Question:
GDPR - Suis-je responsable du traitement en tant que propriétaire de l'application si je n'ai pas accès aux données?
Leszek Szary
2018-06-21 10:04:24 UTC
view on stackexchange narkive permalink

  1. Supposons que j'ai créé une application mobile pour iPhone qui suit les trajets à vélo, ce qui signifie que l'application collecte les coordonnées GPS du téléphone et plus tard, cette application mobile affiche des statistiques à ce sujet. Supposons également que l'application conserve ces données gps localement sur le téléphone mobile uniquement. Donc, l'application traite ces données de la manière dont je les ai programmées, mais en tant que personne, je n'ai pas accès à ces données. Je suppose que dans ce cas, je ne suis pas le responsable du traitement selon le RGPD parce que je n'ai pas accès à ces données est-ce correct?

  2. Et si en plus je programmerais mon par exemple, de telle sorte qu'elle envoie parfois les coordonnées GPS actuelles à un service en ligne contrôlé par une société externe telle qu'Apple afin de transformer les coordonnées GPS en un nom de rue et de ville afin que l'application puisse afficher le nom de la rue / ville au utilisateur (service de géocodage inversé). Mais mon application enverrait toujours ces données directement au serveur Apple, donc je n'aurai toujours aucun accès à ces données. Cela change-t-il quelque chose et est-ce que le RGPD s'applique maintenant à moi? Suis-je en train de devenir responsable du traitement des données dans un tel cas si je n'ai aucune idée du moment où l'application envoie ces données de coordonnées GPS à Apple et que je ne sais pas quelles coordonnées elle envoie? Je ne sais pas non plus si Apple enregistre cette demande sur leurs serveurs ou s'ils convertissent automatiquement les coordonnées GPS reçues en un nom et renvoient la réponse sans enregistrer la demande. Je suppose qu'ils ne l'enregistrent probablement pas, mais je ne peux pas en être sûr car je n'ai pas accès au code de service Apple. Ou peut-être Apple est le contrôleur des données dans ce cas ou personne n'est le contrôleur des données et le RGPD ne s'applique pas du tout?

Connexes: [Comment le RGPD s'applique-t-il aux logiciels développés par une entreprise et utilisés par une autre?] (Https://law.stackexchange.com/questions/24954/how-does-the-gdpr-apply-to-software-developed -par-une-entreprise-et-utilisé-par-une-autre)
Un répondre:
sleske
2018-07-26 14:20:10 UTC
view on stackexchange narkive permalink

Supposons que j'ai créé une application mobile pour iPhone qui suit les trajets à vélo [...] Donc, l'application traite ces données de la manière dont je les ai programmées, mais je n'y ai pas accès en tant que personne à ces données. Je suppose que dans ce cas, je ne suis pas le responsable du traitement selon le RGPD parce que je n'ai pas accès à ces données, est-ce correct?

Oui, pour autant que je sache, c'est correct.

Le RGPD définit un contrôleur de données comme une personne qui "détermine les finalités et les moyens du traitement des données personnelles" - vous fournissez simplement un outil, vous ne contrôlez pas à quelles fins vos clients utilisent leurs données de trajet . Ceci est également abordé dans cette question: Comment le RGPD s'applique-t-il aux logiciels développés par une entreprise et utilisés par une autre?

Et si, en plus de cela, je programmais mon par exemple, de manière à envoyer parfois les coordonnées GPS actuelles à un service en ligne contrôlé par une société externe comme Apple

[...]

Mais mon application enverrait quand même ces données directement sur le serveur Apple, je n'aurai donc toujours aucun accès à ces données. Cela change-t-il quelque chose et est-ce que le RGPD s'applique maintenant à moi?

Oui, et oui.

Dans ce cas, vous dites à Apple de traiter les données pour vous, alors vous deviendriez le responsable du traitement des données (car vous "déterminez [les] finalités et les moyens du traitement des données personnelles"), et Apple est un sous-traitant de données pour vous.

Cela signifie également que les mécanismes habituels entrent en jeu - vous devez informer vos utilisateurs de ce traitement, vous devez vous assurer qu'Apple respecte les règles, etc. etc.

Je ne sais pas non plus si Apple enregistre cette demande sur ses serveurs ou s'il convertit automatiquement les coordonnées GPS reçues en un nom et renvoie la réponse sans enregistrer la demande.

C'est exactement le genre de situation que le RGPD est censé résoudre. Dans le cadre du RGPD, dire "Je ne sais pas ce que X fait des données" n'est pas une option. C'est quelque chose que de nombreuses entreprises ont essayé dans le passé, c'est pourquoi le RGPD attribue explicitement la responsabilité au responsable du traitement ( c'est-à-dire vous).

Comme expliqué dans un document de l'UE, Qu'est-ce qu'un contrôleur de données ou un processeur de données?:

Les devoirs de le sous-traitant envers le responsable du traitement doit être spécifié dans un contrat ou un autre acte juridique. Par exemple, le contrat doit indiquer ce qu'il advient des données personnelles une fois le contrat résilié. Une activité typique des processeurs est de proposer des solutions informatiques, y compris le stockage en nuage. [...]

Donc, non, vous ne pouvez pas simplement dire "Je ne sais pas si Apple enregistre cette demande". Au lieu de cela, vous devez conclure un contrat avec Apple indiquant si (et comment, et pendant combien de temps ...) ils enregistrent la demande, et vous devez en informer vos utilisateurs dans votre politique de confidentialité. Et si Apple refuse de conclure un tel contrat avec vous, vous devez trouver une autre entreprise avec laquelle travailler.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...