« Mais qu’est-ce qu’il nous chante, encore » vous dites-vous peut-être. En synthèse, que tout responsable de traitement est réputé traiter les données qu’il collecte et produit, mais également celles pouvant être inférées à partir des premières.
Est-ce plus clair? Non? Prenons alors un cas concret. Imaginez que vous ayez à remplir une déclaration d’intérêts, faisant apparaître l’identité de votre conjoint. A priori neutre, l’information fait pourtant immédiatement ressortir votre orientation sexuelle, donnée dite « sensible » et dont le traitement fait l’objet d’un encadrement particulier. C’est en tout cas en ce sens qu’a tranché la CJUE (CJUE, 1er août 2022, n° C-184/20).
Cette solution est désormais reprise par les CNIL européennes pour les données révélant l’origine ethnique (ANSPDCP, 23 septembre 2023, Body Line, communiqué du 23.08.2023) ou concernant l’état de santé (Tietosuojavaltuutetun toimisto, 30 mai 2023, Kesko Oyj, n° 3831/161/21) des personnes. Mieux, une décision Conecta Telecinco de l’autorité espagnole dresse la liste des données pouvant être inférées à partir d’un échantillon vocal (AEPD, 21 mars 2023, Conecta5 Telecinco, n° PS/00191/2022).
D’accord, mais qu’est-ce que cela implique? Qu’en cas de contrôle, si la CNIL devait adopter la même position, vous devriez être en mesure de démontrer respecter le RGPD pour la totalité des données produites, collectées et inférées. A titre d’illustration, il pourrait alors falloir avoir isolé, en plus de la base juridique, une exception justifiant le traitement de données sensibles ou décorréler la durée de conservation des données collectées ou produites de celles inférées. Sans parler d’une éventuelle PIA.
Quid si ça n’est pas fait? Là encore, les autorités de protection n’hésitent pas à sanctionner les conséquences d’une erreur de droit. Ainsi, se tromper quant à la portée d’une obligation légale prive le traitement de base juridique, avec une sanction à la clé (HDPA, 11 avril 2023, n° 33/2023). Même chose en cas de requalification en tant que coresponsable par la CNIL (APD belge, 11 décembre 2023, Ville d’Anvers, n° 165-2023).
En pratique, pour les traitements à venir et lors de la revue de ceux en cours, il faut s’interroger quant à leur périmètre : ne peut-il être étendu par inférence? Le cas échéant, s’imposent des mesures soit pour gérer cette extension, soit pour éviter qu’elles ne se produisent.
Besoin d’aide pour cette évaluation? N’hésitez pas à me contacter.