Pas juriste, mais c'est un sujet qui m'intéresse beaucoup.
Une petite rectification pour commencer :
l'adresse email n'est, en elle-même, probablement pas suffisante pour constituer une
"donnée personnelle" au sens du RGPD.
Attention, une adresse mail est bien une DCP (donnée à caractère
personnel) au titre du RGPD.
C'est une erreur "fréquente", mais il faut avoir en tête que la
définition de DCP telle qu'énoncée dans le RGPD est très large.
Article 4 :
Aux fins du présent règlement, on entend par:
1) «données à caractère personnel», toute information se rapportant à
une personne physique identifiée ou identifiable (ci-après dénommée
«personne concernée»);
Est réputée être une «personne physique identifiable» une personne
physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en
ligne, ou à un ou plusieurs éléments spécifiques propres à son
identité physique, physiologique, génétique, psychique, économique,
culturelle ou sociale;
Le mot important c'est "identifiable". Même si une information ne donne
pas directement l'identité d'une personne, s'il existe un moyen de
rattacher cette information à une personne, alors c'est une DCP (et ce,
même si le moyen de réidentification est hors de portée du responsable
de traitement; c'est comme ça qu'une plaque d'immatriculation ou une
adresse IP sont également des DCP au regard du RGPD même si on n'est pas
le ministère de l'intérieur ou le FAI).
Pour répondre à la question d'origine :
Même si ça me parait limite dans l'esprit du RGPD, il y a fort à parier
que l'opérateur justifie le traitement des adresses mail de ses abonnés
par la base légale de la nécessité à l'exécution au contrat (art.
6(1)b). Il va probablement se justifier en indiquant que le contrat
prévoit que le courrier électrique est le moyen principal qui lui permet
de communiquer avec son client.
Le problème de cette base légale est qu'elle n'ouvre à la personne
concernée ni le droit d'opposition, ni le droit à l'effacement (tant que
le contrat court).
Par contre, si l'opérateur ne peux pas justifier que l'adresse mail est
nécessaire à l'exécution du contrat (parce qu'il est possible d'exécuter
le contrat sans avoir cette info), alors le traitement a très
certainement été placé sous la base légale de l'intérêt légitime (bah
oui, c'est plus simple de communiquer par mail que d'envoyer un courrier
par la poste).
Là, c'est plus intéressant car le droit d'opposition s'applique pour les
traitements placés sous cette base légale (art 21(1)), à quelques
exceptions prêtes (mais qui me semblent difficilement invocables dans ce
contexte). Et le fait de t'opposer à ce traitement permet également
d'invoquer le droit à l'effacement (sur la base de l'art 17(1)c).
Le DPO doit t'indiquer sur quelle base légale ton adresse mail est
traitée (et donc sur quelle base il s'oppose à l'effacement que tu as
demandé).
Est-ce vers la CNIL qu'il faut se tourner si le DPO refuse
à tort de supprimer une information personnelle après demande explicite ?
Oui, il est possible de déposer une plainte auprès de la CNIL [1] (c'est
d'ailleurs une mention qui doit être obligatoirement portée dans la
réponse à ta requête au DPO).
Par contre (et ça me fait mal de le dire), ne t'attends pas à grand
chose si tu saisies la CNIL. La CNIL ne semble réellement agir que
lorsqu'elle est saisie par un grand nombre de personne pour la même
entité. Et même dans ces cas là, les sanctions sont au mieux symboliques
(lorsqu'elles existent).
[1]
https://demarche.services.cnil.fr/plaintes/soumission-d-une-plainte-a-la-cnil/
Le 24/11/2024 à 02:48, Noryungi a écrit :
Réponse rapide : dans le cas de figure que tu décris, l'opérateur peut
effectivement réclamer une adresse email pour la gestion de la ligne.
Cette obligation devrait être écrite précisément dans les termes du
contrat. Il faut donc relire ce contrat.
Un recours RGPD ne me semble pas possible : c'est probablement une des
exceptions que ton fournisseur peut faire jouer et l'adresse email n'est,
en elle-même, probablement pas suffisante pour constituer une "donnée
personnelle" au sens du RGPD. D'autant plus que tu peux utiliser n'importe
quoi comme adresse email, comme "a.n.on...@petit-email.com" ou encore "
contrat.lig...@mon-email.com". ;-)
Pour moi, c'est cuit, mais je ne suis pas un juriste de formation.
On Fri, Nov 22, 2024, 17:39 Frederic Dumas <f.du...@ellis.siteparc.fr>
wrote:
Bonjour à tous,
question pour les vendredis soir. Sur une ligne mobile d'un opérateur
mobile français, je n'ai pas de mail de contact renseigné, et ça va très
bien. Sur une autre ligne du même type chez ce même opérateur, j'ai un mail
que je veux supprimer, bien que le selfcare me l'interdise. Les deux lignes
sont des contrats similaires B2C, mais distincts.
Mi octobre, j'ai saisi le DPO de l'opérateur, demandant la suppression de
l'adresse mail associée à mon second abonnement, le service client m'écrit
aujourd'hui (courrier postal) que je n'ai pas le droit de supprimer mon
mail sans le remplacer par un autre.
Qui a raison ? Est-ce vers la CNIL qu'il faut se tourner si le DPO refuse
à tort de supprimer une information personnelle après demande explicite ?
Ou une disposition quelconque permet-elle à un commerçant de s'opposer
légitimement à la suppression du mail de son client ? À partir du moment où
il lui reste l'adresse postale et le téléphone mobile pour joindre si
besoin le client, la justification est spécieuse.
Merci à ceux qui en savent plus de m'aider à comprendre ce que permet ou
non le RGPD à un client lambda.
--
Frédéric Dumas
f.du...@ellis.siteparc.fr
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
