Une application de traçage peut-elle licitement collecter la date de naissance complète de ses utilisateurs ?
Lorsque X franchit la porte de l’établissement où il-elle a rendez-vous avec un client, il-elle freiné-e net par l’intervention du personnel : « Vous êtes-vous identifié-e avec l’application ? »
Un long cheminement commence alors pour X, qui l’aurait fait ressortir de l’établissement si son rendez-vous n’était déjà arrivé.
Après avoir téléchargé l’application recommandée, X se rend compte qu’il doit impérativement entrer sa date de naissance complète, mais qu’il peut entrer, en réalité, n’importe quelle donnée, y compris une année de naissance du 19e siècle …
Déjà peu enthousiaste à l’idée de s’identifier systématiquement, X remplit le formulaire pour pouvoir enfin rejoindre son contact, mais interpelle une de ses connaissances juristes spécialisée sur cette question.
Il s’avère que la date de naissance, a fortiori complète, n’est pas nécessaire à la finalité, et qu’en outre une fausse indication viole aussi les règles.
Recommandations
Le responsable de traitement doit garantir que les principes de licéité, finalité, proportionnalité, bonne foi et transparence, exactitude et sécurité sont respectées, pendant toute la durée du traitement. C’est pourquoi il doit s’assurer avant d’utiliser une solution technique que celle-ci permettra cette conformité. C’est le concept de la protection des données dès la conception et par défaut, prévu par le RGPD, ainsi que par la LPD modifiée lorsqu’elle entrera en vigueur.
Principes de base
art. 4 LPD licéité, proportionnalité, art. 5 exactitude ; Protection dès la conception et par défaut
Ressources
voir l’information publiée le 15 octobre 2020 par le PFPDT :
https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-19688834