En général, les dispositifs ne doivent pas entrer en conflit avec la position de la personne concernée en tant que titulaire du droit à la vie privée. Cela signifie qu’en général, les utilisateurs doivent être protégés contre une privation inutile de leur vie privée. Ainsi, un utilisateur ne devrait pas avoir à prendre de mesures pour empêcher le suivi, car l’appareil devrait le fournir par défaut. Si l’outil peut fonctionner sans identification directe des personnes, des mesures appropriées doivent être mises en place pour empêcher la réidentification. En outre, les informations collectées doivent résider sur l’équipement terminal de l’utilisateur et seules les informations pertinentes doivent être collectées en cas d’absolue nécessité.^[1] En général, les données ne doivent être traitées que si elles sont strictement nécessaires.

En outre, un développeur ne doit utiliser que le type de données strictement nécessaire à la finalité du traitement, et afin d’éviter l’utilisation de tout kit de développement logiciel (SDK) tiers collectant des données à d’autres fins. Par défaut, les développeurs doivent s’assurer que l’appareil n’envoie pas de données à des tiers sans en informer la personne concernée. Par exemple, aucun identifiant ne doit figurer dans les journaux du serveur. De même, les informations sur la proximité entre les utilisateurs de l’application doivent pouvoir être obtenues sans les localiser. Ce type d’application ne nécessite pas, et ne devrait donc pas impliquer, l’utilisation de données de localisation (directement ou par combinaison de données), mais uniquement de données de proximité. En revanche, si l’on souhaite connaître la géolocalisation concrète d’un individu, on ne devrait pas avoir accès aux données de proximité en combinant différents ensembles de données. Ainsi, le dispositif devrait être conçu pour éviter un tel scénario par défaut. De manière générale, l’outil ne devrait pas collecter de données supplémentaires qui ne sont pas strictement nécessaires à ses finalités, sauf à titre facultatif et dans le seul but d’aider à la prise de décision d’informer l’utilisateur. Par exemple, si certaines fonctionnalités de l’outil peuvent améliorer l’expérience de l’utilisateur, mais ne sont pas strictement nécessaires au bon fonctionnement de l’outil, par exemple la géolocalisation pour simplifier une recherche géographique, le participant doit pouvoir choisir d’utiliser ou non la géolocalisation pour simplifier la recherche géographique. Dans ces cas, le suivi plus invasif doit être désactivé par défaut, laissant à l’utilisateur la décision d’y adhérer.

Encadré 7. La question de la précision En principe, les données à caractère personnel doivent être exactes. Toutefois, dans le cas des données de localisation ou de proximité, une précision excessive peut menacer la vie privée de la personne concernée ou de tiers. Par conséquent, le développeur de l’outil doit tenter de réduire la précision ou l’exactitude en ce qui concerne les données de localisation au niveau minimum nécessaire pour garantir qu’elles remplissent l’objectif pour lequel elles ont été conçues. Les données de localisation peuvent être très précises (comme la localisation d’un appareil à un coin de rue spécifique) ou plus imprécises (codes postaux, quadrants, une ville ou même un pays). Plus les données sont précises et exactes, plus elles ont tendance à être révélatrices, et plus le risque de ré-identification est grand. Il est particulièrement important d’éviter, dans la mesure du possible, les lieux connus qui sont liés à l’identité d’une personne, tels que son domicile ou son lieu de travail. La raison en est que ces données contribuent souvent à l’identification du sujet. En outre, certains lieux sont particulièrement sensibles en raison de ce qu’ils peuvent révéler sur le propriétaire de l’appareil, comme les hôpitaux, les écoles, les boîtes de nuit, les cliniques d’avortement, les dispensaires ou les organisations et événements politiques. Bien que ces lieux n’augmentent pas toujours les risques de réidentification, ils comportent des risques plus importants d’abus ou d’utilisations inattendues. Par conséquent, il est idéal d’éviter autant que possible l’exactitude dans l’utilisation des données faisant référence à ces lieux.

Liste de contrôle[2] :  L’outil ne collecte pas de données autres que celles strictement nécessaires à ses finalités, sauf à titre facultatif et dans le seul but d’aider à la prise de décision d’informer l’utilisateur.  Si l’outil est destiné à la recherche de contacts, il ne permet pas aux utilisateurs d’identifier les mouvements des autres utilisateurs.  En général, aucune donnée ne quitte l’équipement des utilisateurs si elle n’est pas strictement nécessaire.  La conception des dispositifs ou de l’outil tient compte des principes de protection de la vie privée dès la conception et vise à ne pas collecter plus de données que nécessaire.  Si la conception de l’appareil ou des outils permet plusieurs options concernant la collecte et le traitement ultérieur des données, la plus protectrice sera définie par défaut.

 

1. EDPB, Lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19 Adoptées le 21 avril 2020, p. 7. À l’adresse : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf ↑
2. Cette liste de contrôle a été élaborée sur la base de celle qui figure dans les lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020, à l’adresse suivante : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf. ↑