On a vu récemment comment récupérer ses données personnelles et son carnet d’adresses depuis Linkedin.
Est-il conforme et légal de conserver les coordonnées d’autrui issues d’un site public, s’ils étaient dans vos contacts, vis à vis du RGPD ?
Vous vous retrouvez là techniquement avec une base de données utilisant les données personnelles d’autrui. Quelle est la frontière entre carnet d’adresses et base de données ? La taille ? L’usage ? Que risquez-vous ?
WorkMeTender vous offre un éclairage.
Quelle est la différence entre un carnet d’adresses et une base de données ?
Définition de la base de données (Larousse) : Ensemble structuré de fichiers regroupant des informations ayant certains caractères en commun.
Définition du carnet d’adresses (Wikipedia) : Un carnet d’adresses est un carnet ou une base de données dans lequel son utilisateur note les informations nécessaires pour contacter les personnes qu’il fréquente. Au sens figuré, ou par métonynimie, le carnet d’adresse est l’ensemble des contacts et relations notamment professionnels dont quelqu’un peut profiter ou faire profiter son employeur.
On voit bien ici qu’un carnet d’adresses est bien un type de base de données.
Quelle réglementation s’applique pour le carnet d’adresses ?
L’introduction du texte du RGPD nous dit :
« Le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités ».
Donc si vous êtes particulier, ou que vous utilisez votre carnet d’adresses pro pour réseauter à titre personnel (personal branding, opportunités des carrière, amitié…), vous ne risquez rien.
En revanche, si vous téléchargez vos données Linkedin et les utilisez à des fins professionnelles ou commerciales, vous vous exposez directement au RGPD. Amendes pouvant aller jusqu’à 4% du chiffres d’affaires mondial ou 20 millions d’euros. Il va sans dire qu’une PME traitant uniquement quelques contacts clients ne sera pas impactée de la même manière qu’une entreprise ayant des millions de données personnelles à traiter tous les jours.
Notez que depuis fin 2018, Linkedin n’inclut plus les adresses mail de vos contacts lorsque vous téléchargez vos données. De nombreuses solutions alternatives existant (extensions chrome, outils de scraping, api d’automatisation), le sujet est toujours d’actualité.
Même si vous êtes commercial et le faites à titre individuel, sans en informer votre employeur, si vous vous servez de ces données pour lui, vous engagez sa responsabilité.
Notez que depuis l’entrée en vigueur du RGPD, vous n’avez plus besoin de déclarer vos bases de données à la CNIL (sauf cas très spécifiques), vous devez simplement respecter la conformité au RGPD et tenir votre registre de traitement des données personnelles à disposition si besoin.
Vous avez des questions sur le RGPD en tant que recruteur ? Posez-les en commentaires et nous y répondrons !