Article 11 du RGPD
Article 11 – Traitement ne nécessitant pas l’identification
Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.
Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.
Imaginons que pour proposer des lunettes, vous ayez besoin de la couleur des yeux de vos prospects/clients. La couleur des yeux est une donnée personnelle, mais à elle seule ne peut identifier une personne. Si le stocker dans un profil (identifié) n’est pas possible sans consentement, dans des profils ne permettant pas d’identifier une personne c’est autorisé.
Si votre traitement n’a pas d’autre finalité que de présenter une monture assortie, alors vous n’avez pas besoin du consentement. Il faut cependant l’indiquer à votre prospect.
Attention, cependant la somme de données personnelles peut amener à permettre l’identification de la personne.
Par exemple le code postal, la couleur des yeux, des cheveux, la taille, un signe distinctif permettent d’identifier une personne, et n’est pas autorisé. Par contre, chaque élément séparément ne permet pas d’identifier quelqu’un.
Quand la CNIL viendra vérifier votre conformité, elle aura au préalable créée des profils pour vous piéger, Oups pour vérifier vos bonnes pratiques.
