100 points à savoir sur…
Gestion de projet inclusive

Le cœur du règlement général sur la protection des données est constitué de 7 principes, qui vous ont été brièvement présentés dans la leçon précédente, Notion 18. Dans cette leçon, nous allons expliquer plus en détail chacun de ces principes. Nous vous présenterons ici le principe n° 1 (légalité, transparence et loyauté) du RGPD.

Qu'est-ce que la légalité ?

Lorsqu'une organisation traite des données personnelles, elle doit toujours le faire conformément à la loi (RGPD). En d'autres termes, il doit y avoir une base juridique légitime (motifs) pour traiter les données personnelles.

Les motifs spécifiques de traitement des données doivent être identifiés et au moins l'un des éléments suivants doit s'appliquer :

• a) La personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques.
• b) La collecte des données est nécessaire à l'exécution future d'un contrat dans lequel la personne concernée a un intérêt.
• c) La personne au sein de l'organisation qui est responsable du traitement des données est légalement tenue de le faire.
• d) Le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.
• e) Le traitement est nécessaire à l'exécution d'une tâche effectuée par le "responsable du traitement" (voir Notion 26) dans l'intérêt public ou dans l'exercice de l'autorité publique (le responsable du traitement).
• f) L'organisation (ou une autre partie) a un intérêt légitime à traiter les données. A moins que les intérêts ou les droits fondamentaux de la personne concernée ne prévalent sur cet intérêt.

En résumé, le traitement des données est " légal " ou légitime si au moins l'un des motifs ci-dessus est rempli. Là encore, tout dépend de l'intention et de la relation entre les parties concernées.

Qu'est-ce que la loyauté ?

Lorsque des données sont traitées, cela doit être fait d'une manière à laquelle les gens s'attendent et non d'une manière qui a un impact négatif injustifié sur eux. Ainsi, lorsque vous traitez des données, vous devez vous demander deux choses :
1) Le traitement aura-t-il un impact négatif sur un individu ou un groupe ?
2) Le traitement des données est-il justifié ?

S'il ne l'est pas, alors vous êtes en infraction avec ce principe. "Si un aspect de votre traitement est déloyal, vous êtes en violation de ce principe - même si vous pouvez démontrer que vous avez une base légale pour le traitement." (ICO, s.a.).

Qu'est-ce que la transparence ?

La transparence signifie être clair, honnête et ouvert. En matière de vie privée et de protection des données, cela signifie que les personnes doivent savoir dès le départ comment et pourquoi leurs données personnelles sont collectées et traitées. Une organisation doit donc communiquer ces informations dans un langage simple, afin que chacun puisse les comprendre. Lorsque les personnes disposent de ces informations, elles peuvent exercer leurs droits.

Pour vous aider à comprendre ces concepts, voici un exemple concret :
En mars 2018, deux des plus grands journaux du monde (The Guardian et le NY Times) ont publié des articles sur "la façon dont les données personnelles de plus de 50 millions d'utilisateurs de Facebook ont fini entre les mains de Cambridge Analytica" (Privacy International, 2019). La société de conseil et d'analyse de données (Cambridge Analytica) a obtenu illégalement des données de Facebook par le biais d'une application tierce (un test de personnalité), sans le consentement des utilisateurs et sans base légale. Ce scandale a été un événement catalyseur en termes de lois et de réglementations sur la protection des données. En effet, 2 mois après cet événement, le RGPD est entré en vigueur.

Par conséquent, il est juste de dire qu'il y a eu une violation complète du principe n° 1 du RGPD et nous allons expliquer pourquoi :
Le test de personnalité mentionné précédemment ("This Is Your Digital Life") a été développé par un employé de Cambridge Analytica. Le test a créé un profil psychologique de la personne qui répondait aux questions, que l'entreprise a utilisé pour cibler des électeurs individuels dans le but de prédire et d'influencer les décisions de vote des gens et d'augmenter le soutien à la campagne présidentielle de Trump en 2016 (Privacy International, 2019). Pour le test, il y avait un processus de consentement éclairé pour la recherche, avec des milliers d'utilisateurs de Facebook acceptant de le compléter à des fins académiques uniquement. Cependant, Facebook a permis à cette application de collecter des données personnelles non seulement auprès des répondants, mais aussi auprès de leurs contacts Facebook.

Le partage des données par Facebook et l'utilisation des données personnelles par Cambridge Analytica sans le consentement des personnes étaient totalement illégaux ( légalité ). Les droits et libertés fondamentaux des personnes ont été violés, sans parler de l'impact négatif potentiel sur les personnes au niveau collectif (impuissance), ou de la manière discutable de demander le consentement des personnes et d'utiliser ensuite leurs données personnelles comme stratégie pour les cibler et influencer une élection (transparence).

Références :

• Privacy International (2019, 30 avril) . Cambridge Analytica, GDPR - 1 an après - beaucoup de mots et quelques actions. https://privacyinternational.org/news-analysis/2857/cambridge-analytica-gdpr-1-year-lot-words-and-some-action
• ICO (s.a.) Principe (a) : Légalité, équité et transparence. ICO, Information Commissioner's Office. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/lawfulness-fairness-and-transparency/