Les réseaux sociaux à des fins de recherche : exigences éthiques et légales en matière de protection des données
Jose Antonio Castillo Parrilla et Iñigo de Miguel Beriain (UPV/EHU)
Les versions préliminaires de ce document ont été revues par le Dr Denise Amram, DPD, chercheur affilié au LIDER Lab – Institut DIRPOLIS, Scuola Superiore Sant’Anna (Italie) et DPDde droit privé comparé à la Scuola Superiore Sant’Anna et le Prof. Giovanni Comandé, Dirpolis, Sant’Anna School of Advanced Studies, Pise, Italie.
Cette partie des lignes directrices a été validée par Iñaki Pariente, ancien directeur de l’Agence basque de protection des données.
Les médias sociaux peuvent être décrits comme des plateformes en ligne qui permettent le développement de réseaux et de communautés d’utilisateurs, parmi lesquels des informations et du contenu sont partagés. Les fonctions supplémentaires des réseaux sociaux sont la personnalisation, l’analyse et la publication (principalement via des services de ciblage), ce qui permet soit des initiatives indépendantes, soit des offres de services plus larges. Les médias sociaux permettent aux individus de se créer des comptes afin d’interagir avec d’autres utilisateurs et de développer et élargir les connexions et les réseaux. Les utilisateurs partagent des données avec les administrateurs du réseau et avec d’autres utilisateurs à des fins totalement différentes. Le contenu partagé par les individus peut être créé par eux-mêmes (contenu généré par l’utilisateur) ou non. [1]
D’autre part, il est important de mentionner que l’objectif principal des données placées dans un réseau social est de permettre aux gens d’interagir, d’entrer en relation. En fait, les utilisateurs établissent deux types de relations : une relation verticale avec l’entreprise propriétaire du réseau, et une relation horizontale avec d’autres personnes avec lesquelles ils souhaitent interagir. Cette relation peut être générale (profils ouverts) ou particulière (profils à accès limité). Selon le type d’interaction en jeu, le statut juridique du traitement des données sera probablement différent.
En général, les réseaux sociaux sont optimaux pour les pratiques d’extraction massive de données. En effet, il existe des outils logiciels capables de collecter automatiquement les données des internautes à partir des espaces publics en ligne. En outre, la plupart des réseaux sociaux proposent des interfaces de programmation d’applications, ou API[2] , qui simplifient le développement et l’innovation logiciels et permettent aux applications d’échanger des données et des fonctionnalités facilement et en toute sécurité. Ces circonstances rendent les réseaux sociaux particulièrement attrayants pour certains types de recherche, mais elles créent également des défis exigeants en termes de protection des données.
Cette partie des lignes directrices vise à aider les chercheurs ou les innovateurs dans le domaine des TIC qui utilisent des données personnelles obtenues à partir de réseaux sociaux. Il convient de mentionner que nous n’aborderons pas ici l’utilisation des réseaux sociaux pour collecter des données (comme, par exemple, en utilisant les enquêtes Google pour obtenir des données sur une série de questions précises auprès de personnes réelles). Cela est dû à une raison simple : dans ces cas, les données elles-mêmes ne proviennent pas d’un réseau social mais à travers un réseau social. En effet, les réseaux sociaux ne servent que d’outil pour recueillir ces données. Par conséquent, ces données ne sont pas si différentes des autres données collectées de manière plus traditionnelle (comme une enquête sur papier) et ne méritent donc pas une attention particulière ici.
Si les développeurs de TIC qui consultent ces lignes directrices prévoient d’utiliser des outils d’IA pour traiter les données obtenues à partir de ces réseaux, ils devraient consulter la partie des lignes directrices consacrée à l’intelligence artificielle (IA). S’ils prévoient de les utiliser à des fins liées à la biométrie, à l’internet des objets ou à la localisation géospatiale, ils doivent consulter les parties des présentes lignes directrices consacrées à ces questions. Afin d’éviter des répétitions inutiles, nous laissons ces questions en dehors de cette analyse.
CLAUSE DE NON-RESPONSABILITÉ
Cette partie des lignes directrices a été rédigée à une époque où le règlement sur la vie privée et les communications électroniques n’avait pas encore été approuvé. Il se peut qu’au moment de l’utilisation de cet outil, le règlement soit en vigueur. Si tel est le cas, il faudra tenir compte des changements éventuels que cela a pu entraîner dans le cadre réglementaire. Jusqu’à l’entrée en vigueur du règlement “vie privée et communications électroniques”, une situation fragmentée existera. En effet, les autorités de contrôle sont désormais confrontées à une situation où les interactions entre la directive “vie privée et communications électroniques” et le RGPD coexistent et posent des questions quant aux compétences, aux tâches et aux pouvoirs des autorités de protection des données dans les domaines qui déclenchent l’application à la fois du RGPD et des lois nationales transposant la directive “vie privée et communications électroniques”.
- Lignes directrices EDPB 8/2020 sur le ciblage des utilisateurs de médias sociaux, p. 3. ↑
- Voir, sur les API : Oscar Borgogno & Giuseppe Colangelo, Data Sharing and Interoperability Through APIs : Insights from European Regulatory Strategy, Stanford-Vienna European Union Law Working Paper n° 38, http://ttlf.stanford.edu ; Russell, N. Cameron et Schaub, Florian et McDonald, Allison et Sierra-Pambley, William, APIs and Your Privacy (5 février 2019). Disponible à l’adresse SSRN : https://ssrn.com/abstract=3328825 ou http://dx.doi.org/10.2139/ssrn.3328825 ↑