Le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018 et a mis en place un cadre visant à protéger de façon stricte les données à caractère personnel des européens. Mais un doute peut encore subsister sur ce qui constitue ou non une « donnée personnelle ». Illustration…
RGPD : rappel des bases
Lors de ses visites sur des sites internet, une personne peut rencontrer des publicités qui seront adaptées à ses habitudes et ses besoins.
Ces publicités que l’on qualifie de « ciblées » font l’objet, en arrière-plan, d’une enchère entre les annonceurs qui souhaitent acquérir cet espace publicitaire.
Mais avant que la publicité ciblée puisse être affichée, il est nécessaire que l’utilisateur ait donné son consentement au traitement de ses données personnelles pour une telle finalité.
C’est dans cette optique qu’une association belge a développé un outil permettant de recueillir le consentement des utilisateurs avant de compiler en une suite de caractères un code qui permet de savoir à quoi une personne consent ou non.
Cet outil, nommé le TC String (Transparency and Consent String) était ensuite mis à la disposition de courtiers en données et de plateformes publicitaires qui, en le combinant à l’adresse IP d’un utilisateur, pouvaient être informés sur son consentement.
L’association pensait ainsi avoir créé un outil conforme aux attentes du RGPD permettant de communiquer anonymement les préférences des internautes.
Mais ça n’est pas l’avis de l’autorité de contrôle belge qui a décidé d’interroger le juge européen.
Ce dernier va confirmer les doutes de l’autorité.
Il rappelle qu’est une donnée personnelle au sens du RGPD « toute information se rapportant à une personne physique identifiée ou identifiable ».
Pour lui, le TC String doit être considéré comme une donnée personnelle, puisqu’une fois rapproché de l’adresse IP d’une personne il permet d’établir un profil utilisateur qui n’est pas anonyme.
De ce fait, comme pour toute donnée personnelle, cette ligne de code ne peut pas s’échanger librement sans le consentement de la personne concernée.
RGPD : retour sur la notion de « donnée personnelle » – © Copyright WebLex