Identification de la donnée
|
Évaluation
|
Déploiement
|
|
Définition du Modélisation Initialisation
Entrée Traitement Sortie
traitement
Section 2 : Les étapes à respecter tout
au long du cycle de vie de la donnée
Dans un avis consultatif, l'EDPB liste les principes à
respecter pour garantir le privacy by Design et le privacy by
default337. Cet avis, n'étant que provisoire, il ne sera
pas détaillé dans ce mémoire. En revanche, les
étapes à respecter qui suivent les étapes
d'élaboration d'un logiciel d'intelligence artificielle sont accessibles
en annexe (Annexe v - Privacy by design et by privacy by default
d'après l'avis du CEPD).
§1. Étape 1 : Définition du
traitement
Définition du Modélisation Initialisation
Entrée Traitement Sortie
traitement
Avant d'effectuer un traitement, il est nécessaire de
définir chacun des principes suivants et de justifier ce choix dans le
registre ou dans l'analyse d'impact à la protection des
données.
335 CNIL, « La CNIL publie un guide RGPD pour les
développeurs », 28 janvier 2020
336 Commission Européenne, livre blanc sur
l'intelligence artificielle, op. cit., p.18
337 EDPB, Guidelines 4/2019 on Article 25 Data Protection by
Design and by Default, op. cit.
- 59 -
Le régime de lege lata
1.1. Principe de limitation des finalités
Le principe de finalité impose que chaque traitement
doit être effectué en vue d'une ou plusieurs finalités
« déterminées, explicites et
légitimes338 ». En cas de traitement
effectué à des fins ultérieures, le responsable du
traitement doit s'assurer que cette finalité est compatible avec la
finalité initiale qui a justifié la collecte (art. 6.4. RGPD).
1.2. Principe de licéité
Le traitement n'est licite que lorsqu'il est fondé sur
une des bases légales de l'article 6.1 du RGPD, qui sont
l'exécution d'un contrat339, le respect d'une obligation
légale, la sauvegarde des intérêts vitaux de la personne
concernée ou d'une autre personne physique, la mission
d'intérêt public, les intérêts légitimes
poursuivis par le responsable du traitement ou par un tiers, et le consentement
de la personne concernée340. Le traitement des données
sensibles est en principe interdit par l'article 9.1 du RGPD, mais peut en
revanche être permis si le traitement est fondé sur des bases
légales spécifiques.
Dans la décision341 de la CNIL qui a
sanctionné Google à hauteur de 50 millions d'euros, sanction la
plus importante jamais donnée, les manquements reprochés
étaient relatifs à l'information des utilisateurs et au
consentement. Le bouton d'acceptation de l'utilisation des données
à des fins publicitaires était pré-coché, ce qui a
privé le consentement de son caractère spécifique et
univoque. W. Maxwell et C. Zolynski analysent cette décision comme une
prise en compte du design des interfaces homme-machine342. Le
responsable du traitement devra s'assurer de la conformité de ce visuel
afin d'obtenir le consentement des personnes concernées. Il s'agit ainsi
de la sanction du non-respect du privacy by design.
Par la suite, la décision343 de la CJUE a
poursuivi cette dynamique et a considéré que le
pré-cochage d'une case permettant l'utilisation de cookies invalidait le
consentement. En l'espèce344, afin de pouvoir accéder
à un jeu promotionnel, l'utilisateur se voyait présenter au
préalable une interface présentant deux cases. La
première, non cochée, était nécessaire pour
participer au jeu et indiquait que l'utilisateur donnait son accord pour
être démarché par les partenaires de la
société. La seconde, pré-cochée, indiquait que
l'utilisateur acceptait
338 Art. 5.1.b) RGPD
339 Détaillé dans les guideslines de l'EDPB :
«Guidelines 2/2019 on the processing of personal data under Article
6(1)(b) GDPR in the context of the provision of online services to data
subjects», 8 octobre 2019
340 Détaillé dans les Lignes directrices du G29
sur « le consentement au sens du règlement 2016/679 »,
10 avril 2018
341 CNIL, Délib. formation restreinte, n°
SAN-2019-001, 21 janv. 2019
342 W. Maxwell, C. Zolynski, «Protection des données
personnelles», recueil Dalloz 2019, P. 1673 §6
343 CJUE, aff. C-673/17, Planet49 GmbH c/ Bundesverband), 21
mars 2019
344 W. Maxwell, C. Zolynski, «Protection des données
personnelles», receuil Dalloz 2019, P. 1673
- 60 -
Le régime de lege lata
l'utilisation des cookies. La Cour a jugé que le
consentement ne pouvait résulter d'un acte positif de l'internaute du
fait que la case était pré-cochée. Le consentement ne peut
pas non plus être considéré comme distinct, du fait que la
manifestation du consentement à l'utilisation des cookies et la
volonté de jouer au jeu ne peuvent résulter d'un même acte.
La CNIL s'est par la suite alignée345 sur cette
décision. Ainsi, le design des interfaces homme-machine est donc
déterminant dans les modalités d'obtention du
consentement346.
Concernant le profilage, l'affaire Vectuary a mis en
lumière la nécessité d'informer les utilisateurs pour
avoir un consentement valide347. En l'espèce, la
finalité de traitement de la géolocalisation n'était pas
assez explicite, et consistait à établir des habitudes de
déplacement afin de leur proposer de la publicité
ciblée.
La base légale conditionne les modalités
d'information ainsi que le droit des personnes concernées. La CNIL dans
le tableau ci-après présente348 les droits que le
responsable du traitement est tenu de consacrer suivant les bases
légales du traitement.
|
DROIT DES PERSONNES A GARANTIR
|
BASE LEGALE
|
|
ACCÈS
|
RECTIFICATI
ON
|
EFFACEMENT
|
LIMITATION
DU
TRAITEMENT
|
PORTABILITÉ
|
OPPOSITION
|
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Retrait du
consentement
|
|
Oui
|
Oui
|
Oui
|
Oui
|
Oui
|
Non
|
|
Oui
|
Oui
|
Oui
|
Oui
|
Non
|
Oui
|
|
Oui
|
Oui
|
Non
|
Oui
|
Non
|
Non
|
|
Oui
|
Oui
|
Non
|
Oui
|
Non
|
Oui
|
|
Oui
|
Oui
|
Oui
|
Oui
|
Non
|
Non
|
|
| 
