Question:
Traitement RGPD d'une liste de numéros de téléphone
Craig
2018-04-19 15:22:46 UTC
view on stackexchange narkive permalink

Comment une liste de numéros de téléphone doit-elle être traitée par rapport au RGPD? Supposons que chaque numéro est un numéro personnel et ira à un individu, mais qu'il n'y a aucune autre information stockée concernant l'individu.

Votre question manque d'informations sur le contexte de la liste. Dans une entreprise, privée? D'où viennent ces données? Quel est le sens d'une telle liste sans aucun nom?
Cinq réponses:
danuker
2019-03-16 14:41:43 UTC
view on stackexchange narkive permalink

Attention: je ne suis pas avocat.

Cela dépend de la personne qui effectue la collecte et le stockage.

Si cela est fait "par une personne physique au cours d'une activité purement personnelle ou domestique ", alors il est exempté du RGPD, conformément à Art. 2.

Attention cependant, "activité purement personnelle" signifie que vous ne les partagez ni ne les publiez. Dans cette affaire judiciaire, le fait d'avoir le nom ou le numéro de téléphone d'une autre personne sur votre site Web "personnel" constitue "un traitement de données à caractère personnel entièrement ou partiellement par des moyens automatiques au sens de l'article 3, paragraphe 1, de la directive 95/46 ".

Cela suppose que seul le numéro de téléphone est une donnée personnelle et vous ne dites pas pourquoi.
@Greendrake Comme je l'ai montré dans ma réponse: c'est parce qu'il peut être utilisé pour identifier indirectement une personne
Un numéro de téléphone seul ne peut pas nécessairement être utilisé pour identifier une personne. Vous aurez peut-être la chance de trouver le nom du propriétaire dans les Pages Jaunes, de le rechercher sur Google ou d'obtenir une ordonnance du tribunal pour que la société de télécommunications le divulgue si elle l'a. Mais si le numéro appartient à une carte SIM prépayée, l'identification du propriétaire peut être très délicate, auquel cas il ne s'agira pas de données personnelles.
@Greendrake s'il peut s'agir de données personnelles, vous devez les traiter comme si elles l'étaient.
@Greendrake: C'était aussi ma première observation. Mais apparemment, cette loi s'applique, comme pour les IP dynamiques: voir [commentaire de wimh] (https://law.stackexchange.com/questions/27802/gdpr-treatment-of-a-list-of-phone-numbers/38184 # comment69239_38184).
Ce commentaire de wimh indique clairement qu'il _ doit être possible_ par la loi d'obtenir le nom du propriétaire pour prendre en compte le nombre de données personnelles. Dans de nombreux pays, les cartes SIM prépayées sont vendues dans les supermarchés sans avoir à fournir aucune pièce d'identité, vous ne pouvez donc pas simplement regrouper tous les numéros de téléphone.
@Greendrake: Eh bien, il est possible d'identifier même les propriétaires prépayés, avec l'aide de la compagnie de téléphone: la société vous met constamment à jour avec l'emplacement approximatif, et vous recherchez des personnes / voitures à cet endroit, et trouvez des personnes avec la corrélation la plus élevée.
Oui, vous pouvez le faire, mais étant donné le coût et le temps requis, je suis à peu près certain qu'aucun tribunal de l'UE ne considérerait cela comme "des moyens raisonnablement susceptibles d'être utilisés" au sens du [considérant 26] (https: // gdpr-info. eu / récitals / no-26 /). C'est bien au-delà du seuil pour considérer un tel numéro de téléphone de données personnelles.
Trish
2019-03-16 17:50:49 UTC
view on stackexchange narkive permalink

Dans le cadre du RGPD, les numéros de téléphone sont tout aussi personnels que le nom ou l'adresse (c'est moi qui souligne):

Par exemple, le téléphone , la carte de crédit ou le personnel numéro d'une personne , les données de compte, la plaque d'immatriculation, l'apparence, le numéro de client ou l'adresse sont toutes des données personnelles .

[...]

Dernier point mais non le moindre, la loi stipule que les informations pour une référence personnelle doivent se référer à une personne physique. En d'autres termes, la protection des données ne s'applique pas aux informations sur les personnes morales telles que les sociétés, les fondations et les institutions. Pour les personnes physiques, en revanche, la protection commence et s'éteint avec la capacité juridique. Fondamentalement, une personne obtient cette capacité avec sa naissance et la perd à sa mort. Les données doivent donc être assignables à des personnes vivantes identifiées ou identifiables pour être considérées comme personnelles.

Aux fins du présent règlement:

(1) «données à caractère personnel»: toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne identifiable , directement ou indirectement , notamment par référence à un identifiant tel qu'un nom, une identification numéro , données de localisation , un identifiant en ligne ou à un ou plusieurs facteurs spécifiques d'ordre physique, physiologique, génétique, mental, économique , culturel ou identité sociale de cette personne physique;

Argumentation I

N'oubliez pas que les numéros de téléphone du réseau fixe contiennent des données de localisation (comme la ville de Kiel est + 49-431- #, la ville de Neumünster + 49-4321- #). Les numéros de téléphone portable dans l'UE sont codés par le fournisseur (par exemple + 49-176- # est Telefonica Allemagne), qui peut être utilisé pour identifier un groupe économique à partir du coût moyen du fournisseur. En plus de cela, les numéros de téléphone sont uniques , ce qui en fait par définition une sorte de numéro d'identification, qui est explicitement répertorié comme des données automatiquement personnelles.

Ensuite, appeler le numéro aura très probablement la personne parle, ce qui permet d'identifier si l'on parle à un homme ou une femme, une estimation de l'âge et peut-être même le nom. Ou entrez simplement un numéro de téléphone portable dans What'sApp et s'ils apparaissent, vous pourriez même avoir une photo.

Grâce à ces vertus, un numéro de téléphone peut être utilisé pour identifier indirectement une personne, en créant un numéro de téléphone toujours les données personnelles.

Sans l'autorisation du propriétaire du numéro, vous ne pouvez pas le traiter numériquement à quelque titre que ce soit et encore moins le vendre. Le lister quelque part (Internet, livre) où le public peut y accéder est clairement en train de le traiter (et de le rendre disponible pour le traitement par d'autres).

Sous le RGPD, il faut une autorisation explicite pour le traitement, donc oui, les annuaires besoin de votre autorisation pour lister votre numéro de téléphone.

Argumentation II

Il y a ECLI: EU: C: 2016: 779, dans lequel un tribunal allemand avait demandé des éclaircissements et la Cour européenne a décidé que, si une adresse IP peut être (parfois avec un horodatage) utilisé pour identifier qu'une personne spécifique avait celui-ci à un moment donné, et ces informations sont stockées pour une facturation correcte, ces informations doivent être des données personnelles entre les mains du FAI. Le tribunal fait valoir en outre que, dans la mesure où il est possible et légalement possible pour d'autres personnes de connecter l'adresse IP à une personne si elles peuvent demander au FAI de le faire à leur place (par exemple en ayant la demande de la police comme ils enquêtent sur une affaire), l'IP est une donnée personnelle même pour ces autres. Ainsi, une adresse IP est une donnée personnelle pour toute personne disposant de moyens légaux (par exemple en intentant une action contre Anonyme avec IP ## ) qui pourrait entraîner une identification.

Un téléphone Le numéro ressemble beaucoup à une adresse IP non changeante en ce que le fournisseur de téléphone est facilement en mesure de dire qui a ce numéro et doit le faire pour des moyens de facturation appropriés. Comme on peut poursuivre Anonymus avec le numéro de téléphone ## (et demander à la police d'enquêter et de combler le vide), un numéro de téléphone doit être une donnée personnelle, tout comme une adresse IP.

autres références (c'est moi qui souligne):

Ce numéro pourrait-il être lié à une seule personne? [...]

Alors oui. [...]

Si vous n'avez que des numéros de téléphone sans plus d'informations à leur sujet, vous devez supposer qu'il s'agit de PII, car vous ne savez pas si un numéro appartient à un individu ou non.

Toute information ces responsables du traitement avoir sur vous, comme votre date de naissance, adresse, numéro de téléphone , salaire et loyer seraient donc tous des données personnelles protégées au titre du RGPD .

DONNÉES PERSONNELLES CLASSIQUES

NUMÉRO DE TÉLÉPHONE

Votre carte d'identité , votre numéro de téléphone , votre compte bancaire et votre numéro de carte de crédit représentent des données qui sont uniques à chaque personne et mèneront donc à une identification .

Un bref guide sur ce que sont (ou pourraient) être des données personnelles

  • Informations biographiques ou situation de vie actuelle, y compris les dates de naissance, les numéros de sécurité sociale, les numéros de téléphone et les adresses e-mail.

Exemples de données personnelles

  • une adresse IP (Internet Protocol);
  • l'identifiant publicitaire de votre téléphone;
Comment identifier une personne uniquement par son numéro de téléphone?
@Greendrake qui n'est pas pertinent. il s'agit d'informations personnelles telles que définies dans le RGPD. et vous pourriez l'appeler - qui btw. peut être illégal en tant que marketing non socialisé dans la plupart des pays de l'UE.
Droit pertinent. Pourquoi s'agit-il d'informations personnelles si la personne n'est ni identifiée ni facilement identifiable? Vous pouvez l'appeler et quoi?
@Greendrake Je peux simplement composer le numéro, puis la personne à l'autre bout identifie qui elle est dans une certaine mesure, faisant d'un numéro de téléphone une information très personnelle.
Eh bien, la personne ne vous dira pas nécessairement qui elle est. Vous avez besoin d'une citation / cas pour montrer que seul le numéro de téléphone est une donnée personnelle.
@Greendrake La Commission de l'UE a sur sa page Web que le * code de publicité de votre téléphone * est des données personnelles, alors veuillez me donner une raison solide pour laquelle un numéro tout aussi unique ne devrait pas l'être.
@Trish,, vous pouvez vous référer au [C ‑ 582/14] (http://curia.europa.eu/juris/celex.jsf?celex=62014CJ0582&lang1=en&type=TXT&ancre=) où la CJUE a déterminé que les adresses IP dynamiques sont des données personnelles (en Allemagne) même si seul le fournisseur d'accès Internet dispose des données pour identifier quelqu'un. Voir les paragraphes 40, 45 à 48. Le même raisonnement peut être appliqué pour les numéros de téléphone. Même si seule la compagnie de téléphone peut identifier le propriétaire d'un numéro de téléphone. Peu importe à quel point il est restrictif d’obtenir ce numéro de téléphone, s’il est possible par la loi de l’obtenir, cela constitue un «moyen raisonnable». (A-G point 73 C-582/14)
@wimh excellente ressource, je pense que c'est un chemin argumentatif différent, mais un bon - qui frappe dans un cran similaire à mon autre
Quelques précisions (j'ai atteint le nombre maximum de caractères lors de mon commentaire précédent): C ‑ 582/14 est un arrêt de la Cour de justice de l'UE (CJUE) après une question d'un tribunal allemand. C ‑ 582/14 explique la directive 95/46, voir les citations en haut. Mais comme les définitions des «données personnelles», etc. sont identiques aux définitions du RGPD, le C ‑ 582/14 explique également comment le RGPD doit être interprété. Les décisions de la CJUE s'appliquent à l'ensemble de l'UE. [Conclusions de l'avocat général] (http://curia.europa.eu/juris/document/document.jsf?docid=178241&doclang=EN), non contraignantes, mais parfois plus faciles à lire.
@wimh ah, oui, corrigé ça!
wimh
2019-03-17 04:15:42 UTC
view on stackexchange narkive permalink

La question actuelle ne contient pas suffisamment d'informations pour y répondre correctement.

  • Je suis d'accord avec Trish qu'un numéro de téléphone est une donnée personnelle. Cela est également exprimé dans la question.
  • Et il y a des situations où le RGPD ne s'applique pas, comme une activité purement personnelle, comme indiqué par danuker.

Mais il est important de savoir quels numéros de téléphone figurent sur la liste.

  • Si la liste contient tous les numéros de téléphone existants dans un pays (comme tous les numéros de 000000000 à 999999999), il n'y a aucun problème de traitement. Le traitement peut être basé sur les intérêts légitimes du responsable du traitement, et comme la liste contient tous les numéros de téléphone, elle ne sera pas annulée par les droits et libertés fondamentaux des personnes concernées. (Une telle liste n'exprime rien de spécial à propos d'un individu.)

  • Cependant, si par exemple la liste contient tous les numéros de téléphone des personnes qui ont fait un don à une église particulière, Art. 9 s'applique, ce qui est très restreint.

La plupart des listes se situeront probablement entre ces deux extrêmes.

Si les numéros de téléphone sur liste ne sont par définition pas des données personnelles, le RGPD ne s'appliquerait pas. Cela pourrait, par exemple, être le cas si vous compilez une liste de numéros de téléphone utilisés par les entreprises de télémarketing. Mais un numéro de téléphone appartenant à une entreprise peut toujours être une donnée personnelle s'il est utilisé comme numéro de téléphone direct d'un individu.

Si vous pensez qu'il est impossible de répondre correctement à la question telle qu'elle se présente actuellement, cela signifie-t-il, à votre avis, que toutes les réponses données ici, y compris la vôtre, sont incorrectes?
@wimh Je ne peux pas suivre de "on traite * tous * les numéros de téléphone dans un pays" à "c'est dans l'intérêt légitime du processeur". Je pense que le traitement de * tous * les nombres n'est pas pertinent; il importe seulement que les intérêts du responsable du traitement l'emportent sur le droit fondamental de la personne à la vie privée. Pouvez-vous trouver une référence légale sur "tous les X dans un pays"?
@Greendrake Je pense que l'on peut répondre à une question générale si l'on aborde les différents cas qui s'appliquent. Jusqu'à présent, la réponse de wimh est la plus complète.
@danuker Ce que je veux dire, c'est que lorsqu'il y a une liste contenant les numéros de 000000000 à 999999999, et que mon numéro de téléphone est dans cette liste, il n'y a pas de problème de confidentialité pour moi. Cette liste n'exprime rien de spécial à mon sujet. Ainsi, les intérêts du responsable du traitement l'emporteront toujours sur le droit fondamental de la personne à la vie privée. J'ai d'abord pensé que le RGPD ne s'appliquerait pas à une liste de 000000000 à 999999999, mais sachant qu'il s'agit de numéros de téléphone, cela en fait des données personnelles, et je n'ai trouvé aucune exception qui s'appliquerait. (Un cas similaire est celui des google maps qui contiennent toutes les adresses d'une ville, y compris la mienne)
@wimh Wow, c'est un point très intéressant. Je suppose que la liste de tous les numéros de 000000000 à 999999999 ne sont pas des données personnelles, mais si vous essayez d'appeler les numéros et de savoir lesquels sonnent et qu'une personne physique répond à un moment donné, cette personne physique devient identifiable. Cependant, tant que vous ne savez pas si une personne physique se trouve à ce numéro de téléphone, vous pourrez peut-être faire valoir que vous ne saviez pas que ce numéro de téléphone était une donnée personnelle.
@wimh: Hmm, cela contredit Trish [disant] (https://law.stackexchange.com/questions/27802/gdpr-treatment-of-a-list-of-phone-numbers/38182#comment69233_38182) s'il pouvait s'agir de données personnelles , vous devez le traiter comme tel. Edit: J'imagine que le fait d'avoir une liste de numéros contenant tous les numéros de téléphone possibles (et donc aussi les numéros de téléphone de personnes physiques) vous fait traiter cela comme des données personnelles. Idem avec le cas Maps avec toutes les adresses.
@Greendrake, l'utilisateur qui a posé cette question a été vu pour la dernière fois le 19 avril 18 à 10:17, donc je n'attends plus d'éclaircissements. Les autres réponses concernent essentiellement l'application du RGPD ou non. Dans ma réponse, je suppose que le RGPD s'applique. La question porte spécifiquement sur une ** liste ** de numéros de téléphone. Je veux exprimer ce que cela peut signifier en utilisant deux exemples. Bien sûr, je ne sais pas si je réponds à la question, mais je pense que cela rend cette question plus complète pour les autres qui ont une question similaire.
@danuker Je suis d'accord avec Trish que si les données peuvent être des données personnelles, vous devez les traiter comme telles. Et en raison de l'exigence de minimisation des données, mais aussi [Art. 11 (1)] (https://gdpr-info.eu/art-11-gdpr/): _le responsable du traitement n'est pas tenu de conserver, d'acquérir ou de traiter des informations supplémentaires afin d'identifier la personne concernée [...] _, vous n'avez pas besoin de savoir quel numéro de téléphone est une donnée personnelle et lequel non. Et peu importe qu'une liste de numéros de téléphone possibles soit des données personnelles ou non, car même si c'est le cas, le traitement est possible en fonction des intérêts légitimes.
"_si les données peuvent être des données personnelles, vous devez les traiter comme telles_" Je ne suis pas du tout d'accord ici. Le RGPD vous oblige uniquement à traiter ce que _est_ des données personnelles, et non ce que _pourrait être_. Bien que traiter les données comme personnelles au cas où cela puisse être judicieux dans certaines circonstances, une telle décision serait commerciale / stratégique mais non dictée par la loi. Selon votre situation, vous préférerez peut-être défendre votre position et nier que les données soient personnelles afin de pouvoir ignorer le RGPD.
lellis
2019-03-18 06:16:06 UTC
view on stackexchange narkive permalink

Si vous ne disposez d'aucune information autre que les numéros de téléphone, entre vos mains (en tant que responsable du traitement des données):

  1. vous ne pouvez identifier aucune personne vivante à partir des seuls numéros de téléphone , et
  2. vous n'obtiendrez pas d'informations supplémentaires sur les numéros de téléphone qui vous permettent d'identifier une personne vivante,

le point de départ est que ce ne sont pas des données personnelles.

Mais si vous deviez commencer à appeler les propriétaires des numéros et leur demander leurs noms et associer ce nom au numéro de téléphone, ce serait le cas.

Voir le considérant 26 du RGPD, troisième et quatrième phrases.

Considérant 26: Voir C ‑ 582/14 point 41: _L'utilisation par le législateur de l'Union du mot `` indirectement '' suggère que, pour traiter des informations comme des données à caractère personnel, il n'est pas nécessaire que ces informations permettent à elles seules d'être Paragraphe 43: _Dans la mesure où ce considérant se réfère aux moyens susceptibles d'être raisonnablement utilisés à la fois par le responsable du traitement et par «toute autre personne», son libellé suggère que, pour que les informations soient traitées comme des «données à caractère personnel» [. ..], il n'est pas nécessaire que toutes les informations permettant l'identification de la personne concernée soient entre les mains d'une seule personne.
Greendrake
2019-03-17 03:46:59 UTC
view on stackexchange narkive permalink

TL; DR

Les numéros de téléphone qui sont des données personnelles doivent être traités comme tels. Les numéros de téléphone qui ne sont pas des données personnelles (et il y en aura, même s'ils vont à un individu) n'ont pas besoin d'être traités comme des données personnelles.

Le numéro de téléphone d'un individu est-il uniquement des données personnelles ?

Quel que soit le nombre de sources qui vous indiquent qu'un numéro de téléphone est toujours une donnée personnelle, si vous êtes amené devant le tribunal, la décision sera basée sur la définition du RGPD et toute jurisprudence pertinente. La définition va:

«données personnelles» désigne toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ...

Donc, vous avez un numéro de téléphone qui va à un individu. Vous ne savez pas encore qui il / elle est. Pouvez-vous vous identifier?:

Pour déterminer si une personne physique est identifiable, il convient de prendre en compte tous les moyens raisonnablement susceptibles d'être utilisés, tels que la dénonciation, soit par le responsable du traitement, soit par une autre personne pour identifier la personne physique directement ou indirectement. Pour déterminer si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier la personne physique, il convient de tenir compte de tous les facteurs objectifs, tels que les coûts et le temps nécessaire à l'identification, en tenant compte de la technologie disponible au moment de la traitement et développements technologiques.

Vos options sont:

  1. Recherche sur le Web, pages jaunes, etc. Cela peut fonctionner.
  2. Appelez le numéro et demandez. Cela peut également fonctionner selon que le téléphone est pris en charge par le propriétaire et s'il est d'humeur.
  3. Demandez au fournisseur de télécommunications de révéler l'identité du propriétaire. Cela ne fonctionnera presque certainement pas.
  4. Demandez une ordonnance du tribunal pour que le fournisseur de télécommunications révèle l'identité. Cela fonctionnera si vous gagnez et le fournisseur de télécommunications a effectivement les coordonnées du propriétaire.

Maintenant, dans certains pays, il est possible d'acheter des cartes SIM prépayées sans en fournir aucune ID. Cela signifie que les numéros de téléphone dont les propriétaires ne peuvent pas être identifiés par des moyens raisonnables (c'est-à-dire sans engager des détectives / services intelligents, etc.) existent .

Et alors?

Pour chaque numéro, à moins que vous ne soyez sûr que le propriétaire ne peut pas être identifié par des moyens raisonnables, traitez-le comme une donnée personnelle.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...