Fournir des informations adéquates afin d’assurer la transparence
Home » IdO » Loyauté et transparence » Fournir des informations adéquates afin d’assurer la transparence

Les systèmes IdOsont généralement des outils complexes qui traitent de nombreuses données à caractère personnel en lien avec d’autres systèmes IdOou par des outils incorporés à l’appareil. Cela crée un scénario complexe, car, comme l’a indiqué le GT Article 29, “l’interaction entre les objets, entre les objets et les dispositifs des individus, entre les individus et d’autres objets, et entre les objets et les systèmes dorsaux entraînera la génération de flux de données qui peuvent difficilement être gérés avec les outils classiques utilisés pour assurer une protection adéquate des intérêts et des droits des personnes concernées.”

Les responsables du traitement doivent être conscients que, même si cela peut être difficile à atteindre, les personnes concernées doivent être en mesure de comprendre comment, et dans quel but, le système IdO utilise leurs données personnelles pour fonctionner et prendre ses décisions. En général, cela signifie que les développeurs IdOdoivent intégrer dans le système des fonctionnalités capables de fournir ces connaissances de la manière la plus simple possible. L’explicabilité – c’est-à-dire la capacité d’expliquer les processus techniques d’un système IdO et la logique des décisions qu’il prend – est essentielle dans le cas de l’IdO, en particulier s’il intègre un outil d’intelligence artificielle (voir la section “Transparence” dans la partie IV des présentes lignes directrices, “Exigences en matière d’intelligence artificielle pour les innovateurs et les développeurs”).

À cet égard, le groupe de travail Article 29 a déclaré que “les méthodes permettant de donner des informations, d’offrir un droit de refus ou de demander le consentement doivent être aussi conviviales que possible. En particulier, les politiques d’information doivent se concentrer sur des informations compréhensibles par l’utilisateur et ne doivent pas se limiter à une politique générale de confidentialité sur le site web des responsables du traitement.[1] À cet égard, les responsables du traitement doivent tenir compte des spécificités du dispositif IdO, à la lumière de problèmes tels que les petits écrans qui peuvent rendre la lecture des politiques de confidentialité presque impossible, ou même l’absence totale d’écrans. Les systèmes à double couche pourraient être particulièrement utiles dans les scénarios où la quantité d’informations et leur complexité sont difficiles à gérer. Une première couche fournissant à l’utilisateur les informations essentielles et une seconde couche contenant des informations et des explications plus approfondies semblent raisonnables.

En général, les systèmes IdOdoivent être en mesure de fournir une vue d’ensemble de “quelles données personnelles ont été divulguées à quel contrôleur de données et dans le cadre de quelles politiques ; de fournir un accès en ligne aux données personnelles et à la manière dont elles ont été traitées ; et de fournir des capacités de contre-profilage aidant l’utilisateur à anticiper la manière dont ses données correspondent aux profils de groupes pertinents, ce qui peut affecter les opportunités ou les risques futurs”.[2] Si le responsable du traitement “prévoit” d’effectuer un traitement à des fins autres que celles pour lesquelles les données ont été collectées, il doit informer au préalable les utilisateurs ou les personnes concernées de ce nouveau traitement, en fournissant des informations et en se conformant à toutes les autres exigences, telles que l’existence d’une base juridique pour cette nouvelle finalité ou la réalisation d’une évaluation de compatibilité. Sur la base des obligations ci-dessus, et en les appliquant spécifiquement à l’IdO, une première couche d’information doit être fournie aux utilisateurs avant qu’ils ne commencent à utiliser le dispositif. En outre, les exigences en matière d’information stipulent que des informations complètes doivent être fournies avant le début du traitement, de sorte que les utilisateurs doivent avoir un moyen d’y accéder avant d’enregistrer ou d’accéder au dispositif IdO.

Selon le RGPD, les informations qu’un système IdOdoit fournir aux personnes concernées varient selon que ces informations ont été obtenues auprès d’elles ou déduites par le système.

  • Si les données sont obtenues directement auprès de la personne concernée (art. 13 du RGPD)

Le responsable du système IdO doit informer l’utilisateur, avant le traitement, de l’identité du responsable du traitement, des coordonnées du DPD, des finalités spécifiques du traitement ; de la base juridique du traitement et, le cas échéant, des intérêts légitimes sur lesquels se fonde le traitement [3] , des bases juridiques applicables à chaque finalité ; des destinataires ou catégories de destinataires des données ; de l’existence de transferts internationaux ; le cas échéant, les délais de conservation des données ou les critères utilisés pour déterminer ces délais ; les modalités d’exercice des droits des personnes concernées et le droit d’introduire une réclamation auprès de l’autorité de contrôle ; et dans le cas de décisions automatisées, y compris le profilage, le responsable du traitement doit fournir des informations pertinentes sur la logique impliquée et les conséquences attendues de ce traitement pour la personne concernée.

  • Si les données personnelles ne sont pas obtenues auprès de l’utilisateur (art. 14 du RGPD)

Dans ce cas, si les données personnelles sont obtenues auprès d’un tiers, le responsable du système IdOdoit informer l’utilisateur des dispositions de l’art. 13 du RGPD, et communiquer les informations concernant l’origine ou la source des données, spécifiquement si elles proviennent de sources accessibles au public. À cet égard, les responsables du traitement doivent garder à l’esprit que le concept de “sources accessibles au public” n’est pas une liste exhaustive mais plutôt une liste étroite, et qu’il n’inclut pas les médias sociaux ou Internet. Les informations doivent être fournies dans un délai d’un mois “au plus tard” à l’utilisateur de l’IdO.

Liste de contrôle : loyauté et transparence[4]

Loyauté

☐ Les responsables du traitement ont mis en œuvre des fonctionnalités ou des interfaces de contrôle faciles à utiliser qui permettent de gérer les paramètres techniques et de confidentialité.

☐ Les systèmes IdOont été conçus de manière à faciliter que les préférences et les besoins des utilisateurs soient traduits à l’outil de manière distribuée et coopérative afin que des décisions appropriées concernant les ressources contrôlées soient prises.

☐ Les responsables du traitementont mis en place des mesures adéquates pour éviter les biais provoqués par l’utilisation d’outils d’IA.

☐ Les responsables du traitementont mis en place des mesures pour éviter de collecter des ensembles de données biaisées.

Transparence

☐ Les systèmes IdOfournissent :

  • une vue d’ensemble de quelles données personnelles ont été divulguées à quel contrôleur de données, dans le cadre de quelles politiques ;
  • un accès en ligne aux données personnelles et à la manière dont elles ont été traitées ;
  • des capacités de contre-profilage aidant l’utilisateur à anticiper la manière dont ses données correspondent à des profils de groupes pertinents, ce qui peut avoir une incidence sur les opportunités ou les risques futurs.

☐ Si les données à caractère personnel ont été fournies directement par la personne concernée, les responsables du traitement ont fourni toutes les informations énumérées à l’article 13 du RGPD.

☐ Si les données personnelles n’ont pas été fournies par la personne concernée, les responsables du traitement ont fourni toutes les informations énumérées à l’article 14 du RGPD.

☐ Si les données à caractère personnel sont fournies directement par la personne concernée, les informations sont fournies avant le traitement et, au plus tard, au moment où elles sont collectées auprès de la personne concernée.

☐ Si les données personnelles ne sont pas fournies par la personne concernée, les informations sont fournies :

  • dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais au plus tard dans un délai d’un mois ;
  • si les données à caractère personnel doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne ;
  • si une communication à un tiers est envisagée, au plus tard lors de la première communication des données à caractère personnel.

☐ L’information est fournie de manière concise, transparente, intelligible et facilement accessible. Elle est claire et expurgée dans un langage simple.

☐ Lesresponsables du traitementont documenté toutes les informations concernant ces problèmes.

 

 

  1. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  2. Weber, Rolf H., ” Internet of Things : Privacy Issues Revisited’ (2015) 31 Computer Law & Security Review 618, 625 ; de même, Tene et Polonetsky (n 18).
  3. N’oubliez pas que, selon la jurisprudence récente de l’autorité espagnole de protection des données, l’APED, les intérêts qui servent de fondement à la base juridique de l’art. 6.1.f du RGPD ne seraient pas les mêmes que les finalités du traitement.
  4. Toutes ces exigences ne sont pas des exigences légales stricto sensu, mais elles peuvent toutes être considérées comme des exigences éthiques.

 

Aller au contenu principal