RGPD et API

a marqué ce sujet comme résolu.

Bonjour tout le monde,

Je développe un site qui permet de gérer des tournois de figurines. Celui-ci a des utilisateurs majoritairement français, et est hébergé en Europe, par Heroku.

Ce site expose une API permettant de récupérer les résultats des tournois. La seule information "personnelle" (dans le sens, rattachable à une personne) exposée est le pseudo du joueur.

Un site américain souhaiterait inclure mes résultats dans sa base de données. Cela impliquerait probablement de récupérer les pseudos des joueurs. Est-ce considéré comme un "transfert" dans le cadre du RGPD ? Est-ce possible ? Ai-je quelque chose à faire de mon côté, ou est-ce leur problème, vu qu’ils utilisent mon API ?

Merci de vos lumières :)

Je vais tenter une lecture un petit peu bê-bête de la RGPD.

Pour que le Chapitre V — Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales soit applicable il faut tout d’abord être face à un transfert. Pour caractériser un transfert, il y a trois trois critères cumulatifs. Néanmoins, j’avoue ne pas trouver très clair ce site. Allons donc voir ailleurs…

Globalement, la CNIL précise que pour que le transfert soit possible, un certain niveau de protection des données doit être assuré ("suffisant et approprié"). L’arrêt Schrems II (CJUE, 2020) va dans ce sens : il s’agit d'assurer aux données transférées un niveau de protection essentiellement équivalent à celui assuré en Union européenne. (Cet arrêt pourrait t’intéresser, notamment car il concerne les États-Unis1. Néanmoins, fais attention : l’objet dont il est question dans l’arrêt est déprécié depuis le 27 décembre 2022. (Peut-être que la logique de la solution sera suivie sur le nouveau type de contrat ? Aucune idée.)) Le considérant § 101 ajoute :

le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers.

Essayons de répondre à tes questions :

Est-ce qu’un pseudo est considéré comme une information personnelle ? Il semblerait bien que oui (et c’est clairement confirmé dans un rapport de l'ENISA (cf. 1.1)2).

Tu dois pouvoir trouver tout ce qu’il te faut ici voire plus directement ici (il suffirait alors de respecter l’une des garanties listées; la première ne semble pas possible, cf. ci-dessous; concernant la deuxième, comme dit ci-dessus ce n’est plus totalement d’actualité; les points 4 ou 5 pourraient être intéressants).

Mais si jamais tu n’as pas peur de m’écouter : C’est peut-être un petit peu dommage que l'article 4 ne définisse pas précisément ce qu’est un transfert. Néanmoins, au § 2 est définie la notion de traitement (avec une histoire de transmission). Puis, le § 48 du considérant renvoie aux principes généraux régissant le transfert des données, pour lesquels il faut se référer à l’article 44. Il faut alors que ton contact adhère / soit soumis à la RGPD (ou au moins au chapitre V).

Tu n’auras pas besoin d’autorisation spécifique lorsque le pays qui accueillera tes données sera jugé "tout beau tout propre" et réputé ne pas abuser des données (article 45). Problème : les États-Unis ne semblent pas disposer d’un cadre juridique assurant (au moins autant) de protection que celui de l’U.E. (l’arrêt Schrems II en est une illustration). À partir de là, ça devient compliqué (pour moi). (Je peux essayer de continuer à cherchercher si tu veux. Envisager les points 4 ou 5 semble pas trop mal.)

Contacter une autorité de contrôle peut être une bonne idée.

Je me demande s’il n’y a pas une autre question à se poser quant à ton API : en fonction de la licence que tu lui as attribué (et à défaut ou / et en complément la RGPD). Si aucun traitement commercial n’est fait, la question ne semble pas problématique (si vous vous accordez pour mettre en place des processus de sécurisation de données des utilisateurs européens ?). En revanche, dans le cas contraire…

Mais, pour "conclure", j’aurais tendance à dire que c’est leur problème (surtout si c’est expréssement prévu dans la licence de ton API).

PS: Corrigez moi quand je dis des conneries.


  1. Le litige semble assez spécifique (une histoire de programme de surveillance et de Foreign Intelligence Surveillance Amendment Act (FISA)). Pour plus d’informations : cf. une analyse.
  2. Ce rapport pourrait être doublement intéressant. Dès les premières lignes, on peut lire : "Dans le contexte du RGPD, la pseudonymisation peut justifier l’assouplissement, dans une certaine mesure et si elle est correctement employée, des obligations légales des responsables du traitement des données".
+0 -0

Si ce sont des informations publiquement accessibles alors tu dois, toi, avoir obtenu l’autorisation des utilisateurs et utilisatrices que leurs données seront publiquement accessibles. Ne serait-ce que pour fonctionner.

Ensuite, la responsabilité de la réutilisation des données reviens à l’entreprise américaine. Je ne suis pas sûr qu’elle ait le droit en fait.

Si ces informations sont privées, c’est un transfert.

+3 -0

Il semblerait bien que oui (et c’est clairement confirmé dans un rapport de l’ENISA (cf. 1.1)2).

Attention que ce n’est pas toujours le cas.

Je rappelle au passage que la conformité avec le RGPD implique une analyse au cas par cas des besoins selon les données traitées, le traitement lui-même et la réversibilité de celui-ci permettant le cas échéant d’identifier une personne indépendamment de son pseudo.

Il faut donc de préférence contacter un juriste spécialisé (avocat, DPO de la boîte) qui pourra dès lors fournir une réponse adaptée au besoin réel plutôt qu’une réponse générale. D’autant plus important s’il y a un transfert de données car là il faut déterminer lesquelles peuvent être transférées et l’impact potentiel en terme d’identification.

+3 -0

Merci pour vos réponses intéressantes.

J’avais en fait les choses bien car je me suis replongé dans l’API, et celle-ci est complètement anonymisée, les pseudos ne sont même pas affichés.

Donc en l’état il n’y a pas de soucis à ce que quelqu’un l’utilise.

Le site américain pourrait faire du scraping (les pseudos sont affichés sur les pages correspondant à l’API) mais là c’est leur responsabilité, j’imagine.

Je pense donc être en phase avec le RGPD de mon côté si l’API reste telle quelle.

Quant à un conseil spécialisé, je suis conscient que ce serait la chose à faire, cependant cela coûte du temps et de l’argent, que des sociétés peuvent se permettre d’investir. Or dans ce cas ce sont deux passionnés qui bossent sur un projet perso chacun de leur côté, ce n’est pas envisageable.

Merci pour vos retours en tout cas !

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte