Types de données qui peuvent être collectées par les réseaux sociaux
Home » Réseaux sociaux » Introduction aux réseaux sociaux et aux questions de protection des données » Types de données qui peuvent être collectées par les réseaux sociaux

Les réseaux sociaux peuvent fournir aux chercheurs trois types de données différents : les données fournies, les données observées et les données inférées/dérivées (ou une combinaison de toutes ces données). Ces types de données pourraient être définis de la manière suivante :[1]

  • “Les données fournies” font référence aux informations fournies activement par la personne concernée au fournisseur de médias sociaux et/ou au responsable du traitement. Par exemple : les utilisateurs de médias sociaux peuvent indiquer leur âge dans la description de leur profil. Dans les présentes lignes directrices, nous n’aborderons pas le traitement de ces données, car elles ne diffèrent pas des autres données recueillies par un fournisseur de services.
  • “Les données observées” désignent les données fournies par la personne concernée en vertu de l’utilisation d’un service ou d’un dispositif. Il s’agit notamment de :
    • les données d’un utilisateur de médias sociaux particulier peuvent être recueillies sur la base de l’activité sur la plateforme de médias sociaux elle-même (par exemple le contenu que l’utilisateur a partagé, consulté ou aimé) ;
    • des données relatives à l’utilisation des appareils sur lesquels l’application du média social est exécutée (par exemple, coordonnées GPS, numéro de téléphone mobile) ;
    • les données obtenues par un développeur d’applications tiers en utilisant les interfaces de programmation d’applications (API) ou les kits de développement de logiciels (SDK) proposés par les fournisseurs de médias sociaux ;
    • les données collectées par l’intermédiaire de sites web de tiers qui ont incorporé des plugins sociaux ou des pixels ;
    • des données collectées par des tiers (par exemple, des parties avec lesquelles la personne concernée a interagi, acheté un produit, souscrit à des cartes de fidélité) ; ou
    • les données collectées par le biais de services proposés par des sociétés détenues ou exploitées par le fournisseur de médias sociaux.
  • “Les données inférées” et “les données dérivées” sont celles créées par le responsable du traitement sur la base des données fournies par la personne concernée ou telles qu’observées par le responsable du traitement. Elles peuvent être dérivées par des calculs déterministes ou déduites de manière probabiliste. Par exemple, un fournisseur de médias sociaux pourrait déduire que des personnes sont susceptibles d’être intéressées par une certaine activité ou un certain produit sur la base de leur comportement de navigation sur le web et/ou de leurs connexions réseau.

La manière d’obtenir les données n’est pas pertinente pour les qualifier de données personnelles ou non personnelles, ni pour décider si elles appartiennent à des catégories particulières de données conformément à l’art. 9 duRGPD. Toutefois, elle peut avoir des conséquences importantes à d’autres égards. Par exemple, lorsqu’il s’agit de déterminer si les personnes concernées pouvaient prévoir, ou non, un traitement particulier, ou lorsqu’il s’agit de déterminer les limites de leur droit à la portabilité ou les informations à leur fournir. Il faut garder à l’esprit que dans le cas de données observées, déduites ou dérivées, les utilisateurs ne sont généralement pas conscients que des données sont collectées ou générées.

Encadré 1 : Déduire des données. Exemples

Exemple 1

“La société X a développé une application qui, en analysant les données brutes des signaux d’électrocardiogramme générés par des capteurs commerciaux couramment disponibles pour les consommateurs, est capable de détecter des schémas de dépendance aux drogues. Le moteur de l’application peut extraire des caractéristiques spécifiques des données brutes de l’ECG qui, selon les résultats d’enquêtes précédentes, sont liées à la consommation de drogues. Le produit, compatible avec la plupart des capteurs du marché, peut être utilisé comme une application autonome ou par le biais d’une interface web nécessitant le téléchargement des données. Le consentement explicite de l’utilisateur doit être recueilli pour traiter les données à cette fin. Le respect de cette exigence de consentement peut être satisfait dans les mêmes conditions et au même moment que lorsque le consentement est recueilli auprès de la personne concernée en vertu de l’article 7, point a).”

Source : Avis 8/2014 du groupe de travail Art 29 sur la protection des données sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

Exemple 2

Les données Fitbit pourraient être utiles aux employeurs potentiels, qui pourraient en déduire que “l’impulsivité et l’incapacité à retarder la satisfaction – qui peuvent toutes deux être déduites des habitudes d’exercice d’une personne – sont liées à l’abus d’alcool et de drogues, aux troubles du comportement alimentaire, au tabagisme, à une dette de carte de crédit plus élevée et à des scores de crédit plus faibles. Le manque de sommeil – que le Fitbit permet de suivre – a été associé à un mauvais bien-être psychologique, à des problèmes de santé, à de mauvaises performances cognitives et à des émotions négatives telles que la colère, la dépression, la tristesse et la peur.”

Source : Peppet, Scott R ‘Regulating the Internet of Things : First Steps toward Managing Discrimination, Privacy, Security and Consent’ (2014) 93 Tex. L. Rev. 85.

Il faut considérer que la déduction de données relatives à la santé est un traitement particulièrement sensible puisque ces données (qu’elles soient déduites ou non) sont des données de catégories spéciales.
  1. Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux Version 2.0 Adoptées le 13 avril 2021, à l’adresse : https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.

 

Aller au contenu principal