Si l’anonymisation n’était pas possible, les responsables du traitement devraient au moins essayer de travailler avec des données pseudonymisées (voir la sous-section “Pseudonymisation” dans “Concepts principaux” de la partie II des présentes lignes directrices). En fin de compte, chaque responsable du traitement doit définir quelles données à caractère personnel sont réellement nécessaires (et lesquelles ne le sont pas) aux fins du traitement, y compris les périodes de conservation des données pertinentes. En effet, les responsables du traitement doivent garder à l’esprit que la nécessité du traitement doit être prouvée avant d’utiliser une quelconque base juridique issue de l’article 6 ou 9, paragraphe 2, du RGPD. Bien que le consentement puisse sembler être le seul fondement juridique qui n’exige pas de nécessité, il implique en fait la nécessité dans une certaine mesure, car un consentement valide aux fins du RGPD est donné pour une finalité spécifique, et le traitement doit être nécessaire par rapport à cette finalité, conformément à l’article 5, paragraphe 1, point c). En d’autres termes, les principes de minimisation des données, de limitation de la finalité et de licéité exigent des responsables du traitement qu’ils veillent à ce que les finalités recherchées par le dispositif ou le système ne puissent être atteintes sans utiliser des données moins personnelles de localisation ou de proximité, ou ces catégories de données avec un degré de détail moindre.

Dans la pratique, l’EDPB a considéré que ce principe signifie que “l’application ne doit pas collecter d’informations non liées ou non nécessaires, qui peuvent inclure l’état civil, les identifiants de communication, les éléments du répertoire de l’équipement, les messages, les journaux d’appels, les données de localisation, les identifiants des appareils, etc. Les données diffusées par les applications ne doivent comporter que des identifiants uniques et pseudonymes, générés par l’application et spécifiques à celle-ci. Ces identifiants doivent être renouvelés régulièrement, à une fréquence compatible avec l’objectif de contenir la propagation du virus, et suffisante pour limiter le risque d’identification et de suivi physique des personnes.”^[1]

En général, pour offrir des services de géolocalisation, la collecte et le traitement des identificateurs d’ensembles de services (SSID) ne sont pas nécessaires. Par conséquent, la collecte et le traitement des SSID sont excessifs aux fins de l’offre de services de géolocalisation basés sur la cartographie de l’emplacement des points d’accès WiFi.^[2]

Encadré 6 : Application de recherche des contacts en cas de pandémie Ce type d’application nous fournit quelques bons exemples de politiques de données qui respectent les règlements sur la protection des données. Voici quelques conseils utiles élaborés par l’ICO : l’échange d’informations entre les appareils ne comprend pas de données personnelles telles que les informations sur les comptes ou les noms d’utilisateur ; les processus de correspondance ont lieu sur l’appareil et ne sont pas entrepris par l’hôte de l’application ou avec l’intervention d’un autre tiers ; et les informations requises pour la fonctionnalité de base des applications de recherche des contacts créées à l’aide de la FTC n’utilisent pas de données de localisation, que ce soit lors de l’échange entre les appareils, du téléchargement vers l’hôte de l’application ou des notifications ultérieures aux autres utilisateurs à partir de l’hôte de l’application.

Liste de contrôle[3] :  Conformément au principe de minimisation des données, l’application ne collecte pas de données autres que celles qui sont strictement nécessaires à ses finalités.  Lorsque cela est possible compte tenu de la finalité du traitement, les responsables du traitement donneront la préférence à l’utilisation de données anonymes. Si des données personnelles doivent être utilisées, les données pseudonymes prévaudront sur les données personnelles directes.  L’outil ne collecte que les données transmises par les instances de l’application ou des applications équivalentes interopérables. Aucune donnée relative à d’autres applications et/ou dispositifs de communication de proximité n’est collectée.  Les demandes faites par les applications au serveur central ne révèlent pas d’informations inutiles pour les besoins du service au système.  Les demandes faites par l’outil au serveur central ne révèlent pas d’informations inutiles sur l’utilisateur, à l’exception, éventuellement, et seulement si nécessaire, de ses identifiants pseudonymes et de sa liste de contacts.  L’utilisation de l’application ne permet pas aux utilisateurs d’apprendre quoi que ce soit sur les autres utilisateurs, si cela n’est pas strictement nécessaire.  Le serveur central ne tient pas à jour ni ne fait circuler une liste des identifiants pseudonymes des utilisateurs.

 

1. EDPB, Lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19 Adopté le 21 avril 2020 ↑
2. Groupe de travail Article 29 (2011) Avis 13/2011 sur les services de géolocalisation sur les appareils mobiles intelligents Adopté le 16 mai 2011. 881/11/FR WP 185, P. 16, à l’adresse : https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. ↑
3. Cette liste de contrôle a été élaborée sur la base de celle qui figure dans les lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020, à l’adresse suivante : https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf. ↑