Les coordonnées des individus sont largement traitées. Un profil client dans une boutique en ligne, une adresse de livraison, une demande de service client et de nombreux autres traitements nécessitent le nom d'un individu.
Les noms sont plus que de simples séquences de caractères
Un système automatique recevant et stockant les plaintes des clients peut traiter les noms des clients comme des caractères aléatoires, en vérifiant leur longueur, leur capitalisation et les caractères spéciaux. Un employé traitant les plaintes des clients ou sélectionnant des candidats pour un entretien peut être plus vigilant. La plupart des activités de traitement manuel sont effectuées par des personnes qui sont bien conscientes des différents groupes ethniques et ne sont pas nécessairement neutres.
Pensez à 'Bram de Jong', 'Krzysztof Wiśniewski' ou 'Heiner Schneider' (les noms sont tirés d'une liste des noms les plus populaires, et toute correspondance avec des personnes réelles est purement fortuite). Vous attendriez-vous à ce qu'ils soient néerlandais, polonais et allemand, respectivement, et tous masculins ?
Devrais-je m'en soucier?
Selon le RGPD A. 9 (1) 'Le traitement de données personnelles révélant ... l'origine ethnique ... est interdit'. Un consentement supplémentaire est requis (ou la nécessité de se conformer à une obligation légale dans le domaine de l'emploi), et des garanties supplémentaires sont nécessaires, telles que la réalisation d'une AIPD.
Dans la plupart des situations, vous pouvez considérer les noms comme des caractères neutres, et la plupart des entreprises le font. Dans la majorité des activités de traitement, les noms ne sont pas traités de manière à révéler des identités ethniques. Pensez à la prise de commandes en ligne qui sont traitées automatiquement et uniformément, les noms des clients circulant entre les systèmes et les étiquettes sans aucune analyse.
Mais vous devez rester vigilant quant aux activités (généralement manuelles) où l'origine ethnique perçue peut être prise en compte. En tant que responsable de ces activités, vous êtes responsable d'identifier et d'évaluer les risques, ainsi que de prendre des mesures appropriées pour atténuer ces risques. Vous êtes également tenu de prendre des mesures appropriées pour minimiser le traitement des données personnelles.
Que faire?
Gardez cela à l'esprit lors de l'élaboration des registres des activités de traitement (RaT) et de l'évaluation des risques de chaque activité. En particulier, examinez :
- Tentatives de parser, de regrouper ou d'analyser autrement des noms par des systèmes automatiques, car cela peut conduire à un traitement des origines ethniques ou à un profilage.
- Opérations manuelles où certaines tensions sont attendues, telles que les appels clients ou la sélection de personnes (recrutement, logement, etc.)
- Opérations multilingues, internationales ou externalisées (manuelles) (voyages, centres d'appels) où les employés peuvent traiter avec des clients internationaux et les regrouper mentalement.
Le traitement n'est souvent pas explicite et aucun champ de base de données appelé 'ethnicité' n'est créé. Mais divers commentaires spécifiques à l'ethnicité sont souvent laissés dans des discussions, des courriels et d'autres documents. Ils révèlent le traitement en cours et ont déjà entraîné des mesures correctives de la part des tribunaux et des autorités.
Du point de vue de la documentation de conformité au RGPD, pour la plupart des opérations, il est encore acceptable et conforme d'utiliser la catégorie de données personnelles 'coordonnées' représentant des noms, ainsi que des adresses, des e-mails, des numéros de téléphone et d'autres moyens de les contacter. De nombreuses entreprises effectuent seulement une ou deux activités de traitement où les noms sont réellement examinés.
Il est plus conforme de diviser la catégorie 'détails de contact' en une catégorie pour les données révélatrices de nom (noms, e-mails, profils sur les réseaux sociaux et autres enregistrements de contact pouvant révéler le nom) et une autre catégorie pour les données de contact anonymes (adresses physiques, numéros de téléphone). Cela aidera à documenter les activités de traitement, les risques associés et vos efforts pour minimiser le traitement des données personnelles, conformément au principe de 'minimisation des données' du RGPD (RGPD A. 5 (c)).
Vous souhaiterez peut-être également réaliser des Analyses d'Impact sur la Protection des Données (AIPD) pour les activités où des noms sont traités. La réalisation de l'AIPD, quel que soit son résultat, constitue une preuve de conformité en soi.
Nous pouvons vous aider avec ces tâches dans le cadre des services de conseil RGPD de PrivacyDocs.