Si vous travaillez dans la capture de prospects, le marketing ou la vente, il est très probable que vous ayez pensé à ceci :
« Si c’est sur internet et que tout le monde peut le voir… je ne peux pas l’utiliser ? »
La réponse courte est : cela dépend. Et la raison est simple : le RGPD ne se concentre pas sur le fait qu’une donnée soit « publique » ou « privée », mais sur le fait que ces données identifient (ou peuvent identifier) une personne.
Mettons cela avec de vrais exemples, sans jargon et sans tourner autour du pot.
Premièrement : que signifie le RGPD par « données personnelles » ?
Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identificable.
L’élément important est dans « identifiable ». Vous n’avez pas besoin de mettre « DNI » ou « passeport ». Si vous pouvez atteindre une personne spécifique avec ces données, directement ou indirectement, le RGPD entre en jeu.
Exemples simples (et très courants)
- Nom et nom de famille
- Email (oui, même si c’est professionnel)
- Numéro de téléphone
- Utilisateur Instagram si cela permet d’identifier quelqu’un
- Photo de profil lorsqu’elle est applicable à une personne
- Adresse IP (dans de nombreux contextes)
- Données de localisation
Et soyez prudent : une donnée peut être personnelle même si elle ne s’identifie pas elle-même, si elle est combinée à d’autres données, elle permet d’identifier quelqu’un.
Alors, que signifie qu’une donnée soit « publique » ?
Le fait qu’elle soit accessible au public (par exemple, publiée sur un site web ou un réseau social) n’élimine pas sa nature de données personnelles.
« Public » décrit où se trouvent les données, pas ce qu’elles sont ni comment elles peuvent être utilisées.
Considérez cela comme une analogie rapide :
- Le fait qu’une maison ait une porte ouverte ne fait pas de cette maison « n’importe qui ».
- Ce n’est pas parce qu’un e-mail est visible sur internet qu’il n’est pas « pas de règles ».
Données professionnelles : s’agit-il aussi de données personnelles ?
Oui, plusieurs fois. Ce point est l’un des plus mal compris.
Un email de type [email protected] est généralement lié à une personne spécifique (nom + nom de famille ou prénom + titre de poste). Cela en fait, en pratique, un fait personnel.
Même lorsque l’email est plus générique (par exemple [email protected]), cela dépend du contexte : s’il y a une personne identifiable derrière ou si l’utilisation des données affecte quelqu’un de spécifique, cela peut relever du champ d’application du RGPD.
Règle générale
Si vous arrivez à dire « ces informations proviennent de cette personne », considérez cela comme des données personnelles.
Qu’en est-il des données de l’entreprise ? Le RGPD s’applique-t-il ?
Le RGPD protège les individus, pas les entreprises en tant que telles. Mais dans la réalité, beaucoup de données « d’entreprise » sont associées aux personnes :
- Un site web d’entreprise avec un « Contact : Laura Gómez »
- Un profil Instagram d’un freelance
- Un e-mail d’un vendeur avec un nom et un nom de famille
Dès que les données sont associées à une personne identifiable, ce n’est plus « simplement une entreprise ».
La grosse erreur : « si c’est public, je peux l’utiliser »
C’est le classique qui génère des problèmes (et des plaintes) dans le recrutement.
Le fait qu’une donnée soit publique peut influencer certaines décisions (par exemple, la base juridique utilisée ou l’attente raisonnable de la personne concernée), mais ce n’est pas un laissez-passer.
Avec les données personnelles, même publiques, il y a des principes qui comptent toujours :
- But : être clair sur l’utilisation de l’outil
- Minimisation : N’utilisez que ce qui est nécessaire
- Transparence : ne jouez pas au jeu de la diversion sur qui vous êtes et pourquoi vous nous contactez
- Respect des droits : par exemple, gérer l’opposition
Petite liste de contrôle : est-ce des données personnelles ?
En cas de doute, posez-vous ces questions :
- Ces données concernent-elles une personne réelle ?
- Est-ce que cela permet d’identifier quelqu’un directement ou indirectement ?
- Peut-on combiner cela avec d’autres données pour identifier ?
- L’utilisation de ces données peut-elle affecter une personne en particulier ?
Si vous avez répondu « oui » à une ou plusieurs, considérez-les comme des données personnelles.
Pourquoi êtes-vous intéressé à comprendre cela si vous faites du recrutement ?
Parce que la plupart des « peurs » juridiques ne proviennent pas de l’utilisation de la technologie, mais de l’utilisation de données sans critère minimum.
En recrutement, le risque n’est généralement pas « d’utiliser un e-mail », mais :
- utiliser plus de données que nécessaire,
- Contact sans transparence,
- ne pas bien gérer le droit de s’opposer,
- Ou ne pas pouvoir justifier la base légale du traitement.
Conclusion : une idée utile pour éviter de faire des erreurs
Dans le RGPD, « données personnelles » ne signifie pas « données secrètes ». Cela signifie « données qui se connectent à une personne ».
Et à partir de là, l’essentiel n’est pas seulement d’où vous l’avez pris, mais aussi comment vous l’utilisez, pour quoi et quelles garanties vous postulez.
Cet article est informatif et ne constitue pas un conseil juridique personnalisé.
