Protéger les droits des utilisateurs
Home » Géolocalisation » Protéger la vie privée » Protéger les droits des utilisateurs

Les personnes concernées peuvent invoquer de nombreux droits liés à leurs données, qui sont décrits en détail dans la section correspondante (voir “Droits des personnes concernées” dans la partie II des présentes lignes directrices). En général, les développeurs doivent faire de leur mieux pour concevoir le dispositif ou l’outil de manière à respecter les droits des utilisateurs et à les aider à les exercer. Cela peut se faire, par exemple, en mettant en place un moyen simple d’accéder aux données ou en développant des mesures techniques pour faciliter les droits de portabilité. Toutefois, des restrictions aux droits et obligations prévus dans la proposition de règlement sur la vie privée en ligne et/ou dans le RGPD sont possibles, lorsqu’elles constituent une mesure nécessaire, appropriée et proportionnée dans une société démocratique pour certaines finalités.[1] En général, les dispositifs utilisant des données de localisation et de proximité devraient permettre à leurs utilisateurs d’obtenir un accès à leurs données dans un format lisible par l’homme et permettre la rectification et l’effacement sans collecter de données personnelles excessives.

Quelques conseils concrets pour faciliter la mise en œuvre des droits

Droits

Numéro

Conseil
Droit d’accès Les données sont souvent stockées sous une forme très diversifiée, ce qui rend leur accès difficile, surtout pour une personne concernée non qualifiée. Fournir une fonctionnalité permettant d’afficher toutes les données relatives à une personne concernée. Si les données sont nombreuses, elles peuvent être réparties sur plusieurs écrans. Si les données sont trop volumineuses, offrez à la personne la possibilité de télécharger un fichier contenant toutes ses données.

En ce qui concerne les données de localisation ou de proximité, les responsables du traitement peuvent permettre aux personnes concernées d’accéder aux informations dans des formats utilisables tels que des visualisations de cartes, dans le cas où elles utilisent déjà de tels formats.
Droit de rectification Dans certains cas, les données collectées par le dispositif ne seront pas exactes. Les personnes concernées doivent pouvoir rectifier ces données. Permettre la modification directe des données dans le compte de l’utilisateur (si applicable et/ou possible). Fournir des conseils sur les raisons pour lesquelles cela pourrait ne pas être conseillé dans certaines circonstances.
Droit à l’effacement Les personnes concernées ont le droit de faire supprimer leurs données personnelles. Toutefois, ce droit peut être limité dans certaines circonstances spécifiques. En outre, les utilisateurs doivent être conscients des implications techniques d’un effacement général des données. Ainsi, les responsables du traitement doivent permettre aux personnes concernées d’effacer uniquement les données auxquelles le droit s’applique et présenter certaines informations avant de les autoriser à procéder. Fournir une fonctionnalité permettant d’effacer toutes les données relatives à un individu auxquelles le droit à l’effacement s’applique (et uniquement ces données). En outre, prévoir une notification automatique aux responsables du traitement des données pour qu’ils effacent également ces données. Prévoir l’effacement de ces données dans les copies de sauvegarde, ou fournir une solution alternative qui ne restaure pas les données effacées relatives à cette personne. Introduire une fonctionnalité qui alerte toujours l’utilisateur sur les conséquences de l’effacement.
Droit à la limitation du traitement Il est souvent dans l’intérêt des personnes concernées que les données d’un type particulier ne soient pas traitées. L’outil doit être adapté à leurs préférences si les conditions de l’article 18 du RGPD s’appliquent. Fournir une fonctionnalité qui permet à la personne concernée de s’opposer au traitement de données personnelles spécifiques. Lorsque les personnes concernées exercent leur droit d’opposition de cette manière, l’outil doit supprimer les données déjà collectées et ne doit plus collecter ultérieurement de telles données.
Droit à la portabilité des données Les utilisateurs doivent être en mesure de recevoir les données à caractère personnel qu’ils ont fournies au responsable du traitement à partir de l’appareil sans avoir besoin de compétences techniques avancées. Ils ont également le droit de faire transférer leurs données à un autre responsable du traitement (c’est-à-dire au fournisseur d’un autre service). Remarque : cela n’inclut pas les données recueillies par d’autres moyens, comme des sources externes ou des processus d’analyse ou d’inférence. Fournir une fonction permettant à la personne concernée de télécharger ses données dans un format standard lisible par une machine (CSV, XML, JSON, etc.).

Il est nécessaire de mentionner que le règlement “vie privée et communications électroniques” comprend des droits supplémentaires tels que la confidentialité des communications, l’identification de la ligne appelante, ou des droits visant spécifiquement les données de localisation autres que les données relatives au trafic (voir le chapitre III de la proposition). Les responsables du traitement doivent s’assurer que l’outil ne permet pas une violation de ces droits en introduisant des mesures destinées à limiter l’utilisation des données géospatiales si cela n’est pas essentiel pour le service. Par exemple, “que l’utilisateur final ait ou non empêché l’accès aux capacités GNSS (Global Navigation Satellite Systems) de l’équipement terminal ou à d’autres types de données de localisation basées sur l’équipement terminal par le biais des paramètres de l’équipement terminal, lorsqu’un appel est passé aux services d’urgence, ces paramètres ne peuvent pas empêcher l’accès à ces données de localisation GNSS pour déterminer et fournir la localisation de l’appelant de l’utilisateur final aux services d’urgence une organisation s’occupant des communications d’urgence, y compris les centres de réception des appels de sécurité publique, dans le but de répondre à cet appel” (règlement “vie privée et communications électroniques”, article 13.3). [2]

Liste de contrôle[3] :

 Les utilisateurs peuvent exercer leurs droits via l’application.

 Si l’outil a été conçu pour fonctionner sur des données de proximité, il ne peut pas être utilisé pour tirer des conclusions sur la localisation des utilisateurs en fonction de leur interaction et/ou de tout autre moyen.

 Si l’outil a été conçu pour travailler sur des données de localisation, il ne peut pas être utilisé pour tirer des conclusions sur l’interaction des utilisateurs avec d’autres personnes.

 Si les données sont utilisées à des fins compatibles, le responsable du traitement a effectué le test de compatibilité.

 Si le responsable du traitement souhaite utiliser les données dans un but autre que celui initialement recherché, l’outil est conçu pour demander la permission aux utilisateurs.

 

  1. Voir l’article 15 de la directive “vie privée et communications électroniques” et l’article 23 du RGPD.
  2. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  3. Cette liste de contrôle a été élaborée sur la base des lignes directrices 04/2020 de l’EDPB sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19, adoptées le 21 avril 2020.

 

Aller au contenu principal