web-dev-qa-db-fra.com

Le sexe est-il considéré comme des informations personnelles identifiables (PII) dans le cadre du RGPD?

Étant donné que le GDPR fait tout bouger à la minute, je travaille sur quelques modifications de notre site Web/processus.

Je travaille dans le commerce électronique en UX (basé au Royaume-Uni) et j'assiste les équipes marketing dans certaines activités.

Ma question est la suivante: le sexe d'un individu compte-t-il comme PII?

Nous stockons le sexe dans une couche de données en tant que variable JavaScript qui est détenue dans notre propre entreprise, nous pouvons ensuite choisir de transmettre ces variables à une plate-forme de test pour cibler les individus en fonction de la présence de ces variables. Comme je ne suis pas une personne de type juridique/de données, je ne suis pas sûr à 100% si nous stockons et avons les moyens de transmettre le sexe d'une personne (tiré des informations que nous obtenons lorsqu'ils créent un compte avec nous) à un tiers, nous violons tout type d'accords de sécurité des informations?

Si cela est lié à la politique de l'entreprise, etc., faites-le-moi savoir et je fermerai la question car ce n'est pas vraiment pour ici.

19
sclarke

La définition des données personnelles telle que mentionnée dans le RGPD:

"Données personnelles", toute information concernant une personne physique identifiée ou identifiable ("personne concernée"); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifique à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;

Comme vous déclarez que vous utilisez la présence de la variable pour cibler des individus, le sexe a définitivement une référence indirecte à l'identité d'une personne et en tant que tel, il s'agit de données personnelles. Cependant, cela ne signifie pas que vous devez arrêter de traiter le sexe dans le contexte que vous avez décrit.

Du point de vue du risque (c'est le but du RGPD), je ne vois pas de problème si vous ne partagez que le sexe - qui est en fait pseudonymisé puisque vous ne fournissez pas d'autres données d'identification directe avec lui.

Cependant, vous avez d'autres obligations w.r.t. le principe de transparence, incorporant l'activité de traitement dans votre registre de traitement, déterminant le fondement juridique du traitement (et agissant en conséquence), déterminant la relation processeur-contrôleur avec votre tiers et incluant les clauses nécessaires dans le contrat, etc. Pour déterminer tout cela, beaucoup plus d'informations sont nécessaires que celles que vous avez fournies dans votre question et j'encourage fortement à demander des conseils professionnels (juridiques) pour vous aider dans cette affaire.

22
Stef Heylen

TLDR: Possible

De https://www.seobyrvc.com/what-is-personally-identifiable-information-pii/ :

Voici des exemples de " informations potentiellement identifiables personnellement". Autrement dit, les éléments de données en eux-mêmes ne peuvent pas être liés à une personne spécifique, mais lorsqu'ils sont combinés avec d'autres informations (comme les éléments 1 à 11 ci-dessus), ils peuvent l'être.

  1. Un identifiant persistant tel qu'une valeur client/utilisateur générique conservée dans un "cookie"
  2. Adresse IP (Internet Protocol) ou nom d'hôte
  3. Date de naissance, âge
  4. Origine raciale ou ethnique
  5. Appartenance religieuse
  6. Le genre
  7. Taille poids
  8. État civil
  9. Information d'emploi
  10. Information médicale
  11. L'information financière
  12. Information sur le crédit
  13. Information étudiant

Selon les paramètres du navigateur d'un visiteur du site, les cookies (élément 12), qui sont de petits fichiers texte, sont stockés sur le lecteur local du visiteur et transmis entre son navigateur et les serveurs hébergeant les sites visités.

Le point ici est que, en tant qu'informations autonomes, ces éléments de données ne sont pas des PII. Ils ont le potentiel d'être des PII. Ils deviennent PII lorsqu'ils sont combinés avec d'autres données plus spécifiques qui, au total, identifient une personne spécifique.

Par exemple, un rapport de solvabilité complet sans lien avec une personne spécifique n'est pas un PII. Il s'agit simplement d'informations de crédit anonymes. Cependant, même si un rapport de crédit peut ne pas avoir le prénom et le nom d'une personne, s'il contient suffisamment d'informations pour l'identifier à une personne en particulier (c'est-à-dire date de naissance + sexe + origine ethnique + code postal + adresse IP), il correspond à la définition de PII.

8
toom