Une fois que les chercheurs/innovateurs deviennent les responsables du traitement des données recueillies sur les réseaux sociaux, ils doivent décider de la base juridique qui légitimera le traitement ultérieur de ces données dès que possible. Toutefois, et avant même de choisir la (ou les) base(s) juridique(s) du traitement, le responsable du traitement doit se demander si le traitement concerne des données à caractère personnel relevant de catégories spéciales. Dans ce cas, le responsable du traitement doit être conscient du fait que le traitement est soumis au veto de l’article 9.1 du RGPD, sauf si l’une des circonstances décrites à l’article 9.2 s’applique.
Après avoir conclu qu’aucune donnée d’une catégorie spéciale n’est concernée ou que le veto posé a été traité de manière adéquate, le responsable du traitement doit choisir la base juridique appropriée pour le traitement des données. Cela doit être fait très soigneusement, car la base juridique ne peut pas être modifiée pendant le traitement. Voici quelques critères qu’il convient de garder à l’esprit à cette fin :
- La nécessité ou l’utilité de l’utilisation des données obtenues à partir des réseaux sociaux pour la réalisation de la finalité ou de l’intérêt du traitement doit être suffisamment justifiée au regard de la base juridique retenue.
- Le responsable du traitement des données doit soigneusement peser (1) la base du droit utilisé, contre (2) les risques possibles découlant du traitement des données.
- En outre, le responsable du traitement doit envisager toutes les garanties adéquates afin de s’assurer que les intérêts, les droits et les libertés de la personne concernée sont correctement préservés. Cette mise en balance doit être particulièrement attentive si le consentement de la personne concernée sert de base juridique au traitement.
Les tableaux suivants donnent un bref aperçu des différentes bases alternatives de légitimation en vertu des articles 6 et des circonstances qui permettent de contourner le veto créé par l’article 9.1 du RGPD et de leur relation avec le traitement des données provenant des médias sociaux.
Le consentement est la base juridique la plus traditionnelle pour le traitement des données dans le contexte des réseaux sociaux. Toutefois, lorsqu’un responsable du traitement cherche à traiter des données à caractère personnel à des fins de recherche, l’intérêt public peut être une excellente option. Malheureusement, il exige que certaines conditions s’appliquent (voir la sous-section “Protection des données et recherche scientifique” dans les “Concepts principaux” de la partie II des présentes lignes directrices). L’intérêt légitime, quant à lui, est une autre base juridique appropriée pour le traitement dans ce contexte, mais on ne peut pas supposer qu’il sera toujours approprié[1] . Elle sera probablement la plus appropriée lorsque les responsables du traitement utilisent les données des personnes d’une manière à laquelle celles-ci s’attendent raisonnablement et qui a le moins d’impact possible sur la protection des données ou la vie privée, ou lorsqu’il existe une justification impérieuse pour le traitement.[2]
| Bases juridiques possibles (Art. 6 du RGPD) | |
| Bases juridiques du traitement | Utilisation dans le contexte des réseaux sociaux |
| 6.1.a -consentement | Probablement, la base juridique la plus populaire pour le traitement des données, bien que son utilisation généralisée soit de plus en plus remise en question[3] (voir la section suivante). |
| 6.1.e – le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. | Elle peut être applicable, mais les précautions suivantes doivent être observées : – L’objectif d’intérêt public doit être clairement identifié ainsi que le lien avec la recherche, – Il convient de motiver pourquoi l’utilisation des données issues des médias sociaux est nécessaire ou hautement souhaitable pour les finalités poursuivies. -La base du traitement a été établie par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis. |
| 6.1.f – le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. | Elle peut être applicable, et constitue même la meilleure alternative au consentement comme base de légitimité. Les mises en garde suivantes doivent être observées : – le responsable du traitement doit procéder et motiver une mise en balance appropriée entre (1) l’intérêt légitime poursuivi et (2) l’impact sur les droits et libertés fondamentaux de la personne concernée ; cette mise en balance doit être effectuée avec un soin particulier si des données de mineurs sont concernées. |
| Catégories particulières de données à caractère personnel (art. 9 du RGPD) | |
| Base de la légitimité | Utilisation dans le contexte des réseaux sociaux |
| 9.1.a -consentement | Il est largement utilisé |
| 9.2.e – le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée. | Elle peut être applicable, mais il convient d’être particulièrement prudent en ce qui concerne les garanties suivantes : – le respect du principe de limitation des finalités (art. 5.1.b du RGPD), en tenant compte des attentes de la personne concernée et du contexte (réseau social et impact du profil) dans lequel les données ont été publiées[4] ; – des mesures d’agrégation afin de réduire les possibilités de ré-identification. |
| 9.2.g – le traitement est nécessaire pour des raisons d’intérêt public important, sur la base du droit de l’Union ou des États membres, qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. | Elle peut être applicable, à condition que le responsable du traitement des données respecte les précautions suivantes : – l’intérêt public poursuivi doit être clairement identifié, ainsi que la réglementation applicable ; – il doit être suffisamment justifié que la recherche via les réseaux sociaux est nécessaire ou hautement appropriée à cette fin ; – un soin particulier doit être apporté à l’élaboration de mesures de protection contre les impacts indus sur les droits fondamentaux des personnes concernées. |
| 9.2.j – le traitement est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou des États membres qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. | Elle est pleinement applicable. Elle présente l’avantage que le principe de limitation de la finalité est moins strict (cf. art. 5.1.b du RGPD) et qu’elle permet le traitement des données indépendamment du consentement des personnes concernées, à condition que le responsable du traitement observe les garanties suivantes : – elle doit clairement identifier sa finalité (archivage, recherche scientifique, recherche historique ou objectifs statistiques) ; – elle doit justifier la proportionnalité du traitement des données par rapport à la finalité poursuivie ; – elle doit justifier l’utilité de l’utilisation des réseaux sociaux dans la recherche ; – elle doit élaborer des mesures visant à éviter les impacts indus sur les droits fondamentaux des personnes concernées, en se concentrant sur (1) un niveau d’agrégation suffisant et (2) d’autres garanties pour éviter la ré-identification. – ell doit suivre strictement les prescriptions de l’art. 89 du RGPD |
- Par exemple, les autorités publiques ne peuvent se fonder sur des intérêts légitimes que si elles traitent des données pour une raison légitime autre que l’exécution de leurs tâches en tant qu’autorité publique, de sorte que la “tâche publique” est une meilleure base juridique dans ces situations (ICO : Legitimate interests, à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/). ↑
- ICO : Intérêts légitimes, à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/. ↑
- Voir, sur le traitement des données à des fins de santé dans le système américain de protection de la vie privée, Charlotte A. Tschider, ” The consent myth : improving choice for patients of the future ” (2019) 96 Washington University Law Revew 1506. ↑
- Récemment, le Conseil espagnol de la protection des données a infligé une amende à Equifax pour avoir utilisé des données de solvabilité publiées par des sources officielles afin d’alimenter ses propres fichiers, pour violation du principe de limitation de la finalité dans la mesure où il s’agit d’une utilisation incompatible des données bien qu’il s’agisse de données accessibles au public. Le critère de cette résolution peut également être applicable en cas d’utilisation de données publiées par la personne concernée elle-même, dans la mesure où les utilisations dérivées de ces données sont incompatibles. ↑