Le chapitre III du RGPD prévoit un ensemble de droits que les personnes concernées peuvent exercer pour protéger leurs données personnelles. Bien que chaque droit comporte des détails et des questions spécifiques qui pourraient affecter et être affectés par la recherche et le développement des TIC (voir la section “Traitement à des fins de recherche scientifique” dans “Principaux outils et actions”, partie II des présentes lignes directrices), ils partagent tous certaines caractéristiques générales concernant leur information transparente, leur communication et leurs modalités d’exercice (article 12 du RGPD). Dans cette section, nous analysons chaque droit spécifique à la lumière du développement d’un système IdO. Nous avons déjà analysé le droit à l’information (voir la section “Transparence” de cette partie des Lignes directrices) et le droit de ne pas être soumis à une prise de décision automatisée a été largement abordé dans la section “Capacité d’action humaine” de cette partie des Lignes directrices.

En général, la plupart de ces droits sont difficiles à mettre en œuvre dans le cas de l’IdO, en raison de la nature pure de la technologie, qui repose sur la vitesse élevée des données fournies par différents systèmes et dispositifs. Les techniques continues d’agrégation et de profilage, ainsi que la création continue de données déduites, contribuent à entraver les droits tels que l’accès, la portabilité et l’effacement. En outre, dans le cadre de l’IdO, il est assez courant de trouver différents responsables du traitement et sous-traitant des ensembles de données agrégées qui sont stockées par le biais de l’informatique en nuage dirigée par un superviseur, qui joue le rôle de responsables du traitement ou de sous-traitants conjoints.

Les contrats qui régissent ces interactions sont complexes et à plusieurs niveaux. Par conséquent, la répartition des rôles et des responsabilités devient difficile dans la pratique. Même si, en théorie, les contrats devraient clarifier toutes ces questions, “en réalité, ce sont les sous-traitants qui rédigent les clauses contractuelles standard et les instructions de traitement, car ils traitent les données pour le compte de nombreux responsables du traitement et ne disposent pas d’instructions de traitement distinctes pour chaque responsable du traitement. Il est donc difficile pour les responsables du traitement de se conformer aux exigences contractuelles et au principe de responsabilité prévu par le RGPD, car ils ne sont pas pleinement conscients de tous les sous-traitants et sous-traitants secondaires. En outre, les relations contractuelles complexes à plusieurs niveaux entre les parties prenantes de l’IdO rendent plus difficile la revendication de la responsabilité d’un dommage causé aux personnes concernées par des dispositifs IdO ou des algorithmes analytiques.”^[1] En outre, certaines parties peuvent rédiger des contrats en se positionnant dans un rôle différent de celui qui s’applique réellement à elles (voir la section “Définir les rôles de protection des données joués par tous les agents impliqués dans le traitement : détermination des responsables du traitement et des sous-traitants” dans cette partie sur l’IdO).

Différents outils ont été proposés pour faire face à ces problèmes et l’approche du “système de gestion des informations personnelles” (“PIMS”) a été promue par le contrôleur européen de la protection des données.^[2] L’utilisation des techniques de blockchain pour concevoir des contrats intelligents fondés sur le RGPD qui tiennent compte de la vie privée afin d’améliorer la responsabilité des dispositifs IdO, qui sont des responsables du traitement ou des sous-traitants de données des utilisateurs, pourrait être une alternative adéquate, car ils n’ont pas besoin de contrôleur général ou de responsabledes données. Cependant, la blockchain pourrait présenter des inconvénients en termes de droits et de libertés des personnes concernées, car le fait qu’ils soient propriétaires de nœuds en ferait des “responsables du traitement” et, par conséquent, ils auraient des obligations et des responsabilités en vertu du RGPD.^[3]

Même s’il n’existe pas de solutions techniques définitives à ces questions complexes, les développeurs de l’IdO doivent faire de leur mieux pour s’assurer que les systèmes sont capables de respecter les droits et libertés des personnes concernées. Les domaines de la conception informatique tels que les technologies d’amélioration de la confidentialité (PETS), l’ingénierie de la confidentialité, la confidentialité utilisable et l’interaction des données humaines ont tous des méthodologies et des cadres à proposer.^[4]

1. El-Gazzar, R., & Stendal, K. (2020). Examiner comment le RGPD défie les technologies émergentes. Journal of Information Policy, 10, 237-275. doi:10.5325/jinfopoli.10.2020.0237. ↑
2. Contrôleur européen de la protection des données (2016) Avis sur les systèmes de gestion des informations personnelles vers une plus grande responsabilisation des utilisateurs dans la gestion et le traitement des données personnelles. Bruxelles. À l’adresse : https://edps.europa.eu/sites/default/files/publication/16-10-20_pims_opinion_en.pdf ↑
3. Nicola Fabiano, Internet of Things and the Legal Issues related to the Data Protection Law, Athens Journal of Law – Volume 3, Issue 3, 2018, Pages 201-214 https://doi.org/10.30958/ajl.3-3-2 doi=10.30958/ajl.3-3-2 selon le nouveau règlement général européen sur la protection des données Par. ↑
4. Urquhart, L., Sailaja, N. & McAuley, D. Réaliser le droit à la portabilité des données pour l’Internet domestique des objets. Pers Ubiquit Comput 22, 317-332 (2018). ↑