Les points juridiques importants dans les projets de type crowdsourcing

Classé dans : Fiches d’information | 0

 

Ce contenu a été produit à partir du site web concernant les données personnelles et grâce à l’expertise de la direction des affaires juridiques de l’Inrae et la Déléguée Informatique et libertés d’INRAE.

 

Quel est le statut juridique de ces données ?

Les données qui sont recueillies dans le cadre de certains projets des Sciences et Recherches Participatives peuvent avoir des natures très diverses. Ceci est notamment vrai dans le cadre de projets de Crowdsourcing, dont l’objectif est de faire participer la société civile à l’acquisition d’observations de façon massive le plus souvent via des outils et/ou des applications mobiles.

Les données collectées appartiennent à deux catégories dont le cadre juridique est différent :

  • a) Les données à caractère personnel
    Pour toute utilisation, il convient préalablement d’effectuer des démarches de mise en conformité auprès des personnes désignées par l’établissement (cil-dpo@inrae.fr).
    Plus d’informations sur ces démarches et sur le RGPD
  • b) Les données collectées par le projet participatif lui-même.
    L’objet et le type de donnée ainsi recueillies peuvent avoir des formats très divers allant des dates de développement (phénologie) d’une espèce (migration, floraison) ; le signalement de la présence ou absence d’une espèce dans un lieu donné ; les comptages d’individus d’une espèce dans un lieu donné ; la prise de photo (numérique) d’un objet ou espèce vivante pour son identification ; l’enregistrement sonore d’un bruit, musique, chant… ; ou l’échantillonnage d’un objet physique ou biologique (terres, tiques, fleurs…)…
    En fonction de la nature de ces données collectées, il conviendra de prendre en compte le cadre juridique adapté pour pouvoir les traiter et les exploiter. Voir réponse à la question A qui appartiennent les données collectées via les applications smartphones ou renseignées sur le site du projet ?

Point de vigilance sur les données collectées : si elles permettent d’identifier des informations sensibles au sens du code de l’environnement (ex : point d’eau potable, signalement d’espèces protégées endémiques) ou pour des raisons militaires, il est nécessaire avant de démarrer le projet de contacter le fonctionnaire sécurité défense de l’établissement ainsi que la direction des affaires juridiques d’INRAE pour étudier la sensibilité de ces données par rapport au risque de diffusion.

Enfin, la question des données caractérisant des personnes comme étant l’objet d’étude (domaine de la santé par exemple où les projets participatifs sont la constitution de cohortes d’individus) n’est pas traité dans cet article.

Point de vigilance sur la donnée de géolocalisation : la donnée de géolocalisation est une donnée à caractère personnel dès lors qu’elle matérialise l’emplacement d’une propriété privée. Cependant, utilisée seule elle ne pose pas de problème. En revanche, dès lors qu’elle est couplée à une autre information permettant de déduire des pratiques comportementales d’individus, l’ensemble constitue une information à caractère personnel. Elles ne peuvent donc plus être diffusées librement, sauf cas particulier. Par exemple, le code de l’environnement (L-124-5) indique, pour les émissions de substances dans l’environnement, que celles-ci doivent être diffusées sur demande. Exemple d’une maladie d’un arbre qu’un propriétaire a l’obligation de traiter sous peine d’amende. Le signalement de la présence de cette maladie ne peut être diffusé sous forme de coordonnées GPS.

 

A qui appartiennent les données collectées via les applications smartphones ou renseignées sur le site du projet ?

Le site web ou application smartphone doit disposer de conditions générales d’utilisation (appelées CGU) qui définissent les droits et devoirs des utilisateurs du site ainsi que les éléments de propriété du contenu et des licences de réutilisation. Les juristes en droit numérique, informatique et libertés de la Direction des affaires juridiques de l’Inrae peuvent vous conseiller sur les informations à fournir dans les CGU de votre site web. Le participant au projet doit pouvoir valider les CGU avant de verser du contenu sur le site web.

Les données sont transmises à l’INRAE via le site web ou l’application. Inrae en acquiert généralement les droits d’exploitation afin qu’elles puissent être réutilisées (sous réserve qu’un cadre juridique général en limite la divulgation). Dans certains cas, l’Inrae peut envisager d’en demander la co-propriété si cela sert la finalité du projet. Dans certains projets, il peut y avoir des participations sous contributions financières ou avec des accords de droit plus restreints pour l’Inrae. Une fois définie le cadre juridique de propriété et d’exploitation, dans le cadre du contrat de partenariat du projet par exemple, il sera à mentionner dans les CGUs.
Un exemple de CGUs produit par la direction des affaires juridiques de l’Inrae.

Lorsque les données sont complexes et relèvent de la propriété intellectuelle, il est recommandé d’envisager en amont des formes de reconnaissance, ceci est à discuter avec les contributeurs.

 

Y a-t-il une obligation de mettre à disposition du public les données collectées ?

Pour bien saisir de quelles données parle-t-on, lire la partie statut juridique des données collectées

Pour les données à caractère personnel :

  • Les données à caractère personnel caractérisant le participant (par exemple en lien avec la création du compte utilisateur) ne sont pas concernées par une mise à disposition publique.
  • Les données permettant, via les données de géolocalisation d’identifier des personnes ou de déduire un comportement ne doivent pas être rendues publiques (ou alors elles devront être dégradées).
    En effet, les données d’un acte technique, traitement phytosanitaire, type de production… peuvent être considérés comme personnelles si elles sont associées à des coordonnées d’un lieu privé, car elles peuvent informer sur le comportement ou pratiques du propriétaire.
    Dans ce cas, il est possible et recommandé de dégrader l’information (on parle de généralisation de l’information) et de diffuser alors une donnée géographique de niveau département ou commune à la place. Prendre contact avec la personne référente RGPD d’INRAE pour être conseillé.

Pour les données collectées :

Les conditions générales d’utilisation (CGUs) mentionnent la propriété des données versées dans l’application.

  • Selon le cadre de réalisation du projet (mission de service public, financement public, ou privé, …), il se peut qu’il y ait une obligation à les rendre publique. Pour cela, il convient de regarder le contrat de financement ou de participation au projet. L’Ingénieur en projet de partenariat de votre centre de recherche Inrae peut vous orienter.

Point de vigilance dès lors que vous rendez public les données collectées :

  • Lorsque la donnée de géolocalisation ne permet pas de caractériser une pratique comportementale ou d’identifier un individu, alors elle peut être diffusée conformément à ce qui est prévu dans les conditions générales d’utilisation du site web. Exemple : les données concernant le type de sol, la floraison d’une plante, la présence d’une tique, le chant d’un oiseaux… ne sont pas considérés comme personnelles, même associés à des coordonnées d’un lieu privé (par exemple un jardin), car elles ne décrivent un comportement ou une pratique du propriétaire.
  • dans le cas d’émissions de substances dans l’environnement (voir article du code de l’environnement), demander conseil auprès de la direction des affaires juridiques de l’établissement pour les conditions de diffusion.

 

Parmi les données collectées, y a-t-il des informations à supprimer (nom, email, géolocalisation…) avant de les diffuser ?

Les données à caractère personnel ne doivent pas être diffusées, elles peuvent être conservées sur une durée à définir en fonction de l’utilité (durée à préciser), moyennant le droit d’opposition et d’effacement inhérent à toute collecte de données à caractère personnel.

Les données collectées sont diffusables moyennant les précautions – voir réponse à la question Y a-t-il une obligation de mettre à disposition du public les données collectées ?

 

Quelles sont les conformités au RGPD à effectuer sur l’application de collecte ?

En préambule, voici les données qui permettent d’identifier un individu :

  • Tous les identifiants d’une personne : adresse physique ou IP, adresse mail, numéro de téléphone, etc ;
  • Ses caractéristiques physiques : taille, poids, couleur des yeux, ADN, empreintes digitales ou rétiniennes, etc ;
  • Ses opinions et comportements : idées politiques, appartenances associatives, orientation sexuelle, goûts, etc ;
  • Les données d’usage : type géolocalisation, l’image, contenus postés, etc.

Le site web Inrae dédié à la gestion des données personnelles donne l’ensemble des démarches de mise en conformité à effectuer : https://intranet.inrae.fr/donnees-personnelles/Les-demarches-de-mise-en-conformite

Pour la mise en conformité de l’application de collecte, il convient d’intervenir à 3 niveaux :

Point de vigilance : l’idée du RGPD est la transparence sur l’utilisation des données personnelles et la cohérence de cette utilisation au regard de la finalité du projet. Il convient donc d’être vigilant quant à une utilisation postérieure qui serait faite en détournant la finalité du projet. Exemple : le site web hébergé chez un partenaire associatif du projet qui utiliserait les emails des comptes utilisateurs pour envoyer des informations sur ses évènements et activités.

 

Y a-t-il un traitement particulier à effectuer par rapport aux emails collectés lors de la création du compte utilisateur par le participant ?

La plupart des projets de Crowdsourcing demandent la création d’un compte utilisateur via un outil ou plateforme informatique pour pouvoir participer au projet. L’intérêt de la création d’un tel compte est multiple : identifier les utilisateurs uniques ; assurer une certaine traçabilité des données acquises ; contacter l’utilisateur si besoin d’un complément d’information ; contacter l’utilisateur pour le donner des informations du projet…, et bien d’autres raisons qui peuvent apparaitre comme importantes /nécessaires aux yeux du scientifique (organisateur).
Dans le cas de comptes utilisateurs, la fiche référentiel décrit ce qui est permis de faire :
https://intranet.inrae.fr/donnees-personnelles/content/download/3313/34403/version/4/file/Fiche_referentiel_compte_utilisateur_V2.docx
https://intranet.inrae.fr/donnees-personnelles/Les-demarches-de-mise-en-conformite/Les-formalites-obligatoires/Fiches-Referentiel

Print Friendly, PDF & Email