Comment une liste de numéros de téléphone doit-elle être traitée par rapport au RGPD? Supposons que chaque numéro est un numéro personnel et ira à un individu, mais qu'il n'y a aucune autre information stockée concernant l'individu.
Comment une liste de numéros de téléphone doit-elle être traitée par rapport au RGPD? Supposons que chaque numéro est un numéro personnel et ira à un individu, mais qu'il n'y a aucune autre information stockée concernant l'individu.
Attention: je ne suis pas avocat.
Cela dépend de la personne qui effectue la collecte et le stockage.
Si cela est fait "par une personne physique au cours d'une activité purement personnelle ou domestique ", alors il est exempté du RGPD, conformément à Art. 2.
Attention cependant, "activité purement personnelle" signifie que vous ne les partagez ni ne les publiez. Dans cette affaire judiciaire, le fait d'avoir le nom ou le numéro de téléphone d'une autre personne sur votre site Web "personnel" constitue "un traitement de données à caractère personnel entièrement ou partiellement par des moyens automatiques au sens de l'article 3, paragraphe 1, de la directive 95/46 ".
Dans le cadre du RGPD, les numéros de téléphone sont tout aussi personnels que le nom ou l'adresse (c'est moi qui souligne):
Par exemple, le téléphone , la carte de crédit ou le personnel numéro d'une personne , les données de compte, la plaque d'immatriculation, l'apparence, le numéro de client ou l'adresse sont toutes des données personnelles .
[...]
Dernier point mais non le moindre, la loi stipule que les informations pour une référence personnelle doivent se référer à une personne physique. En d'autres termes, la protection des données ne s'applique pas aux informations sur les personnes morales telles que les sociétés, les fondations et les institutions. Pour les personnes physiques, en revanche, la protection commence et s'éteint avec la capacité juridique. Fondamentalement, une personne obtient cette capacité avec sa naissance et la perd à sa mort. Les données doivent donc être assignables à des personnes vivantes identifiées ou identifiables pour être considérées comme personnelles.
Aux fins du présent règlement:
(1) «données à caractère personnel»: toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne identifiable , directement ou indirectement , notamment par référence à un identifiant tel qu'un nom, une identification numéro , données de localisation , un identifiant en ligne ou à un ou plusieurs facteurs spécifiques d'ordre physique, physiologique, génétique, mental, économique , culturel ou identité sociale de cette personne physique;
N'oubliez pas que les numéros de téléphone du réseau fixe contiennent des données de localisation (comme la ville de Kiel est + 49-431- #, la ville de Neumünster + 49-4321- #). Les numéros de téléphone portable dans l'UE sont codés par le fournisseur (par exemple + 49-176- # est Telefonica Allemagne), qui peut être utilisé pour identifier un groupe économique à partir du coût moyen du fournisseur. En plus de cela, les numéros de téléphone sont uniques , ce qui en fait par définition une sorte de numéro d'identification, qui est explicitement répertorié comme des données automatiquement personnelles.
Ensuite, appeler le numéro aura très probablement la personne parle, ce qui permet d'identifier si l'on parle à un homme ou une femme, une estimation de l'âge et peut-être même le nom. Ou entrez simplement un numéro de téléphone portable dans What'sApp et s'ils apparaissent, vous pourriez même avoir une photo.
Grâce à ces vertus, un numéro de téléphone peut être utilisé pour identifier indirectement une personne, en créant un numéro de téléphone toujours les données personnelles.
Sans l'autorisation du propriétaire du numéro, vous ne pouvez pas le traiter numériquement à quelque titre que ce soit et encore moins le vendre. Le lister quelque part (Internet, livre) où le public peut y accéder est clairement en train de le traiter (et de le rendre disponible pour le traitement par d'autres).
Sous le RGPD, il faut une autorisation explicite pour le traitement, donc oui, les annuaires besoin de votre autorisation pour lister votre numéro de téléphone.
Il y a ECLI: EU: C: 2016: 779, dans lequel un tribunal allemand avait demandé des éclaircissements et la Cour européenne a décidé que, si une adresse IP peut être (parfois avec un horodatage) utilisé pour identifier qu'une personne spécifique avait celui-ci à un moment donné, et ces informations sont stockées pour une facturation correcte, ces informations doivent être des données personnelles entre les mains du FAI. Le tribunal fait valoir en outre que, dans la mesure où il est possible et légalement possible pour d'autres personnes de connecter l'adresse IP à une personne si elles peuvent demander au FAI de le faire à leur place (par exemple en ayant la demande de la police comme ils enquêtent sur une affaire), l'IP est une donnée personnelle même pour ces autres. Ainsi, une adresse IP est une donnée personnelle pour toute personne disposant de moyens légaux (par exemple en intentant une action contre Anonyme avec IP ## ) qui pourrait entraîner une identification.
Un téléphone Le numéro ressemble beaucoup à une adresse IP non changeante en ce que le fournisseur de téléphone est facilement en mesure de dire qui a ce numéro et doit le faire pour des moyens de facturation appropriés. Comme on peut poursuivre Anonymus avec le numéro de téléphone ## (et demander à la police d'enquêter et de combler le vide), un numéro de téléphone doit être une donnée personnelle, tout comme une adresse IP.
Ce numéro pourrait-il être lié à une seule personne? [...]
Alors oui. [...]
Si vous n'avez que des numéros de téléphone sans plus d'informations à leur sujet, vous devez supposer qu'il s'agit de PII, car vous ne savez pas si un numéro appartient à un individu ou non.
Toute information ces responsables du traitement avoir sur vous, comme votre date de naissance, adresse, numéro de téléphone , salaire et loyer seraient donc tous des données personnelles protégées au titre du RGPD .
DONNÉES PERSONNELLES CLASSIQUES
NUMÉRO DE TÉLÉPHONE
Votre carte d'identité , votre numéro de téléphone , votre compte bancaire et votre numéro de carte de crédit représentent des données qui sont uniques à chaque personne et mèneront donc à une identification .
Un bref guide sur ce que sont (ou pourraient) être des données personnelles
- Informations biographiques ou situation de vie actuelle, y compris les dates de naissance, les numéros de sécurité sociale, les numéros de téléphone et les adresses e-mail.
Exemples de données personnelles
- une adresse IP (Internet Protocol);
- l'identifiant publicitaire de votre téléphone;
La question actuelle ne contient pas suffisamment d'informations pour y répondre correctement.
Mais il est important de savoir quels numéros de téléphone figurent sur la liste.
Si la liste contient tous les numéros de téléphone existants dans un pays (comme tous les numéros de 000000000 à 999999999), il n'y a aucun problème de traitement. Le traitement peut être basé sur les intérêts légitimes du responsable du traitement, et comme la liste contient tous les numéros de téléphone, elle ne sera pas annulée par les droits et libertés fondamentaux des personnes concernées. (Une telle liste n'exprime rien de spécial à propos d'un individu.)
Cependant, si par exemple la liste contient tous les numéros de téléphone des personnes qui ont fait un don à une église particulière, Art. 9 s'applique, ce qui est très restreint.
La plupart des listes se situeront probablement entre ces deux extrêmes.
Si les numéros de téléphone sur liste ne sont par définition pas des données personnelles, le RGPD ne s'appliquerait pas. Cela pourrait, par exemple, être le cas si vous compilez une liste de numéros de téléphone utilisés par les entreprises de télémarketing. Mais un numéro de téléphone appartenant à une entreprise peut toujours être une donnée personnelle s'il est utilisé comme numéro de téléphone direct d'un individu.
Si vous ne disposez d'aucune information autre que les numéros de téléphone, entre vos mains (en tant que responsable du traitement des données):
le point de départ est que ce ne sont pas des données personnelles.
Mais si vous deviez commencer à appeler les propriétaires des numéros et leur demander leurs noms et associer ce nom au numéro de téléphone, ce serait le cas.
Voir le considérant 26 du RGPD, troisième et quatrième phrases.
TL; DR
Les numéros de téléphone qui sont des données personnelles doivent être traités comme tels. Les numéros de téléphone qui ne sont pas des données personnelles (et il y en aura, même s'ils vont à un individu) n'ont pas besoin d'être traités comme des données personnelles.
Le numéro de téléphone d'un individu est-il uniquement des données personnelles ?
Quel que soit le nombre de sources qui vous indiquent qu'un numéro de téléphone est toujours une donnée personnelle, si vous êtes amené devant le tribunal, la décision sera basée sur la définition du RGPD et toute jurisprudence pertinente. La définition va:
«données personnelles» désigne toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ...
Donc, vous avez un numéro de téléphone qui va à un individu. Vous ne savez pas encore qui il / elle est. Pouvez-vous vous identifier?:
Pour déterminer si une personne physique est identifiable, il convient de prendre en compte tous les moyens raisonnablement susceptibles d'être utilisés, tels que la dénonciation, soit par le responsable du traitement, soit par une autre personne pour identifier la personne physique directement ou indirectement. Pour déterminer si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier la personne physique, il convient de tenir compte de tous les facteurs objectifs, tels que les coûts et le temps nécessaire à l'identification, en tenant compte de la technologie disponible au moment de la traitement et développements technologiques.
Vos options sont:
Maintenant, dans certains pays, il est possible d'acheter des cartes SIM prépayées sans en fournir aucune ID. Cela signifie que les numéros de téléphone dont les propriétaires ne peuvent pas être identifiés par des moyens raisonnables (c'est-à-dire sans engager des détectives / services intelligents, etc.) existent .
Et alors?
Pour chaque numéro, à moins que vous ne soyez sûr que le propriétaire ne peut pas être identifié par des moyens raisonnables, traitez-le comme une donnée personnelle.