La loyauté est un principe essentiel du RGPD. On peut dire que l’ensemble de la protection des données, et donc le RGPD, concerne la loyauté envers les personnes concernées. Le RGPD peut être considéré comme précisant ce que signifie réellement la loyauté. Dans le cas des données recueillies par l’utilisation des réseaux sociaux, il est particulièrement important d’éviter les biaisliés au sexe, à la race, à l’âge, à l’orientation sexuelle, à l’origine nationale, à la religion, à la santé et au handicap, etc. Cela peut être problématique car il est possible que certaines des données recueillies via les réseaux sociaux ne correspondent pas à des utilisateurs réels, ou que leurs données sensibles ne soient pas du tout exactes. Cela pourrait créer des biaiscachés (voir la sous-section “Licéité, loyautéet transparence” de la section “Concepts principaux” de la partie II des présentes lignes directrices).

La transparence, en revanche,est une stratégie essentielle pour équilibrer le pouvoir entre le responsable du traitement et la personne concernée. Elle fonctionne en mettant tout en lumière et en l’ouvrant ainsi à un examen minutieux. L’objectif principal de la transparence est d’informer d’emblée les personnes concernées de l’existence du traitement et de ses principales caractéristiques. D’autres informations (telles que les données concernant la personne concernée) sont disponibles sur demande. Les personnes concernées doivent également être informées de certains événements, notamment des violations de données (dans le cas où la personne concernée est exposée à un risque élevé). De toute évidence, la transparence est une condition préalable à la détection et à l’intervention en cas de non-conformité (voir la sous-section “Licéité, loyauté et transparence” de la section “Concepts principaux” de la partie II des présentes lignes directrices).

Dans le cas de l’utilisation de données provenant de réseaux sociaux, la transparence signifie, selon nous, que “les sujets de recherche prévus doivent être informés à un moment donné de la recherche en cours, du type de données personnelles que les responsables du traitement collectent et de la manière dont elles seront utilisées. Certains services précisent clairement que cela doit être fait avant de commencer la collecte. Pour d’autres qui n’ont pas de politique spécifique et lorsque les chercheurs/innovateurs mènent des recherches par observation auxquelles l’obtention d’un consentement préalable pourrait nuire, ils doivent informer les personnes concernées dès que possible. Les chercheurs/innovateurs en TIC devraient toujours retirer de leur moissonnage les personnes qui ne consentent pas à être incluses.” ^[1]

Dans le cas de l’utilisation de données provenant de réseaux sociaux, il est nécessaire de souligner qu’en général, l’article 14 du RGPD sera applicable à un moment donné. Ainsi, lespersonnes concernées doivent être pleinement conscientes que leurs données sont partagées avec des tiers (voir la sous-section “Droit à l’information” dans la section “Droits des personnes concernées” de la partie II des présentes lignes directrices). Cela peut se faire de différentes manières. Par exemple, la CNIL a conseillé aux responsables de traitement d’inclure tous les tiers dans une notice de confidentialité exhaustive, mais mise à jour périodiquement, ou d’insérer un lien dans cette notice et de rediriger les personnes vers la liste des tiers et de leurs propres politiques de confidentialité. ^[2]

Les responsables du traitement doivent garantir la transparence non seulement en fournissant des informations adéquates, mais aussi en utilisant un certain nombre d’outils complémentaires. La désignation d’un DPD, qui sert alors de point de contact unique pour les questions des personnes concernées, est une excellente option. La préparation de registres adéquats du traitement à l’intention des autorités de contrôle ou la réalisation d’analyses d’impact sur la protection des données sont également des mesures hautement recommandées pour promouvoir la transparence. De même, la réalisation d’analyses visant à évaluer l’efficacité et l’accessibilité des informations fournies aux personnes concernées contribue à garantir la mise en œuvre efficace de ce principe^[3] .

Enfin, la mise en œuvre de ce que l’on appelle les outils d’amélioration de la transparence (TET)^[4] pourrait être une excellente option pour garantir le respect du principe de transparence, en particulier lorsqu’un traitement massif ou automatisé des données est prévu.

1. https://info.lse.ac.uk/staff/divisions/Secretarys-Division/Assets/Documents/Information-Records-Management/Social-media-personal-data-and-research-guidance-v.1.pdf ↑
2. https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-des-fins-de-prospection-electronique-quels-sont-les ↑
3. Voir les lignes directrices du pilier de l’OCSE ” D4.1 : Legal and Policy Framework and Federation Blueprint ” (2021), p. 44 et suivantes. À l’adresse : https://repository.eosc-pillar.eu/index.php/s/tbqe6B7rDycdFCJ#pdfviewer ↑
4. Les TET peuvent être subdivisés en TET “ex ante” et TET “ex post”. Les TET ex ante guident le processus décisionnel de l’utilisateur avant qu’il ne fasse son choix quant à la divulgation de données à caractère personnel à un responsable du traitement. Inversement, les TET ex post visualisent les données personnelles divulguées de manière à rendre transparents les processus qui ont eu lieu depuis que l’utilisateur a divulgué ses données (voir P. Murmann ; S. Fischer-Hübner, `Usable Transparency Enhancing Tools – A Literature Review’ (2017), document de travail. À l’adresse : http://www.diva-portal.org/smash/get/diva2:1119515/FULLTEXT02.pdf). ↑