La phase initiale de compréhension de l’entreprise est essentielle en termes de protection des données, car elle se concentre sur la compréhension des objectifs du projet du point de vue de l’entreprise, la conversion de ces connaissances en une définition du problème de l’exploration de données, puis l’élaboration d’un plan préliminaire conçu pour atteindre les finalités. C’est un moment crucial puisque la protection des données dès la conception (voir la sous-section “Protection des données dès la conception et par défaut” dans la section “Concepts principaux” de la partie II des présentes lignes directrices) exige que les risques liés à la protection des données soient pris en compte lors de la rédaction de l’analyse de rentabilité et qu’ils soient suivis tout au long du projet. La protection des données dès la conception doit être un état d’esprit établi au sein d’une organisation et d’une équipe de projet.[1]
En pratique, cela signifie que toute personne désireuse de développer un outil TIC utilisant des données géospatiales devrait commencer par se demander quel est l’objectif de cet outil. Cette question est essentielle pour l’élaboration de leur politique de protection des données. Les développeurs de l’appareil doivent savoir dès le départ ce qu’ils attendent de lui. Si l’objectif du dispositif ne peut être atteint sans traiter une quantité disproportionnée de données à caractère personnel, si ces données doivent être conservées pendant des mois ou des années, s’il comporte des risques importants pour la vie privée des utilisateurs, si les garanties nécessaires ne peuvent être mises en place, etc. En outre, certains objectifs peuvent entrer en conflit avec les principes clés du RGPD ou de la Charte des droits fondamentaux de l’UE. Cela pourrait se produire, par exemple, lorsque les données de localisation/proximité sont utilisées pour recueillir par inadvertance des données sensibles, telles que les convictions religieuses de la personne concernée. Par exemple, en 2017, une “carte thermique mondiale” interactive montrant les mouvements des utilisateurs de l’application de fitness Strava a révélé par inadvertance l’emplacement du personnel militaire déployé dans des lieux classifiés[2] . Cet incident met en lumière certaines des questions juridiques et éthiques plus larges associées au partage de données ouvertes et au partage de données publiques par défaut. L’activation automatique de la géolocalisation sans intervention humaine doit être soigneusement évitée, car elle provoquerait un traitement illégal des données.
Encadré 1 : Exemples de différents dispositifs utilisant des données de localisation ou de proximité, et leurs conséquences en termes de traitement des données et de protection des données.
Ce n’est pas la même chose de concevoir un dispositif destiné à protéger une personne atteinte d’un certain niveau de démence et un dispositif destiné uniquement à permettre à une personne en bonne santé de savoir quels déplacements elle a effectués au cours des derniers mois. Les premières nécessiteront probablement l’utilisation d’outils capables de déterminer leur position très précisément, tandis que les secondes se contenteront d’une localisation moins précise. Les premiers utiliseront des données personnelles plus détaillées que les seconds. De même, certains produits nécessiteront des technologies qui n’auront pas besoin de préciser le temps que l’utilisateur passe dans tous les lieux concrets, alors que d’autres le feront (comme dans le cas de la personne atteinte de la maladie d’Alzheimer sévère). En outre, la conception de l’outil doit toujours prévoir des options permettant une utilisation proportionnelle des données. Même dans le cas d’une personne souffrant de la maladie d’Alzheimer, il devrait être possible de graduer l’utilisation des données géospatiales en fonction de ses besoins réels. Enfin, un développeur doit savoir dès le premier instant s’il est nécessaire de conserver les données recueillies pendant des périodes plus ou moins longues. Un appareil qui veut seulement savoir si son utilisateur s’est rendu à un endroit où une prolifération de virus a été détectée n’aura probablement besoin de conserver les données de localisation que pendant quelques jours, tandis qu’un autre qui veut rendre compte des déplacements effectués au cours des derniers mois devra conserver les données beaucoup plus longtemps. Chacune de ces variantes aura des implications majeures en termes de protection des données à caractère personnel. Ce qui est indéniable, c’est que les développeurs peuvent difficilement définir leur politique de protection des données s’ils n’ont pas défini de manière adéquate l’objectif du dispositif à développer. |
Les développeurs doivent être particulièrement conscients du fait que, parfois, toute augmentation marginale en termes de précision de la localisation ou de la recherche des contacts entraîne une augmentation significative de la quantité de données personnelles nécessaires.[3] Par exemple, la localisation basée sur le code postal est beaucoup moins précise et donc moins envahissante pour la vie privée que les systèmes de localisation exacte. Le premier peut suffire pour annoncer des restaurants locaux à des personnes de passage, tandis que le second sera nécessaire pour un service calculant le trajet le plus court en vélo entre deux points. Par conséquent, si les responsables du traitement des données envisagent une modification fondamentale du niveau de précision de la localisation ou du traçage requis, ils doivent examiner attentivement si cela est compatible avec le principe de minimisation des données (voir “Principe de minimisation des données” dans la partie II, section “Principes” des présentes lignes directrices. Vous trouverez plus de détails à ce sujet dans la section “Minimisation des données” ci-dessous dans la présente partie IV.
Enfin, les développeurs doivent décider si le produit mettra en œuvre une approche centralisée ou décentralisée. Les deux options doivent être considérées comme viables, à condition que des mesures de sécurité adéquates soient mises en place, chacune étant accompagnée d’un ensemble d’avantages et d’inconvénients. Toutefois, on considère généralement que les systèmes décentralisés respectent mieux la vie privée des utilisateurs. En effet, le point de départ du traitement des données devrait être les systèmes décentralisés qui cherchent à transférer le traitement sur les appareils des individus lorsque cela est possible. Des garanties et des mesures de sécurité doivent accompagner ces systèmes, ainsi que des informations et toutes les garanties supplémentaires nécessaires en cas de transferts internationaux de données.[4]
Ainsi, la phase conceptuelle du développement d’un dispositif ou d’un système devrait toujours inclure un examen approfondi de ces concepts alternatifs en pesant soigneusement les effets respectifs sur la protection des données/de la vie privée et les impacts possibles sur les droits des individus.[5] Si les développeurs optent pour le système centralisé, les données traitées par le serveur centralisé devraient en général être limitées au strict minimum.
Chaque fois que cela est possible et pertinent, les parties prenantes doivent être consultées sur les questions éthiques et juridiques qu’elles estiment être en jeu et sur la manière dont ces questions doivent être traitées. Les parties prenantes consultées doivent inclure des représentants des principaux groupes qui seront affectés par le système – directement ou indirectement. De cette façon, un éventail suffisamment diversifié d’idées et de préférences éclairera les choix de conception.
Liste de contrôle : [6]
Les développeurs ont fixé les principaux objectifs à atteindre par le dispositif et envisagé les problèmes de protection des données que leur développement et leur mise en œuvre pourraient entraîner. Les développeurs ont soigneusement examiné si la quantité de données ou le type de traitement nécessaires au bon fonctionnement du service sont compatibles avec les considérations relatives à la protection des données. Les développeurs peuvent assurer une mise en œuvre adéquate des politiques de vie privée dès la conception. Ils peuvent démontrer comment ils s’alignent sur le RGPD et le cadre réglementaire sur les données de localisation/proximité. Les actions mises en œuvre pour assurer cet alignement ont été soigneusement documentées. Les développeurs ont examiné les avantages et les inconvénients d’un système centralisé/décentralisé et ont pris une décision éclairée qui peut être soumise à l’examen de l’opinion publique. À cette fin, des consultations avec les principales parties prenantes ont été menées et documentées. Les développeurs ont consulté les parties prenantes sur les éventuelles questions éthiques et juridiques en jeu. |
- Rapports techniques du JRC, Lignes directrices pour les administrations publiques sur la confidentialité de la localisation, à l’adresse suivante : https://publications.jrc.ec.europa.eu/repository/handle/JRC103110. ↑
- Voir : The Strava Heat Map and the End of Secrets, Wired, 2018, à l’adresse suivante : https://www.wired.com/story/strava-heat-map-military-bases-fitness-trackers-privacy/. ↑
- Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo, p.20. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consulté le 28 mai 2020). ↑
- Denham, Elizabeth, Commissaire à l’information du Royaume-Uni, Combatting COVID-19 through data : some considerations for privacy, à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/04/combatting-covid-19-through-data-some-considerations-for-privacy/. ↑
- EDPB, Lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19 Adopté le 21 avril 2020 ↑
- Cette liste de contrôle a été élaborée sur la base des documents suivants : http://www.oecd.org/coronavirus/policy-responses/tracking-and-tracing-covid-protecting-privacy-and-data-while-using-apps-and-biometrics-8f394636/. ↑