Les bases de recherche sur les données recueillies via les réseaux sociaux impliquent souvent le traitement d’un grand nombre de données personnelles. Cela crée un scénario complexe. Les responsables du traitement doivent être conscients que, même si cela peut être difficile à réaliser, les personnes concernées doivent être en mesure de comprendre comment, et dans quel but, leurs données personnelles sont utilisées. En général, cela signifie que les chercheurs doivent utiliser des outils capables de fournir ces connaissances de la manière la plus simple possible. L’explicabilité est particulièrement importante dans le cas du traitement automatique des données ou du profilage. “Les méthodes permettant de donner des informations, d’offrir un droit de refus ou de demander un consentement doivent être aussi conviviales que possible. Par conséquent, les politiques d’information doivent se concentrer sur les informations compréhensibles par l’utilisateur et ne doivent pas se limiter à une politique générale de confidentialité sur le site web des responsables du traitement”. [1]
Si le responsable du traitement “prévoit” d’effectuer un traitement à des fins autres que celles pour lesquelles les données ont été collectées à partir du réseau social, il doit informer au préalable les utilisateurs ou les personnes concernées de ce nouveau traitement, en fournissant des informations et en se conformant à toutes les autres exigences, telles que l’existence d’une base juridique pour cette nouvelle finalité ou la réalisation d’une évaluation de la compatibilité (voir la sous-section “Principe de limitation de la finalité” de la section “Concepts principaux” de la partie II des présentes lignes directrices). Bien entendu, les exigences de transparence sont clairement liées au principe de loyauté, puisque plus il est difficile pour l’utilisateur de comprendre le traitement des données, plus la différence entre les différents types d’utilisateurs est grande. En général, “plus la quantité de données est importante, plus il est difficile d’en avoir un aperçu clair et intelligible sous forme de texte. Les symboles offrent un moyen de représenter les catégories de données personnelles d’une manière allégée et reconnaissable. Pour cela, il faut des représentations graphiques significatives et auto-explicatives des données. “[2]
Selon le RGPD, les informations qu’un responsable de traitement doit fournir aux personnes concernées varient selon que ces informations ont été obtenues auprès d’elles ou non. Si les données personnelles ne sont pas obtenues auprès de l’utilisateur (art. 14 du RGPD), comme dans le cas de la réception des données d’un réseau social, le responsable du traitement doit être particulièrement attentif à fournir à la personne concernée une information adéquate, d’autant plus qu’une collecte massive de données est effectuée. Ainsi, les responsables du traitement doivent informer l’utilisateur des dispositions de l’art. 14 du RGPD[3] .
Il est toutefois nécessaire de mentionner que, parfois, il peut être extrêmement difficile pour les responsables du traitement qui ont recueilli les données à partir d’un réseau social d’informer les personnes concernées du traitement. Si tel est le cas, ils peuvent rappeler l’article 14.5 (b), qui stipule que “la fourniture de cette information s’avère impossible ou impliquerait un effort disproportionné, notamment pour les traitements à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de nuire gravement à la réalisation des finalités de ce traitement ” (voir la sous-section “Protection des données et recherche scientifique” de la section “Concepts principaux” de la partie II des présentes lignes directrices).
Dans ce cas, le responsable du traitement doit prendre les mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en rendant l’information accessible au public (voir la sous-section “Droit à l’information” de la section “Droits de la personne concernée” de la partie II des présentes lignes directrices). Ainsi, en principe, les responsables du traitement pourraient éviter de fournir des informations sur le traitement aux personnes concernées si cela est rendu impossible, mais seulement s’ils prennent des mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en rendant les informations accessibles au public.
Notez toutefois avec prudence que l’effort disproportionné peut, dans certaines juridictions, être interprété de manière étroite. Par exemple, une décision récente (mars 2019) de l’autorité polonaise de protection des données (APD polonaise) a condamné une entreprise d’extraction de données à une amende de 220 000 € pour avoir omis de fournir des avis de confidentialité à 5,7 millions de personnes dont les données avaient été extraites d’un registre public. L’APD polonaise a rejeté l’argument selon lequel le placement d’un avis de confidentialité sur le site web de l’entreprise d’extraction de données était suffisant pour informer les individus, en particulier lorsque les individus ne savaient pas que leurs données avaient été extraites et étaient traitées.[4]
| Liste de contrôle : loyauté et transparence
Loyauté ☐ Les responsables du traitementréalisent des audits visant à détecter des biais dans les jeux de données construits et/ou les conclusions de l’analyse. ☐ Les responsables du traitement ont mis en place des mesures adéquates pour éviter les biais provoqués par l’utilisation d’outils d’IA. Transparence ☐ Le responsable du traitement fournit
☐ Les données à caractère personnel n’ayant pas été fournies par la personne concernée, les responsables du traitement ont fourni toutes les informations énumérées à l’article 14.1 du RGPD ; ☐ Les données personnelles n’étant pas fournies par la personne concernée, les informations sont fournies :
☐ L’information est fournie de manière concise, transparente, intelligible et facilement accessible. Elle est claire et expurgée dans un langage simple. ☐ Si la fourniture des informations est rendue impossible, les responsables du traitement prennent des mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en rendant les informations accessibles au public. ☐ Les responsables du traitement ont documenté toutes les informations concernant ces problèmes. |
- Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
- Bier C., Kühne K., Beyerer J. (2016) PrivacyInsight : Le tableau de bord de la vie privée de nouvelle génération. In : Schiffner S., Serna J., Ikonomou D., Rannenberg K. (eds) Privacy Technologies and Policy. APF 2016. Lecture Notes in Computer Science, vol 9857. Springer, Cham. https://doi.org/10.1007/978-3-319-44760-5_9 ↑
- Voir : CNIL, La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial, à l’adresse : https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial. ↑
- Campbell, Fiona, Data Scraping – Considering the Privacy Issues, à l’adresse : https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-scraping-considering-the-privacy-issues. ↑