Avant de commencer le développement d’un système IdO, les développeurs doivent avoir clairement à l’esprit sesobjectifs principaux et ses éventuels objectifs secondaires et utilisations. Il peut arriver qu’un tel objectif ne soit pas compatible avec les normes éthiques et juridiques de l’UE (comme, par exemple, la Charte des droits fondamentaux de l’Union européenne). Si le système prive ou réduit la capacité des personnes concernées à prendre librement des décisions concernant leur vie, s’il prend des décisions concernant les libertés fondamentales sans aucune forme de contrôle humain ou de possibilités de recours, si le système est fondé sur la nécessité de créer une sorte de dépendance, etc.
Il se peut aussi que l’objectif du système IdO implique une utilisation disproportionnée des données à caractère personnel, ce qui va à l’encontre du principe de minimisation et rend difficile le respect du cadre juridique applicable. En outre, les développeurs doivent également garder à l’esprit que le traitement des données dans l’IdO peut également concerner des personnes qui ne seront pas des abonnés ou des utilisateurs de leur technologie[1] . Ce scénario crée des risques liés au fait que certaines personnes concernées pourraient ne pas être conscientes que leurs données sont traitées. En outre, “si le responsable du traitement envisage un “modèle” dans lequel il prend uniquement des décisions automatisées ayant un impact élevé sur les personnes sur la base de profils établis à leur sujet et qu’il ne peut pas s’appuyer sur le consentement de la personne, sur un contrat avec elle ou sur une loi l’autorisant, le responsable du traitement ne doit pas poursuivre.”[2] Enfin, les développeurs doivent évaluer si le projet est acceptable selon les normes éthiques, bien qu’il soit conforme aux obligations légales.
En résumé, les développeurs doivent analyser soigneusement l’impact possible de la technologie et les mesures appropriées à concevoir pour garantir la protection des données, la vie privée et les autres droits, tels que définis par la Charte des droits fondamentaux de l’Union européenne et le cadre juridique connexe En ce qui concerne la protection des données et la vie privée, si l’analyse montre que le traitement ne sera pas acceptable sur la base de la Charte des droits fondamentaux de l’Union européenne, du RGPD et du cadre ePrivacy, le projet ne doit pas être approuvé.
| Encadré 1 : Les lunettes intelligentes
Le WP Art. 29 attire l’attention sur cette question avec l’exemple suivant : “les dispositifs portables comme les lunettes intelligentes sont susceptibles de collecter des données sur d’autres personnes concernées que le propriétaire du dispositif”. Il est important de souligner que ce facteur n’empêche pas le droit européen de s’appliquer à de telles situations. L’application des règles de l’UE en matière de protection des données n’est pas conditionnée par la propriété d’un appareil ou d’un terminal, mais par le traitement des données à caractère personnel lui-même.” Si les développeurs sont prêts à créer un tel dispositif, ils doivent être conscients du fait que le RGPD exige un traitement équitable et licite de toutes les données personnelles recueillies. Cela inclut, entre autres, la condition d’une base juridique valide pour un traitement, la limitation de la finalité, la minimisation des données, la limitation de la conservation des données, la qualité et la sécurité des données, les droits des personnes concernées et la supervision indépendante. Le RGPD introduit également le principe de responsabilité comme une obligation primordiale de s’efforcer de respecter pas seulement la lettre de la loi. Il fournit également des instruments et des outils concrets pour parvenir à la responsabilisation, avec une approche fondée sur le risque mise en œuvre notamment dans les analyses d’impact sur la protection des données (AIPD), la protection des données dès la conception et par défaut, la nomination d’un délégué à la protection des données ainsi que le respect des codes de conduite et des mécanismes de certification existants. Les développeurs doivent prendre en compte toutes ces questions essentielles dès les premières étapes du développement de leur projet, afin d’éviter des efforts inutiles, si la conformité au cadre juridique de la protection des données ne peut être garantie. |
En outre, une idée claire du projet aidera à déterminer, dès les premières étapes du développement, d’autres questions juridiques relevant de la législation sur la protection des données, telles que la nécessité éventuelle de transferts internationaux de données, l’existence de responsables conjoints du traitement ou de sous-traitants, qui doivent être soigneusement sélectionnés, ou les mesures de sécurité et organisationnelles visant à minimiser les risques.
Ce document analysera plus en détail les principales obligations en matière de protection des données.