Les adresses e-mail sont récoltées et traitées dans des contextes variés : formulaires de contact, diffusion de newsletters, ou encore gestion d’espaces clients. Alors que le Règlement Général sur la Protection des Données (RGPD) limite ce qui peut être fait à partir de données personnelles, et alors que les adresses e-mails sont des données souvent nécessaires dans le cadre professionnel, on peut se poser la question : certaines adresses e-mails peuvent-elles sortir de son champ d’application ?
Le critère d’identification d’une personne physique
Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le caractère « identifiable » d’une personne est précisé comme suit : une personne est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant.
A partir de cette définition, trois cas vont pouvoir être observés pour les adresses e-mails :
les adresses e-mail directement identifiantes, qualifiées, donc, de donnée à caractère personnel ;
les adresses e-mail pseudonymes, qui n’identifient pas directement la personne mais l’individualisent ;
les adresses e-mail anonymes ou génériques.
Les adresses e-mail directement identifiantes
Il s’agit de la typologie la plus évidente. Une adresse e-mail est considérée comme directement identifiante dès lors qu’elle intègre des éléments d’identité directs, tels que le nom et le prénom de son titulaire.
Quelques exemples :
- jean.dupont@gmail.com
- j.dupont@gmail.com
- jean.d@gmail.com
Ces adresses sont des données à caractère personnel, peu importe que le prénom ou le nom ne soit pas indiqué entièrement. Leur traitement doit ainsi respecter le RGPD (recueil respectant le fondement de licéité, principe de minimisation des données, respect des durées de conservation, sécurité, …).
Les adresses e-mail pseudonymes
Une adresse pseudonyme ne révèle pas l’identité civile de la personne, elle est construite autour d’un pseudonyme. Cette forme est fréquente sur les forums, les plateformes de e-commerce ou pour l’accès à des services en ligne.
Quelques exemples :
- darksasukedu78@yahoo.fr
- 00X94700@gmail.com
- adresseperso01loulou@gmail.com
Ces adresses sont particulières, mais seront considérées comme des données à caractère personnel, car elles ont une caractéristique partagée avec les données directement identifiantes : elles se réfèrent à une personne concernée unique, qui peut être individualisée à partir de cette adresse.
Les adresses génériques
Cette dernière catégorie regroupe les adresses qui ne sont rattachées à aucune personne physique identifiable. Il s’agit le plus souvent d’adresses fonctionnelles ou de contact, partagées au sein d’une organisation.
Quelques exemples :
- contact@datanaos.com
- service-client@wanadoo.com
- servicerh@nomdel’entreprise.com
L’objet de ces adresses est de désigner une fonction ou un service, et non un individu. Il est impossible de déterminer avec certitude qui consultera les messages envoyés à une telle adresse. De plus, dans l’hypothèse où un seul individu accède bien à la boite e-mail de cette adresse, celle-ci aura vocation à être partagée à d’autres individus au gré des départs et arrivées au sein de l’organisme, tandis que les adresses nominatives, elles, sont généralement désactivées pour supprimées peu de temps après un départ. Ces adresses génériques sont donc des données relatives, non pas aux personnes physiques, mais aux personnes morales.
N’étant pas rattachées à une personne identifiable , ces adresses n’entrent pas dans le champ d’application du RGPD. Par conséquent, leur traitement n’est pas soumis aux contraintes du Règlement (telles que le recueil du consentement pour la prospection). D’autres réglementations, comme celles encadrant la prospection B2B, peuvent néanmoins s’appliquer.
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.