Le principe de responsabilité du RGPD est fondé sur le risque : plus le traitement des données présente un risque élevé pour les droits et libertés fondamentaux des personnes concernées, plus les mesures nécessaires pour atténuer ces risques sont importantes (voir la sous-section “Principe de responsabilité” dans la section “Principes” de la partie II des présentes lignes directrices)^[1] . Étant donné que le traitement des données à caractère personnel recueillies sur les réseaux sociaux peut être considéré comme présentant un risque élevé,^[2] , les chercheurs/innovateurs doivent également désigner un DPD et réaliser une AIPD. En outre, les responsables du traitement doivent élaborer une politique de protection des données qui permette la traçabilité des informations (voir la sous-section “Principe de responsabilité” dans la section “Principes” de la partie II des présentes lignes directrices).

1. Voir les articles 24, 25 et 32 du RGPD, qui exigent que les responsables du traitement prennent en compte les “risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques” lorsqu’ils adoptent des mesures spécifiques de protection des données. ↑
2. Voir, en particulier, l’article 35, paragraphe 3, point a), selon lequel le traitement des données est considéré comme présentant un risque élevé dans les cas, entre autres, “d’une évaluation systématique et extensive d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées des décisions produisant des effets juridiques à l’égard de la personne physique ou l’affectant de manière significative de façon similaire”. ↑