Le principe de minimisation stipule que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (voir “Minimisation des données”, dans la section “Principes” de la partie II des présentes lignes directrices). En termes simples, il s’agirait de réduire autant que possible la quantité, les catégories et la granularité des données à caractère personnel traitées. Cela signifie qu’il ne sera pas possible de collecter des données à caractère personnel qui ne seront pas traitées simplement pour que le responsable du traitement puisse les avoir et les utiliser à l’avenir, soit pour les finalités déclarées, soit pour de nouvelles finalités. Malheureusement, ce principe est parfois en tension avec la logique de la technologie IdO. Parfois, l’inférence de données et le profilage sont nécessaires aux fins du système, mais ils multiplient la quantité de données impliquées dans le traitement. En outre, la plupart des systèmes IdOtraitent de nombreuses données personnelles entre des dispositifs qui sont souvent sous le contrôle de sous-traitants alternatifs et/ou impliquent des tiers.
Il existe certains moyens d’éviter les scénarios envahissants. Si la finalité du traitement peut être obtenue sans avoir besoin d’informations identifiables, les données doivent être rendues anonymes dès que possible. En principe, les systèmes IdOdevraient promouvoir l’utilisation de données anonymes, en particulier si ces données sont partagées avec d’autres appareils. “Comme on ne peut guère éviter la possibilité d’établir des profils personnels étendus, l’anonymisation des données est importante dans le contexte du partage des données.”[1] En principe, cela semble faisable, mais en pratique, cela pourrait être difficile à atteindre. Comme l’a déclaré l’AEPD, “La liaison des dispositifs IdOà des identifiants uniques, doublée de liens étroits entre certains dispositifs et leurs utilisateurs, rend pratiquement impossible l’utilisation anonyme de ces données, et le risque de réidentification monte en flèche. Par exemple, de nombreux dispositifs nécessitent l’enregistrement de l’utilisateur ou incluent des identifiants uniques de publicité, tels que les Smart TV. La présence d’identifiants uniques dans les appareils mobiles est un fait avéré, et ces appareils sont largement utilisés pour interagir avec les appareils IdOet les faire fonctionner.”[2] Ainsi, les responsables du traitement ne devraient pas présumer que leurs processus d’anonymisation serviraient bien à préserver la vie privée des personnes concernées. En effet, ils devraient effectuer des AIPD et des évaluations des risques pour s’assurer de cette idée (voir la responsabilité dans cette partie des lignes directrices).
À cet égard, les responsables du traitement doivent être conscients que la saisie de données à caractère personnel qui sont ensuite rendues anonymes constitue un traitement de données à caractère personnel, tant que ces données n’ont pas achevé le processus d’anonymisation, aussi bref que soit ce délai. En outre, l’anonymisation est un traitement, ce qui signifie qu’il ne peut être licite que si une base juridique s’applique. L’intérêt légitime ou le consentement sont les candidats les plus prometteurs. Une fois les données rendues anonymes, le traitement ne doit plus être conforme aux exigences de la protection des données à caractère personnel. Il peut encore relever des règles relatives à la vie privée en ligne, mais de manière plus diluée.
Une alternative à l’anonymisation proprement dite est l’utilisation de données agrégées (l’agrégation est parfois considérée comme un outil d’anonymisation). Cela devrait être possible dans la plupart des systèmes IdO, puisque la plupart des valeurs de données que nous traitons sont une forme d’agrégation, même si cela n’est pas forcément évident puisqu’elle peut être effectuée de manière “invisible” par un capteur ou une méthode de collecte de données. L’agrégation est une manière de substituer plusieurs éléments de données par un seul. Les exemples les plus frappants proviennent des statistiques et comprennent la moyenne, la médiane, le minimum et le maximum. Dans le contexte de la protection des données, il convient de distinguer deux types d’agrégation (voir “Minimisation des données” dans la section “Principes”, partie II des présentes lignes directrices) :
- Agrégation d’éléments de données relatifs à une seule personne : En prenant par exemple le revenu mensuel moyen d’une personne sur une année, on réduit le contenu des informations relatives à cette personne.
- Agrégation d’éléments de données relatifs à une multitude de personnes : Prendre par exemple le revenu annuel moyen d’un groupe de personnes réduit également le contenu global de l’information (minimisation des données). En outre, cela affaiblit également le degré d’association entre un élément de données et une personne donnée. Ce type d’agrégation est donc également pertinent pour la limitation du stockage.
Lorsque l’objectif peut être atteint en utilisant des données agrégées, il convient de le faire. Dans ces circonstances, personne d’autre que la personne concernée ne devrait accéder aux données brutes, à moins qu’une raison pertinente ne s’applique. La transformation des données brutes en données agrégées devrait être possible dans l’outil IdO, de sorte que la matière première quittant l’appareil reste le minimum strictement nécessaire. Ces données agrégées devraient être dans un format standardisé.”[3] Quoi qu’il en soit, les responsables du traitement doivent être conscients du fait que la collecte de données et leur suppression au bout d’un petit laps de temps, même de quelques millisecondes, constitue toujours un traitement de données à caractère personnel et que le respect total des règles de protection des données est requis.
Si la finalité du traitement ne peut être obtenue qu’en traitant des données à caractère personnel, ces données peuvent toujours être rendues pseudonymes. Cela relèvera toujours des règles de protection des données et de la vie privée, mais constitue une bonne mesure de sécurité et renforce la responsabilité.
Il est important de souligner qu’un responsable du traitement ne doit pas créer, collecter et stocker des données “juste au cas où”. En d’autres termes, les données sont stockées pour le cas où une nouvelle idée viendrait à surgir et nécessiterait ces données pour développer un projet différent. Dans ce cas, le stockage de données pendant une période plus longue que nécessaire et la réutilisation des données de manière illégale peuvent entraîner les amendes les plus élevées.
Dernier point, mais non des moindres, les développeurs IdO”devraient activer des entités de contrôle et de traitement locales (les fameux mandataires de la vie privée) permettant aux utilisateurs d’avoir une vision claire des données collectées par leurs appareils et facilitant le stockage et le traitement locaux sans avoir à transmettre les données au fabricant de l’appareil.”[4]
- Rolf H Weber, ‘Internet of Things : Privacy Issues Revisited’ (2015) 31 Computer Law & Security Review 618. ↑
- AEPD, “IdO (I) : Qu’est-ce que l’IdO et quels risques comporte-t-il ?”, à l’adresse : https://www.aepd.es/en/prensa-y-comunicacion/blog/iot-%20and-which-risks-does-it-entail. ↑
- Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
- Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑