaction des utilisateurs avec d’autres personnes.
Le responsable du traitement doit accorder une attention particulière aux finalités auxquelles la personne concernée ne s’attend pas, comme par exemple le profilage et/ou le ciblage comportemental. Si les finalités du traitement changent de manière significative au point d’être incompatibles avec le traitement initial, le responsable du traitement doit rechercher une nouvelle base légale valable, comme un nouveau consentement spécifique. Par exemple, si une entreprise a déclaré à l’origine qu’elle ne partagerait pas de données personnelles avec un tiers, mais qu’elle souhaite maintenant le faire, ce traitement ne passera probablement pas le test de compatibilité. Par conséquent, considérant que la meilleure base légale dans ce cas est le consentement des utilisateurs, le responsable du traitement doit demander le consentement préalable actif de chaque client pour cette activité de traitement supplémentaire. L’absence de réponse (ou tout autre type de scénario d’exclusion) ne suffit pas. En outre, le responsable du traitement doit offrir une véritable possibilité de retirer le consentement à tout moment, ainsi que la possibilité d’exercer les droits des utilisateurs, tels que l’effacement des données ou la limitation du traitement.
Il est également important de faire la distinction entre le consentement à un service ponctuel et le consentement à un abonnement régulier. Par exemple, afin d’utiliser un service de géolocalisation particulier, il peut être nécessaire d’activer les services de géolocalisation dans l’appareil ou le navigateur. Si cette capacité de géolocalisation est activée, chaque site web peut lire les données de localisation de l’utilisateur de cet appareil mobile intelligent. Afin de prévenir les risques de surveillance secrète, le groupe de travail Article 29 a estimé qu’il était essentiel que le dispositif prévienne en permanence que la géolocalisation est “activée”, par exemple au moyen d’une icône visible en permanence.[1] Cela peut difficilement être considéré comme une exigence obligatoire pour le responsable du traitement, mais c’est certainement une bonne pratique qui doit être recommandée.
Liste de contrôle[2] :
☐ Les responsables du traitement ont clairement identifié leur(s) finalité(s) de traitement, qui doivent être “spécifiques”. ☐ Les responsables du traitement ont documenté ces finalités. ☐ Les responsables du traitement incluent les détails de leurs finalités dans les informations sur la vie privée des personnes, en veillant à ce que la personne concernée soit correctement informée, conformément à l’art. 12-14 duRGPD. ☐ L’outil ne peut pas être détourné par inadvertance de son usage principal. ☐ L’outil n’utilise pas de murs pour collecter des données inutiles ☐ Si le responsable du traitement entreprend un traitement ultérieur de données à caractère personnel, un test de compatibilité a été effectué et documenté afin de respecter le principe de responsabilité. Ce test doit prendre en compte, au minimum, les facteurs énumérés à l’art. 6(4) du RGPD. ☐ Si le responsable du traitement souhaite traiter ultérieurement les données pour une finalité autre que celle initialement obtenue et incompatible avec la finalité initiale, et dans le cas où le consentement est la base légale la plus adéquate, l’outil est conçu pour demander la permission aux utilisateurs. Dans tout autre cas, le responsable du traitement doit trouver la base légale la plus adéquate. ☐ Si l’outil a été conçu pour fonctionner sur des données de proximité, il ne peut pas être utilisé pour tirer des conclusions sur la localisation précise des utilisateurs en fonction de leur interaction et/ou de tout autre moyen. ☐ Si l’outil a été conçu pour travailler sur des données de localisation, il ne peut pas être utilisé pour tirer des conclusions sur l’interaction des utilisateurs avec d’autres personnes ou pour faire des déductions sur d’autres catégories de données en fonction des lieux visités par la personne ou par tout autre moyen. |
- Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 13, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
- Cette liste de contrôle a été construite sur la base de ces documents : EDPB, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak Adopté le 21 avril 2020 ; ICO (no date) Principle (b) : purpose limitation. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse suivante : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consulté le 17 mai 2020). ↑