RDGP - données personnelles
Une adresse e-mail générique (info@nomdelentreprise.com) peut-elle constituer une donnée personnelle soumise aux dispositions du RGPD ?
Dès lors qu’il n’y a aucune mention du nom ou du prénom d’une personne, la plupart des personnes pensent qu’il ne peut pas s’agir d’une donnée personnelle.
Ce raisonnement est cependant erroné.
En synthèse, pour qu’il soit question de données à caractère personnel les données doivent se rapporter à une personne physique identifiée ou identifiable :
➡ Une personne est identifiée lorsqu’elle peut être distinguée de manière unique de toutes les autres personnes au sein d’un groupe : Une adresse e-mail comprenant le prénom et le nom de famille constitue donc une donnée personnelle
➡ Une personne est identifiable lorsqu’elle n’a pas encore été identifiée, mais peut l’être sans effort disproportionné : Une adresse e-mail générique peut donc constituer une donnée à caractère personnel si une personne peut être identifiée.
Dans le cas ayant donné lieu à la décision du 3 avril 2023 de l’Autorité belge de protection des données (APD, Décision 40/2023), un employé, dont l’occupation avait pris fin, a demandé accès à ses emails. Cet accès générant des difficultés celui-ci a décidé de porté plainte.
L’APD a constaté que l’adresse e-mail générique était exclusivement utilisée et gérée par le plaignant et que lors de l’exercice de ses tâches, celui-ci a systématiquement envoyé des e-mails en les signant de son nom. Les personnes qui ont échangé des e-mails avec l’adresse e-mails en question pouvaient donc, après un certain temps, identifier le plaignant en tant que gestionnaire de l’adresse e-mail.
Le plaignant était donc indirectement identifiable par des tiers, de sorte que l’adresse e-mail générique en cause (info@nomdelentreprise.com), même si elle n’a pas été mise en service en vue de l’associer à une personne, constituait bien, en raison de son utilisation exclusive, une donnée personnelle soumise au RGPD.