Règlement Général de Protection des Données
Sur le 25th de mai, le règlement général sur la protection des données (RGPD) entrera en vigueur. Avec la mise en place du RGPD, la protection des données personnelles devient de plus en plus importante. Les entreprises doivent tenir compte de règles plus strictes en matière de protection des données. Cependant, diverses questions se posent à la suite de la mise en place du RGPD. Pour les entreprises, il peut être difficile de savoir quelles données sont considérées comme des données personnelles et tombent sous le champ d'application du RGPD. C'est le cas des adresses e-mail: une adresse e-mail est-elle considérée comme une donnée personnelle? Les entreprises qui utilisent des adresses e-mail sont-elles soumises au RGPD? Ces questions trouveront une réponse dans cet article.
Données personnelles
Afin de répondre à la question de savoir si une adresse e-mail est considérée ou non comme des données personnelles, le terme données personnelles doit être défini. Ce terme est expliqué dans le RGPD. Sur la base de l'article 4 sous a RGPD, les données personnelles désignent toute information relative à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment en référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne. Les données personnelles concernent les personnes physiques. Par conséquent, les informations concernant des personnes décédées ou des personnes morales ne sont pas considérées comme des données personnelles.
Adresse email
Maintenant que la définition des données personnelles est déterminée, il faut déterminer si une adresse e-mail est considérée comme des données personnelles. La jurisprudence néerlandaise indique que les adresses e-mail peuvent éventuellement être des données personnelles, mais ce n'est pas toujours le cas. Cela dépend si une personne physique est ou non identifiée ou identifiable sur la base de l'adresse e-mail. [1] La manière dont les personnes ont structuré leurs adresses e-mail doit être prise en compte afin de déterminer si l'adresse e-mail peut être considérée comme des données personnelles ou non. De nombreuses personnes physiques structurent leur adresse e-mail de manière à ce que l'adresse soit considérée comme des données personnelles. C'est par exemple le cas lorsqu'une adresse email est structurée de la manière suivante: prénom.nom@gmail.com. Cette adresse e-mail expose le prénom et le nom de la personne physique qui utilise l'adresse. Par conséquent, cette personne peut être identifiée sur la base de cette adresse e-mail. Les adresses e-mail utilisées pour les activités commerciales peuvent également contenir des données personnelles. C'est le cas lorsqu'une adresse e-mail est structurée de la manière suivante: initiales.nom@nomd'entreprise.com. À partir de cette adresse e-mail, peuvent être dérivées les initiales de la personne utilisant l'adresse e-mail, son nom de famille et le lieu de travail de cette personne. Par conséquent, la personne utilisant cette adresse e-mail est identifiable sur la base de l'adresse e-mail.
Une adresse e-mail n'est pas considérée comme une donnée personnelle lorsqu'aucune personne physique ne peut être identifiée à partir de celle-ci. C'est le cas lorsque, par exemple, l'adresse e-mail suivante est utilisée: puppy12@hotmail.com. Cette adresse e-mail ne contient aucune donnée permettant d'identifier une personne physique. Les adresses e-mail générales utilisées par les entreprises, telles que info@nameofcompany.com, ne sont pas non plus considérées comme des données personnelles. Cette adresse e-mail ne contient aucune information personnelle à partir de laquelle une personne physique peut être identifiée. De plus, l'adresse e-mail n'est pas utilisée par une personne physique, mais par une personne morale. Par conséquent, elles ne sont pas considérées comme des données personnelles. De la jurisprudence néerlandaise, on peut conclure que les adresses e-mail peuvent être des données personnelles, mais ce n'est pas toujours le cas; cela dépend de la structure de l'adresse e-mail.
Il y a de grandes chances que les personnes physiques puissent être identifiées par l'adresse e-mail qu'elles utilisent, ce qui fait des adresses e-mail des données personnelles. Afin de classer les adresses e-mail en tant que données personnelles, il importe peu que l'entreprise utilise réellement les adresses e-mail pour identifier les utilisateurs. Même si une entreprise n'utilise pas les adresses e-mail à des fins d'identification des personnes physiques, les adresses e-mail à partir desquelles les personnes physiques peuvent être identifiées sont toujours considérées comme des données personnelles. Tout lien technique ou coïncidence entre une personne et des données n'est pas suffisant pour désigner les données comme données personnelles. Pourtant, s'il existe la possibilité que les adresses e-mail puissent être utilisées pour identifier les utilisateurs, par exemple pour détecter des cas de fraude, les adresses e-mail sont considérées comme des données personnelles. En cela, peu importe que la société ait ou non l'intention d'utiliser les adresses e-mail à cette fin. La loi parle de données personnelles lorsqu'il existe une possibilité que les données puissent être utilisées dans un but qui identifie une personne physique. [2]
Données personnelles spéciales
Bien que les adresses e-mail soient considérées comme des données personnelles la plupart du temps, ce ne sont pas des données personnelles spéciales. Les données personnelles spéciales sont des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance commerciale, et les données génétiques ou biométriques. Cela découle de l'article 9 du RGPD. De plus, une adresse e-mail contient moins d'informations publiques que par exemple une adresse personnelle. Il est plus difficile de connaître l'adresse e-mail d'une personne que son adresse personnelle et cela dépend en grande partie de l'utilisateur de l'adresse e-mail, que l'adresse e-mail soit rendue publique ou non. De plus, la découverte d'une adresse e-mail qui aurait dû rester cachée a des conséquences moins graves que la découverte d'une adresse personnelle qui aurait dû rester cachée. Il est plus facile de changer une adresse e-mail qu'une adresse personnelle et la découverte d'une adresse e-mail peut conduire à un contact numérique, tandis que la découverte d'une adresse personnelle peut conduire à un contact personnel. [3]
Traitement des données personnelles
Nous avons établi que les adresses e-mail sont considérées comme des données personnelles la plupart du temps. Cependant, le RGPD ne s'applique qu'aux entreprises qui traitent des données personnelles. Le traitement des données personnelles existe de chaque action en ce qui concerne les données personnelles. Ceci est défini plus en détail dans le RGPD. Conformément à l'article 4, paragraphe 2, du RGPD, le traitement des données à caractère personnel s'entend de toute opération effectuée sur des données à caractère personnel, que ce soit ou non de manière automatique. Les exemples sont la collecte, l'enregistrement, l'organisation, la structuration, le stockage et l'utilisation des données personnelles. Lorsque les entreprises effectuent les activités susmentionnées en ce qui concerne les adresses e-mail, elles traitent des données personnelles. Dans ce cas, ils sont soumis au RGPD.
Conclusion
Toutes les adresses e-mail ne sont pas considérées comme des données personnelles. Cependant, les adresses e-mail sont considérées comme des données personnelles lorsqu'elles fournissent des informations identifiables sur une personne physique. De nombreuses adresses e-mail sont structurées de manière à ce que la personne physique qui utilise l'adresse e-mail puisse être identifiée. C'est le cas lorsque l'adresse e-mail contient le nom ou le lieu de travail d'une personne physique. Par conséquent, de nombreuses adresses e-mail seront considérées comme des données personnelles. Il est difficile pour les entreprises de faire une distinction entre les adresses e-mail qui sont considérées comme des données personnelles et les adresses e-mail qui ne le sont pas, car cela dépend entièrement de la structure de l'adresse e-mail. Par conséquent, il est sûr de dire que les entreprises qui traitent des données personnelles rencontreront des adresses e-mail qui sont considérées comme des données personnelles. Cela signifie que ces entreprises sont soumises au RGPD et doivent mettre en œuvre une politique de confidentialité conforme au RGPD.
[1] ECLI: NL: GHAMS: 2002: AE5514.
Kamerutukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.