Loyauté et transparence
Home » IdO » Loyauté et transparence

Faites de votre mieux pour éviter d'élargir la division numérique

Éviter les biais

Fournir des informations adéquates afin d'assurer la transparence

La loyauté est un principe essentiel du RGPD. On peut dire que l’ensemble de la protection des données, et donc le RGPD, concerne la loyauté envers les personnes concernées. Le RGPD peut être considéré comme précisant ce que signifie concrètement le terme “loyauté”. Dans le cas des TIC, il s’agit principalement d’éviter que personne ne soit exclu de la possibilité de bénéficier des outils, c’est-à-dire que tout le monde ait les mêmes droits fondamentaux et les mêmes opportunités de profiter des avancées technologiques. De même, il ne doit pas y avoir de discrimination sur la base des aspects fondamentaux de notre identité qui sont inaliénables, tels que le sexe, la race, l’âge, l’orientation sexuelle, l’origine nationale, la religion, la santé et le handicap, etc. En d’autres termes, en termes d’IdO, la loyauté est principalement liée à la nécessité de rendre les outils faciles à utiliser pour ceux qui ne sont pas particulièrement compétents dans les technologies numériques et d’éviter que le système ne crée une discrimination en introduisant des biaisinjustes (voir la sous-section “Loyauté” dans “Léicité, loyautéet transparence” dans “Concepts principaux”, partie II des présentes lignes directrices).

La transparence, en revanche, est essentielle pour aider les personnes concernées à avoir confiance dans les systèmes et dispositifs IdO. En effet, les exigences de transparence sont clairement liées au principe de loyauté, car plus il est difficile pour l’utilisateur de comprendre le système IdO, plus la différence entre les différents types d’utilisateurs est grande. La transparence montre que le responsable du traitement agit de manière responsable. En revanche, le manque de transparence générale (et de droits à l’information en particulier) est contraire aux obligations du RGPD et peut entraîner des amendes élevées pour le responsable du traitement. Elle s’applique à tous les éléments pertinents pour un système IdO : les données, le système et les processus par lesquels il est conçu et exploité, l’interaction avec d’autres systèmes IdO, l’utilisation (ou non) d’outils d’IA, la réalisation de profilage ou de prise de décision automatique, etc. En outre, cela revient à savoir qui : qui est le responsable du traitement, à qui les données sont divulguées, qui est le DPD (s’il y en a un), etc.

La transparence est décrite dans le RGPD sous la forme d’exigences détaillées concernant les informations qui doivent être fournies par le responsable du traitement aux personnes concernées et aux autorités de contrôle. L’objectif de la transparence est d’informer les personnes concernées dès le départ de l’existence du traitement et de ses principales caractéristiques, conformément aux articles 12 à 14. D’autres informations (telles que les données concernant la personne concernée) sont disponibles sur demande (lors de l’exercice d’un droit d’accès ou d’un droit à la portabilité des données, par exemple). Les personnes concernées doivent également être informées de certains événements, notamment des violations de données (dans le cas où la personne concernée est exposée à un risque élevé). De toute évidence, la transparence est une condition préalable à la détection et à l’intervention en cas de non-conformité (voir “Transparence” dans la section “Licéité, loyauté et transparence” des “Concepts principaux”, partie II des présentes lignes directrices).

Dans le cas de l’IdO, les responsables du traitement doivent garder à l’esprit qu’il est difficile de garantir la transparence aux personnes concernées, en raison d’un certain nombre de facteurs qui entravent cet objectif. Tout d’abord, il faut considérer qu’un système IdOinteragit généralement avec d’autres, traitant de nombreuses données personnelles. En effet, “comme l’IdO repose sur le principe du traitement extensif des données par le biais de ces capteurs conçus pour communiquer de manière discrète et échanger des données de manière transparente, il est étroitement lié aux notions d’informatique “envahissant” et “ubiquitaire”.”[1] En effet, dans le cas de l’IdO, les capteurs sont en réalité conçus pour être non intrusifs, c’est-à-dire aussi invisibles que possible. Par conséquent, dans de nombreux cas, la personne concernée n’est pas consciente du traitement des données en raison d’un manque d’informations disponibles. Dans d’autres cas, les informations disponibles ne sont pas synonymes de transparence et de sensibilisation pour les personnes concernées. Dans ces cas, en plus d’une formulation informative, la transparence peut signifier l’utilisation d’icônes lorsque des données telles que la localisation sont collectées, et la désactivation de ces icônes lorsque les données ne sont pas collectées. Les responsables du traitement doivent évaluer ce que signifie la transparence dans leur développement et leur dispositif spécifiques.

En outre, “une fois les données stockées à distance, elles peuvent être partagées avec d’autres parties, parfois sans que la personne concernée en ait conscience. Dans ces cas, la transmission ultérieure de leurs données est donc imposée à l’utilisateur qui ne peut l’empêcher sans désactiver la plupart des fonctionnalités de l’appareil.”[2] Cette situation peut être renforcée par les données de plus en plus courantes stockées à l’intérieur de l’appareil. Dans ce cas, les données ne quittent pas l’appareil, ce qui renforce toute la transparence, le contrôle des personnes concernées sur leurs données et, selon le cas, la sécurité.

En outre, les systèmes IdO utilisent souvent des outils d’intelligence artificielle. Comme exposé en détail dans la section correspondante, ces outils souffrent souvent de divers types d’opacité, ce qui empêche le respect adéquat des exigences de transparence (voir “Transparence”, dans la partie IV (IA) des présentes lignes directrices).

Enfin, mais c’est important, les développeurs IdOdoivent garantir la transparence en utilisant un certain nombre d’outils complémentaires. La désignation d’un DPD, qui sert ensuite de point de contact unique pour les demandes des personnes concernées, est une excellente option. Préparer des registres de traitement adéquats pour les autorités de contrôle, ou réaliser des AIPD, sont également des mesures fortement recommandées pour promouvoir la transparence. Entreprendre des analyses qui évaluent l’efficacité et l’accessibilité des informations fournies aux personnes concernées contribue à garantir la mise en œuvre efficace de ce principe. Ou encore, prévoir l’interopérabilité entre différents systèmes afin que les personnes concernées puissent exercer la portabilité ou prévoir des moyens faciles de télécharger ses données et d’exercer soi-même un droit d’accès.

 

 

  1. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  2. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
Aller au contenu principal