Les commerces et les entreprises ont en partie réouvert à l’approche des fêtes et, par là même, un certain nombre de questions se posent aux responsables de traitements, pour lesquels ils demandent conseil à leur DPO. Par exemple, viennent les questions de l’utilisation de l’application TousAntiCovid et des obligations/restrictions des employeurs, du cahier de rappel qui viendra sans doute avec le couvre-feu ou un peu après, mais également la question des cadeaux de noël ! Voilà un sujet incongru et donc absolument nécessaire à aborder.

Les cadeaux de Noël c’est quoi au juste ? Ce sont des millions d’enfants qui écrivent au Père Noël pour lui indiquer leurs souhaits les plus intimes, c’est un Père Noël qui doit tenir la liste des enfants qui ont et n’ont pas été sages durant l’année, avec leur adresse, leur âge, etc. Voilà donc un cas d’école qu’il ne faut pas négliger. Notez que nous avons demandé confirmation de notre analyse à la CNIL, dont nous attendons toujours la position. En attendant, voici la notre :

La liste au Père Noël est ainsi une partie d’un traitement plus large pour le Père Noël. Il s’agit du traitement « Préparer et distribuer les cadeaux de Noël aux enfants sages ». Regardons de plus près ce traitement par rapport aux critères permettant de déterminer si une analyse d’impact sur la protection des données est nécessaire.

  1. Le traitement n’entre pas dans la liste des traitements pour lesquels une DPIA/AIPD est requise.
  2. Le traitement correspond presque à l’un de trois critères discriminants, présents au RGPD art.35.3 : « l’évaluation systématique et approfondie d’aspects personnels (…), qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions (…) affectant de manière significative [une personne physique]. »… Mais le traitement n’est peut-être pas automatisé chez le Père Noël, alors allons plus loin dans l’analyse :
  3. Le traitement rencontre au moins 2 des 9 critères du document WP248 :
    1. Évaluation ou notation: le Père Noël évalue en effet les enfants sur un critère de bonne tenue durant l’année
    2. Surveillance systématique: le Père Noël observe, surveille et contrôle chaque enfant, toute l’année durant, pour pouvoir évaluer son mérite à recevoir ou non un cadeau
    3. Données traitées à grande échelle: le Père Noël surveille tous les enfants de son périmètre !
    4. Données concernant des personnes vulnérables: les enfants sont nécessairement des personnes vulnérables, surtout face à un vieux barbu ventripotent leur offrant un cadeau…
    5. Le traitement vise à autoriser ou empêcher les enfants d’exercer un droit ou bénéficier d’un service/contrat: il s’agit bien d’un contrat moral pris avec les enfants, que le Père Noël décidera d’accepter ou refuser.

Ainsi, puisque 5 des 9 critères du WP248 sont réunis, une analyse d’impact sur la protection des données est bien requise, afin d’assurer que la protection des droits et libertés des enfants au regard du traitement de leurs données est bien préservée.

Plus sérieusement, à l’occasion d’un éventuel « Arbre de Noël » dans votre Organisation, pensez à :

  1. Prendre les devants : il s’agit d’un traitement de données à caractère personnel pour lequel vous devez assurer la protection des données qui seront traitées à cette occasion en intégrant la protection des données dès le départ (RGPD art.25), en commençant par demander conseil à votre DPO.
  2. Enregistrer ce traitement dans le registre de l’entreprise, surtout si votre Organisation fait plus de 250 salariés !
  3. Réaliser une analyse d’impact car, si le nombre de critères est réduit par rapport au cas du Père Noël (ex: vous ne ferez pas d’évaluation du mérite des enfants à recevoir un cadeau), il est au moins de 2 sur 9, ce qui amène à réaliser alors une analyse d’impact :
    1. Données traitées à grande échelle: l’arbre de Noël concerne tous les enfants de votre périmètre (les collaborateurs de l’Organisation).
    2. Données concernant des personnes vulnérables: les enfants sont nécessairement des personnes vulnérables, surtout quand ce sont ceux de personnes considérées également comme vulnérables (les salariés).

En cas de besoin de conseil, n’hésitez pas à contacter PiaLab qui peut tout à fait devenir votre Délégué à la Protection des Données (DPO) ou au moins vous conseiller sur la marche à suivre pour assurer la protection des données et de leurs traitements dans votre Organisation.

Et Joyeux Noël qui arrive à tou⋅te⋅s et surtout aux plus vulnérables. N’oublions pas, le droit à la vie privée est un droit humain (DUDH art.12) et que tous les êtres humains naissent libres et égaux en dignité et en droits, qu’ils sont doués de raison et de conscience et doivent agir les uns envers les autres dans un esprit de fraternité (DUDH art 1er).