Ce matin, j’ai vu passer une blague de quelqu’un de vantant d’avoir invoqué le RGPD pour cacher la photo d’identité de son pass Navigo à un contrôleur dans le métro. Évidemment, c’est complètement n’importe quoi, et je vais vous expliquer pourquoi…
D’abord c’est quoi le RGPD? Rapidement, c’est une directive européenne réglementant la façon dont les organisations doivent gérer les données personnelles des personnes, avec plusieurs idées forces:
- La collecte de données doit répondre à un besoin
- Ce besoin doit être clairement précisé à l’utilisateur
- Les données collectées ne peuvent pas être utilisées à d’autres fins que le besoin exprimé
- A l’issue de leur utilisation pour le besoin, les données doivent être supprimées
Partant de là, s’il est parfaitement acceptable d’invoquer le RGPD dans le cas du démarchage téléphonique (encore que quand c’est votre opérateur telecom qui vous appelle 3 fois par semaine pour vous vendre son nouveau forfait tant que vous n’avez pas entendu l’ensemble de leur argumentaire, il n’y a pas grand-chose à faire – à part en changer), qu’en est-il du cas évoqué en introduction?
Reprenons les différents points:
- Quel est le besoin? Le contrôle non seulement du titre de transport en lui-même, mais de son adéquation avec la personne le présentant
- Le besoin est-il précisé à l’utilisateur? Je n’ai pas encore vu un contrôleur valider les passes navigo en loucedé, donc on suppose que oui, via la phrase convenue « contrôle des titres de transport s’il vous plaît! »
- La donnée collectée respond-elle au besoin? Clairement oui. On ne porte pas son nom tatoué sur son front, donc la photo est un moyen valide de contrôler que la personne qui présente le passe en est bien titulaire. L’alternative serait de présenter une pièce d’identité avec photo… #OhWait
- La donnée est-elle conservée au delà d’un délai raisonnable? Non: à l’issue du contrôle, la carte est rendue à son propriétaire.
On est donc dans le cas d’une utilisation conforme au RGPD, et si vous êtes contrôleur et que vous me lisez, vous saurez quoi répondre au prochain Demi-habile qui vous sortira cet argument…
PS: par contre, mémoriser le nom sur la carte du beau blond qui vous a tapé dans l’œil avec l’intention de le retrouver sur les réseaux sociaux, ça rentre dans les utilisations non autorisées des données personnelles, et ca n’a pas attendu le RGPD pour être pénalement répréhensible…