Question:
Les messages du forum Internet sont-ils considérés comme des données personnelles selon le RGPD?
reed
2018-05-06 23:20:56 UTC
view on stackexchange narkive permalink

GDPR définit les «données personnelles» comme toute information relative à une personne physique identifiée ou identifiable.

«données personnelles» signifie toute information relative à une personne physique identifiée ou identifiable («personne concernée '); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs propres à l'aspect physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique;

Selon cette définition, cela ressemble à tout qu'un utilisateur écrit sur un site Web qui nécessite un enregistrement (même si avec seulement un e-mail et un mot de passe) doivent être considérées comme des données personnelles, même si ces données sont censées être publiques, comme dans le cas des messages sur les forums Internet, même si le contenu du message n'est qu'une simple opinion, une pensée ou récit. Est-ce correct? Ou y a-t-il des cas spécifiques où les messages du forum pourraient ne pas être traités comme des données personnelles?

Un répondre:
user6726
2018-05-08 00:32:41 UTC
view on stackexchange narkive permalink

Dans le cas général, cela semble peu probable, compte tenu du libellé (qui est alambiqué). Dans certains cas, si le président de la Russie publie "Je m'appelle Vladimir Poutine", ce message contient des données personnelles. D'un autre côté, vous pourriez, sur la base de mes écrits, conclure que je viens des États-Unis, et vous pourriez même conclure que je suis dans l'État de Washington, mais cela ne me distingue pas de 7,5 millions d'autres, donc pour ces raisons. ce ne sont pas des données personnelles. Finalement, cependant, vous pourriez m'identifier spécifiquement à partir d'autres choses que j'ai pu dire sur SE.

La définition dépend de deux parties. Premièrement, les données personnelles sont des "informations relatives à une personne physique identifiée ou identifiable". Toute «information» fournie par une personne physique est «liée à» cette personne (tout comme toute «information» concernant une telle personne). La deuxième partie définit la "personne physique identifiable", c'est-à-dire qui est une "personne identifiable"? Chaque personne peut, en principe, être identifiée par référence à une étiquette ou une description de fait à son sujet, de sorte que chaque personne est une personne identifiable, selon cette définition. Cela signifie que chaque morceau de texte qui se réfère à un individu (pas même un texte qui peut identifier la personne) est une «donnée personnelle». De toute évidence, tout individu peut être identifié de manière unique par une collection d'identifiants; le problème est que le libellé de la loi ne dit pas explicitement "utiliser ces données personnelles supposées". Si je mentionne que j'ai un parent nommé Knudt, ce serait techniquement des données personnelles: j'ai donné des informations qui se rapportent à une personne, même si vous n'avez aucune idée (et ne pouvez pas comprendre) qui est cette personne.

Un autre terme que le règlement définit et utilise à quelques endroits est la "pseudonymisation", qui est définie comme

le traitement des données personnelles de telle manière que le personnel les données ne peuvent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires , à condition que ces les informations sont conservées séparément et sont soumises à des mesures techniques et organisationnelles pour garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable

Le point d'intérêt ici est que cela dit que " les données personnelles "qui ne peuvent être attribuées à un individu sont néanmoins des données personnelles. Je pense que la partie la plus importante du règlement est l'art. 6, qui définit la licéité du traitement, en particulier le paragraphe 4., qui permet de prendre en considération des garanties telles que la pseudonymisation.

Si tel est le cas, la loi est mal formulée. Ils auraient pu dire que les données personnelles sont toute information qui peut être utilisée pour identifier une personne, directement ou indirectement. En disant «toute information relative à», cela ressemble en fait à n'importe quelle information fournie par l'utilisateur, même s'il ne s'agit que d'une blague publiée sur un forum, donnant à l'utilisateur un contrôle total sur tout ce qu'il écrit en ligne (comme retirer son consentement et supprimer les données). Dans tous les cas, j'ai peur que les publications sur certains sujets (politique, santé, etc.) soient considérées comme des données sensibles.
Apparemment, il a déjà été décidé qu'une adresse IP est une donnée personnelle, je suppose parce que ce sont des "informations relatives à ... une personne physique identifiable". Cependant, je ne connais pas les détails. Mais si nous acceptons cette proposition, il est difficile de voir comment les données publiées à partir d'une adresse IP ne seraient pas également des données personnelles à moins que l'adresse IP ne soit supprimée. De plus, la question suppose que les données ont été publiées via un profil d'utilisateur enregistré.
De plus, je ne pense pas que ce soit un oubli que le règlement ne dise pas explicitement «utiliser ces données» parce qu'une partie de son objectif est de protéger les gens contre les atteintes à leur vie privée; il peut y avoir des informations privées qui n'aident pas à identifier quelqu'un.
"Si je mentionne que j'ai un parent nommé Knudt, ce serait techniquement des données personnelles: j'ai donné des informations qui se rapportent à une personne, même si vous n'avez aucune idée (et ne pouvez pas comprendre) qui est cette personne." - Si vous ne pouvez pas déterminer qui est la personne à partir des données, ce ne sont pas des données personnelles au sens de la définition du RGPD.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...