En principe, il est parfaitement possible de recueillir différents types de données par le biais des médias sociaux. En effet, il peut s’agir de données personnelles et non personnelles. La compréhension des données comme étant non personnelles est d’une grande importance au niveau juridique et, évidemment, pour la préparation de ces lignes directrices, dans la mesure où le RGPD ne serait pas applicable, mais le règlement de l’UE 2018/1807 le serait. Dans la pratique, cette division entre ces deux types de données s’estompe en raison de l’utilisation croissante des technologies d’analyse des données, permettant une plus grande capacité de traitement des données et l’extrapolation des résultats (group privacy). Cette situation brouille la ligne de démarcation entre les données personnelles et non personnelles dans la mesure où, par exemple, les profils deviennent de plus en plus précis même s’ils ne sont pas liés à une personne spécifique et ne sont donc pas des données à caractère personnel.
La limite pour considérer une donnée comme étant une donnée à caractère personnel réside dans sa capacité à identifier directement ou indirectement une personne, et, en particulier, si les coûts et le temps nécessaires à cette identification ne sont pas excessifs[1] . Cependant, une telle classification n’est pas si facile à appliquer en pratique. Pour commencer, certaines données qui semblent anonymes à première vue peuvent être désanonymisées[2] (voir les sous-sections “Identification”, “Pseudonymisation” et “Anonymisation” dans la section “Concepts principaux” de la partie II des présentes lignes directrices). En outre, les données à caractère personnel en tant que concept juridique jouissent d’une sorte de nature expansive dans la mesure où l’hyperproduction de données et la capacité de les traiter et de les analyser ne cessent de croître, réduisant ainsi les coûts et le temps nécessaires pour identifier une personne à partir d’un ensemble donné de données (personnelles ou non)[3] .
En gardant tout cela à l’esprit, on doit conclure que, dans le cas des réseaux sociaux, le traitement des données personnelles est généralement la règle. Cela est particulièrement vrai si l’on considère que, dans ce contexte, il est courant que les utilisateurs se connectent avec un ensemble de données personnelles. Il est tout à fait possible que (1) la plupart de ces données ne soient pas strictement nécessaires à la connexion et ne respectent donc pas le principe de minimisation des données (article 5.1.c du RGPD) ou que (2) les données soient utilisées à des fins qui vont au-delà de la simple connexion, violant dans ce cas le principe de limitation de la finalité (article 5.1.b du RGPD). Enfin, le profilage personnel peut atteindre un haut niveau de précision, quel que soit le type de données utilisées pour la production de ces profils. Cela nécessite de prendre en compte les précautions suivantes :
- Les responsables du traitement doivent supposer par défaut qu’ils traitent des données à caractère personnel et agir en conséquence.
- Il est seulement conseillé d’éviter cette hypothèse si les données à utiliser et les données déduites par le responsable du traitement sont entièrement non personnelles (par exemple, les données météorologiques). Dans ces cas, les responsables du traitement doivent le documenter dans les registres de traitement.
- Si les données à traiter concernent des personnes décédées ou des personnes morales, des précautions doivent être prises pour éviter que ces données soient liées à des personnes physiques (par exemple, des parents de personnes décédées ou des personnes physiques liées à des personnes morales).
- Si les données à traiter concernent des personnes décédées, les règles nationales de traitement des données doivent également être prises en compte, car les données des personnes décédées ne sont pas des données à caractère personnel selon le RGPD.
- Il convient de définir un niveau de granularité dans le profilage afin de garantir suffisamment le respect de la vie privée des personnes qui peuvent potentiellement être liées à ce profilage.
- Des protocoles doivent être élaborés pour prévenir ou réduire la possibilité de ré-identification des utilisateurs dont les données ont été traitées à des fins de profilage. Ils doivent inclure un engagement juridiquement contraignant à ne pas chercher à obtenir une telle réidentification et l’adoption de mesures destinées à éviter une réidentification involontaire.
Outre la distinction initiale entre données personnelles et non personnelles, il convient de prendre en compte, au sein des données personnelles, si des catégories spéciales de données personnelles sont concernées. Cette distinction est importante dans la mesure où les conditions de traitement des données varient selon que des catégories particulières de données (article 9 du RGPD) sont concernées ou non.
Enfin, il convient de faire une remarque sur les données dérivées ou déduites. Il y a eu une certaine controverse quant à savoir si les données dérivées, et en particulier les profils personnels, devaient être considérés comme de la propriété intellectuelle. Indépendamment de cela, il convient de rappeler que, conformément à l’article 4, paragraphe 1, du RGPD, ces données sont des données à caractère personnel dans la mesure où elles se rapportent à une personne identifiée ou identifiable. Il convient d’ajouter qu’il est possible de tirer des conclusions sur ce que l’article 9 du RGPD considère comme des catégories spéciales de données à partir de données personnelles ordinaires ou même de données non personnelles combinées à d’autres données personnelles (confidentialité de groupe)[4] . Dans la mesure où ces déductions se rapportent à une personne identifiée ou identifiable, elles doivent être traitées comme des catégories spéciales de données, indépendamment de leur compréhension (ou non) en tant qu’objets de propriété intellectuelle.
- Voir Consid. 26 du RGPD : ” Pour déterminer si une personne physique est identifiable, il convient de tenir compte de tous les moyens raisonnablement susceptibles d’être utilisés “. ↑
- Voir Consid. 26 du RGPD : ” Les données à caractère personnel ayant fait l’objet d’une pseudonymisation, qui pourraient être attribuées à une personne physique par l’utilisation d’informations supplémentaires, devraient être considérées comme des informations sur une personne physique identifiable. ” ↑
- Voir : en général G. Comandé (Editor) Encyclopedia of Data Science and Law Edwards Eldgar, 2021 ; à paraître ; G. Comandé – G. Malgieri, ” Sensitive-by-distance : les données de quasi-santé à l’ère algorithmique ” (2017), in Information & Communications Technology Law, Vol. 26, Iss. 3, p. 229-249 ; G. Comandé – G. Schneider, ” Les enjeux réglementaires des pratiques de data mining : Le cas des cycles de vie sans fin des ‘données de santé’ ” (2018), in European Journal of Health Law, volume 25, numéro 3, pages 284 – 307. ↑
- Voir en général Taylor, L., Floridi, L., van der Sloot, B. eds. (2017) Group Privacy : newchallenges
of data technologies, Dordrecht, Springer. ↑