1.3. Principes d'intégrité et de
confidentialité
Par ailleurs, il est essentiel de réfléchir
à une architecture sécurisée en suivant le parcours des
données349. Le recours à un prestataire pour
l'hébergement doit faire l'objet de précautions
particulières.
345 CNIL, Délib., n° 2019-093, 4 juill. 2019
346 W. Maxwell, C. Zolynski, «Protection des données
personnelles», receuil Dalloz 2019, P. 1673 §6
347 CNIL, Délib. n°2018-343, 8 novembre 2018
348 CNIL, «Prendre en compte les bases légales
dans l'implémentation technique», 27 janvier 2020
349 CNIL, «faire un choix éclairé de son
architecture», 27 janvier 2020
- 61 -
Le régime de lege lata
§2. Étape 2 : Modélisation
Définition du Modélisation Initialisation
Entrée Traitement Sortie
traitement
2.1. Principe de transparence
Le principe de transparence s'interprète
d'après l'EDPB comme le devoir d'informer les personnes
concernées des modalités de traitement et des droits qu'elles
peuvent exercer350. L'information concerne donc l'exercice effectif
de ce droit (art. 12 RGPD), l'information de la personne concernée en
cas de collecte directe (art. 13 RGPD) ou indirecte (art. 14 RGPD), le droit
d'accès (art. 15 RGPD), le droit de rectification (art. 16 RGPD), le
droit à l'effacement (art. 17 RGPD), le droit à la limitation du
traitement (art. 18 RGPD), le droit à l'effacement ou à la
rectification (art. 19 RGPD), le droit à la portabilité (art. 20
RGPD), le droit d'opposition à la prise de décision
entièrement automatisée (art. 21 RGPD), le droit d'opposition au
profilage (art. 22 RGPD) et la communication d'une violation de données
(art. 34 RGPD). Si le principe de transparence n'est pas défini par le
RGPD, le G29, dans ses lignes directrices relatives à la
transparence351, indique que ce principe doit être garanti
tout au long du cycle de vie du traitement des données tant lors de la
collecte que lors du traitement.
Il convient donc de veiller à garantir l'exercice de
ces droits dans la rédaction de l'algorithme. La CNIL
recommande352 d'intégrer l'exercice des droits des personnes
dès la conception du logiciel, même si cette pratique n'est pas
obligatoire. Par exemple, implémenter une fonctionnalité qui
affiche l'ensemble des données relatives à une personne pour
garantir le droit d'accès. Il est aussi recommandé de
prévoir un traçage de l'ensemble des opérations ayant un
impact sur les données à caractère personnelle de la
personne concernée.
2.2. Principe de loyauté
Sur ce point l'EDPB considère353 que le
principe de loyauté est un principe global, qui permet d'éviter
que le traitement soit effectué de manière préjudiciable,
discriminante, inattendue ou trompeuse. Ce principe permet de garantir les
droits et libertés des personnes concernées. La mise en oeuvre de
ce principe passe par une attention particulière lors de la
350 EDPB, Guidelines 4/2019 on Article 25 Data Protection by
Design and by Default, op. cit., p.14
351 G29, «Guidelines on transparency under Regulation
2016/679», 11 avril 2018, p.6
352 CNIL, « Préparer l'exercice des droits des
personnes », 27 janvier 2020
353 EDPB, Guidelines 4/2019 on Article 25 Data Protection by
Design and by Default, op. cit., p.16
- 62 -
Le régime de lege lata
rédaction du code et la mise en place d'une
documentation et d'un système de contrôle de qualité du
code354.
De plus, la prise de décision entièrement
automatisée ayant des conséquences cruciales pour les personnes
est interdite par le RGPD355. Il convient donc de prévoir
systématiquement une intervention humaine356.
| 
