Examiner quelle base juridique permettra le traitement des données personnelles par le dispositif ou le système
Home » Géolocalisation » Saisir les opportunités – compréhension de l’entreprise et plan de protection des données » Examiner quelle base juridique permettra le traitement des données personnelles par le dispositif ou le système

Les dernières versions du règlement “vie privée et communications électroniques” comprennent plusieurs bases juridiques qui pourraient servir à légitimer le traitement des données. En général, le consentement continuera probablement à jouer un rôle clé dans le traitement des données par le biais des communications électroniques. Cependant, l’article 8 de la version du règlement “vie privée et communications électroniques” du Conseil[1] inclut des bases alternatives pour l’utilisation des capacités de traitement et de stockage des équipements terminaux et la collecte d’informations à partir des équipements terminaux des utilisateurs finaux, concernant même leurs logiciels et matériels :

  • A) il est nécessaire dans le seul but de fournir un service de communication électronique ;
  • C) il est strictement nécessaire pour fournir un service spécifiquement demandé par l’utilisateur final ;
  • D) elle est nécessaire aux seules fins de la mesure d’audience, à condition que cette mesure soit effectuée par le fournisseur du service demandé par l’utilisateur final, ou par un tiers, ou par des tiers conjointement pour le compte du fournisseur du service demandé ou conjointement avec lui, à condition que, le cas échéant, les conditions prévues aux articles 26 ou 28 du règlement (UE) 2016/679 soient remplies ;
  • DA) il est nécessaire de maintenir ou de rétablir la sécurité des services de la société de l’information ou de l’équipement terminal de l’utilisateur final, d’empêcher la fraude ou de prévenir ou détecter les défaillances techniques pendant la durée nécessaire à cette fin ; ou
  • E) il est nécessaire de procéder à une mise à jour du logiciel, sous réserve de certaines circonstances.

Si le traitement implique uniquement la collecte d’informations émises par l’équipement terminal de l’utilisateur final pour lui permettre de se connecter à un autre dispositif et, ou à un équipement de réseau, il est autorisé si des conditions telles que celles incluses dans l’article 8.2 du projet de règlement “vie privée et communications électroniques” s’appliquent (c’est-à-dire (a) qu’elle est effectuée exclusivement pour, et seulement pendant le temps nécessaire, établir ou maintenir une connexion ; ou (b) que l’utilisateur final a donné son consentement ; ou (c) qu’elle est nécessaire à des fins statistiques limitées dans le temps et l’espace à ce qui est nécessaire à cette fin et que les données sont rendues anonymes ou effacées dès qu’elles ne sont plus nécessaires à cette fin, (d) qu’elle est nécessaire pour fournir un service demandé par l’utilisateur final.) et que les garanties correspondantes ont été mises en œuvre avec succès (voir l’article 8, paragraphe 2, point d), du projet de règlement “vie privée et communications électroniques”[2] .

Encadré 2 : réutilisation des données personnelles

L’une des questions les plus controversées en termes de protection des données est la réutilisation des données personnelles et la possibilité de procéder à un traitement licite sur cette base. Cette question a fait l’objet d’une analyse approfondie dans des documents tels que l’avis conjoint EDPB-CEPD 03/2021 sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (Data Governance Act). En bref, l’EDPB et le CEPD réitèrent que tout traitement de données à caractère personnel tel que mentionné dans la proposition doit se faire en pleine conformité avec le RGPD, et donc accompagné de garanties appropriées en matière de protection des données. Cela signifie que la réutilisation des données à caractère personnel doit toujours respecter les principes de licéité, de loyauté et de transparence, ainsi que la limitation de la finalité, la minimisation des données, la précision, la limitation du stockage, l’intégrité et la confidentialité, conformément à l’article 5 du RGPD(73). Le projet de règlement ePrivacy du Conseil comprend une clause consacrée à cette question, l’article 8, (g) et (h).

Par ailleurs, il peut également arriver que les données soient finalement traitées sur une base juridique alternative, telle que l’intérêt public. Cela n’est pas du tout impossible si les circonstances le recommandent et si le traitement est fondé sur le droit de l’Union ou des États membres qui prévoit des mesures appropriées et spécifiques pour sauvegarder les droits et libertés de la personne concernée. Toutefois, les développeurs doivent garder à l’esprit que ces bases alternatives ne sont applicables que si le responsable du traitement est une autorité publique. En outre, la réglementation de l’intérêt public peut être différente dans chaque État membre. Les responsables du traitement doivent être bien conscients de ces circonstances.

D’autre part, les données à caractère personnel peuvent être réutilisées à des fins compatibles avec celles pour lesquelles elles ont été initialement collectées. Ainsi, en principe, le développeur pourrait utiliser des données déjà disponibles pour développer l’appareil, sans collecter de nouvelles données. Toutefois, le responsable du traitement doit s’assurer et documenter soigneusement que cette finalité est bien compatible avec la finalité initiale(voir “Protection des données et recherche scientifique” dans la partie II, section “Concepts principaux” des présentes lignes directrices).[3]

Par ailleurs, les données personnelles peuvent également être réutilisées après avoir été soumises à un processus d’anonymisation. En d’autres termes, les données personnelles existant précédemment peuvent être transformées en données non personnelles. Le traitement n’entre donc pas dans le champ d’application du RGPD. Il peut encore relever du règlement relatif à la vie privée en ligne lorsqu’il entrera en vigueur. Dans ce cas, l’utilisation ultérieure de données anonymes sera autorisée. À cet égard, le responsable du traitement doit garder à l’esprit que le procédé technique consistant à soumettre les données personnelles à une technique d’anonymisation constitue en soi un traitement de données personnelles. Ce traitement peut être considéré comme compatible avec la finalité initiale du traitement à condition que le procédé produise des informations véritablement anonymisées, au sens défini par l’ancien groupe de travail Article 29.[4] (Voir les sections “Anonymisation” et “Pseudonymisation” dans la partie “Concepts principaux” des présentes lignes directrices).

La base juridique qui constitue le fondement légal de l’utilisation des données de localisation/proximité devrait, en tout état de cause, comporter des garanties significatives. Une spécification claire de la finalité et des limitations explicites concernant l’utilisation ultérieure des données à caractère personnel doit être incluse, ainsi qu’une identification claire du ou des responsables du traitement concernés. Les catégories de données ainsi que les entités (et les finalités pour lesquelles les données personnelles peuvent être divulguées) doivent également être identifiées. Si les données sont utilisées à plusieurs fins, le responsable du traitement doit indiquer quelles catégories de données sont utilisées et à quelles fins. En plus de tout ce qui précède, il est important d’établir et de communiquer la période de temps pendant laquelle les données seront conservées. En outre, les informations ne doivent pas être utilisées pour déterminer la nature ou les caractéristiques d’un utilisateur final ou pour établir le profil d’un utilisateur final. En fonction du niveau d’ingérence, des garanties supplémentaires doivent être intégrées, en tenant compte de la nature, de la portée et des finalités du traitement. Voir, à ce sujet, l’article 8 du règlement “vie privée et communications électroniques”.

Liste de contrôle : base juridique

 Les développeurs ont vérifié qu’ils disposent d’une base juridique permettant un traitement licite des données.

 Les responsables du traitement ont vérifié le cadre réglementaire européen ou national concernant l’utilisation des données personnelles.

 Si les données personnelles sont utilisées à des fins compatibles, le responsable du traitement a effectué le test de compatibilité et s’est assuré que les utilisations sont compatibles.

 Si les données sont utilisées dans un but autre que celui initialement recherché, l’outil est conçu pour informer l’utilisateur de cette utilisation.

 Cet outil est conçu pour permettre la réutilisation des données à caractère personnel uniquement lorsqu’elle est fondée sur le droit de l’Union ou des États membres qui établit une liste de finalités compatibles claires pour lesquelles le traitement ultérieur peut être légalement autorisé ou constitue une mesure nécessaire et proportionnée dans une société démocratique.

 

  1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  2. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  3. EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act), 77.
  4. Groupe de travail Article 29, Avis 5/2014 sur les techniques d’anonymisation. Adopté le 10 avril 2014, p-7-8., à l’adresse https://iapp.org/media/pdf/resource_center/wp216_Anonymisation-Techniques_04-2014.pdf.

 

Aller au contenu principal