Préparer et documenter les contrats avec le réseau social et (le cas échéant) avec les responsables conjoints du traitement, les sous-traitants, etc.
Home » Réseaux sociaux » Étapes préliminaires : les questions cruciales à prendre en compte » Préparer et documenter les contrats avec le réseau social et (le cas échéant) avec les responsables conjoints du traitement, les sous-traitants, etc.

La collecte de données auprès des réseaux sociaux implique souvent la conclusion d’une sorte d’accord avec leurs représentants. En effet, l’accès à leur API, ou à des outils similaires, ne sera probablement pas accordé si cet accord n’a pas été documenté. Parfois, l’adhésion aux politiques des développeurs ne fait même pas partie de cet accord, puisqu’il est parfaitement clair que quiconque reçoit des données du réseau doit les suivre. Le chercheur/innovateur doit cependant s’assurer que cette architecture juridique est fixée de manière adéquate dès le début.

D’autre part, il est évident qu’un responsable du traitement confiera souvent certaines des tâches techniques à un sous-traitant, qui pourrait même impliquer un sous-sous-traitant. En pratique, cependant, il y aura des moments où il sera difficile de s’assurer que le sous-traitant n’agit pas réellement comme un responsable du traitement ou un responsable du traitement conjoint.

Les chercheurs et les innovateurs doivent faire de leur mieux pour éviter ces problèmes, car le règlement sur la protection des données exige une réponse claire à la question “qui est responsable de ce traitement ?” afin de garantir une protection “effective et complète” des droits et libertés des personnes concernées.[1] Ainsi, une exigence clé d’une politique adéquate de protection des données dès la conception est de clarifier dès le début qui sont les responsables officiels du traitement des données et les sous-traitants, afin de s’assurer que la responsabilité légale est comprise.

Afin d’atteindre cet objectif, des accords écrits entre tous les agents impliqués dans le développement des outils devraient être conclus et documentés, dans la mesure du possible (voir l’article 28 du RGPD). Ces accords devraient inclure des spécifications claires sur les responsabilités assumées par tous les participants. La promotion d’une interaction continue entre tous les DPD concernés pourrait être une excellente option. Des organes et des outils de contrôle ad hoc peuvent être adoptés pour garantir un contrôle sans faille du traitement effectué par les participants.

 

 

  1. Voir : Lignes directrices de l’EDPB (Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux Version 2.0 adoptée le 13 avril 2021, à l’adresse : https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, p. 11)

 

Aller au contenu principal