Selon le principe de confidentialité, les responsables du traitement doivent minimiser les risques pour les droits, intérêts et libertés des personnes concernées. À cette fin, ils doivent adopter une approche fondée sur le risque (voir la sous-section “Intégrité et confidentialité” dans la section “Principes” de la partie II des présentes lignes directrices). Dans tous les cas, les responsables du traitement doivent s’assurer qu’ils respectent les exigences en matière de protection des données et qu’ils sont en mesure de montrer comment ils s’y conforment, par exemple au moyen de documents (voir la sous-section “Responsabilité” dans la section “Principes” de la partie II des présentes lignes directrices).
Pour gérer les risques pour les personnes qui découlent du traitement des données à caractère personnel recueillies sur les réseaux sociaux, il est important que les responsables du traitement acquièrent une compréhension et une articulation mûres des droits fondamentaux, des risques et de la manière de mettre en balance ces intérêts et d’autres. En définitive, il est nécessaire que les responsables du traitement évaluent les risques que l’utilisation des données fait peser sur les droits des personnes, qu’ils déterminent la manière dont ils doivent y faire face et qu’ils établissent l’impact que cela a sur leur utilisation à des fins de recherche. À cette fin, deux facteurs clés doivent être pris en considération : . [1]
- Les risques découlant du traitement lui-même, tels que l’apparition de biais associés au profilage ou aux systèmes automatisés de prise de décision.
- Les risques découlant du traitement par rapport au contexte social, et les effets secondaires indirectement liés à l’objet du traitement qui peuvent survenir.
Afin de minimiser ces risques, les responsables du traitement doivent s’assurer que des mesures techniques et organisationnelles appropriées sont mises en œuvre pour éliminer, ou au moins atténuer, le risque pour la sécurité, en réduisant la probabilité que les menaces identifiées se concrétisent, ou en réduisant leur impact. Il est nécessaire de prendre en compte les normes de sécurité qui existent déjà sur le marché, ainsi que les normes de conformité en matière de protection des données qui s’appliqueront au traitement. En outre, les développeurs doivent toujours se rappeler que l’article 32, paragraphe 4, du RGPD précise qu’un élément important de la sécurité consiste à s’assurer que “toute personne physique agissant sous l’autorité du responsable du traitement ou du sous-traitant qui a accès à des données à caractère personnel ne les traite que sur instruction du responsable du traitement, à moins que le droit de l’Union ou des États membres ne l’exige” (voir la sous-section “Intégrité et confidentialité” dans la section “Principes” de la partie II des présentes lignes directrices).
La description générale des mesures de sécurité techniques et organisationnelles doit faire partie des registres de traitement, si possible (article 30, paragraphe 1, point g), pour les responsables du traitement, et article 30, paragraphe 2, point d), pour les sous-traitants) et toutes les mesures mises en œuvre doivent faire partie de l’AIPD, en tant que mesures correctives pour limiter le risque. Enfin, une fois les mesures sélectionnées mises en œuvre, le risque résiduel restant doit être évalué et maintenu sous contrôle. L’analyse des risques et l’AIPD sont les outils qui s’appliquent. L’évaluation des risques et les décisions prises “doivent être documentées afin de se conformer à l’exigence de protection des données dès la conception” (de l’article 25 du RGPD) (voir la sous-section “Protection des données dès la conception et par défaut (DPbDD)” dans la section “Concepts principaux” de la partie II de ces lignes directrices).
Enfin, les responsables du traitement doivent toujours être conscients que, conformément à l’article 32, paragraphe 1, point d), du RGPD, la protection des données est un processus. Par conséquent, ils doivent tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles. Les procédures qui aident les responsables du traitement à identifier les changements qui déclencheraient un réexamen de l’AIPD doivent être créées à ce moment-là. Dans la mesure du possible, les responsables du traitement doivent essayer d’imposer un modèle dynamique de suivi des mesures en jeu (voir la sous-section “Intégrité et confidentialité” dans la section “Principes” de la partie II des présentes lignes directrices).
Liste de contrôle : intégrité et confidentialité
☐ Les responsables du traitement ont mis en place les procédures nécessaires pour garantir que les droits des personnes concernées sont adéquatement satisfaits, que les personnes concernées soient les utilisateurs finaux ou des tiers. ☐ Les responsables de traitement ont mis en place les procédures nécessaires pour que les droits des personnes concernées soient satisfaits dans les délais (maximum un mois après la demande). ☐ Les responsables du traitement ont mis en place des outils efficaces pour garantir que les personnes concernées puissent exercer leurs droits de manière pratique, par exemple en introduisant des normes d’interopérabilité des données. ☐ Les personnes concernées sont en mesure d’avoir accès à toutes leurs données personnelles, y compris les données brutes qui sont collectées sur les réseaux sociaux. ☐ Les responsables de traitement ont mis en place des outils pour lire, éditer et modifier localement les données avant qu’elles ne soient transférées à tout responsable de traitement. En outre, les données personnelles traitées par un dispositif sont stockées dans un format permettant la portabilité des données. ☐ Les responsables de traitement ont mis en place des outils capables de communiquer les données rectifiées à chaque destinataire auquel les données personnelles ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. ☐ Les responsables de traitement ont mis en place des outils capables de garantir que toutes les données sont efficacement effacéesà la demande des personnes concernées si aucune raison légitime ne s’oppose à cette demande. ☐ Lesresponsables du traitement ont veillé à ce que les schémas de retrait soient fins et couvrent :
☐ Lesresponsables du traitement ont documenté toutes les informations concernant ces problèmes. |
- AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.30. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑