"Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée ») ; est considérée comme identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. "
Dans l'écosystème de messagerie professionnelle, les données personnelles désignent tout ce qui adresse ou identifie de manière unique la personne concernée (le consommateur), notamment :
- Numéros MSISDN et IMSI, utilisés pour identifier un numéro de téléphone mobile, un opérateur et un consommateur
- Adresse e-mail
- Adresse OTT (par exemple, le nom d'utilisateur ou l'adresse Skype ou Facebook d'un utilisateur)
- Adresse IP (qui identifie tout appareil utilisant le protocole Internet pour la communication)
- Une combinaison de métadonnées de communication, par ex. heure d'un message combinée avec l'expéditeur d'un message (par exemple une banque) qui pourrait identifier de manière unique un individu
Cependant, au-delà de cela, le RGPD couvre les données personnelles qui peuvent être contenues dans un message, notamment :
- Le nom d'un utilisateur
- Numéros de compte bancaire et de carte de crédit
- Numéros de permis de conduire et d’immatriculation du véhicule
- Numéros d'assurance nationale ou autres numéros d'identification
- Numéros de police et références de réservation
- Une combinaison d'éléments d'identification, par ex. caractéristiques physiques, emplacement, profession, etc.
Le RGPD définit également les données sensibles, dont le stockage nécessite des protections sécurisées supplémentaires et une autorisation explicite :
- Origine raciale ou ethnique, croyances religieuses ou philosophiques et opinions politiques
- Vie sexuelle, santé et données génétiques
- Données biométriques
- Dossier criminel
En vertu du RGPD, la collecte et le traitement des données personnelles doivent être destinés à des « finalités spécifiques, explicites et légitimes » et reposer sur une base légale. Un responsable du traitement ou un sous-traitant doit disposer d'au moins un des fondements juridiques énumérés ci-dessous pour avoir le droit de stocker et de traiter des données personnelles.
Quelle est la base juridique pour les fournisseurs de CPaaS traiter et stocker les données des messages ?
Les fournisseurs CPaaS, en leur qualité de sous-traitants ou sous-traitants, n'ont pas besoin du consentement de l'intéressé pour stocker et traiter leurs données personnelles.
Les fournisseurs de CPaaS ont généralement deux raisons de légitimer le traitement : Ils ont une base légale, car ils doivent remplir le contrat avec le Propriétaire pour stocker et traiter les messages envoyés par le Propriétaire. Ils ont également l'obligation légale de se conformer à la législation sur les télécommunications, qui exige l'archivage des enregistrements de communications pendant une période.
Cette période diffère d'un pays à l'autre, mais doit être considérée comme une base légale pour le stockage de certaines données. Les raisons juridiques du stockage et du traitement des données personnelles sont :
- Consentement : l'intéressé a librement donné son consentement au stockage et au traitement des informations dans un but déterminé
- L'exécution d'un contrat – la raison la plus probable pour laquelle les agrégateurs de messagerie et les fournisseurs de CPaaS stockeront des données personnelles
- Obligations légales – courantes dans les communications telles que la législation sur l’interception licite et les enquêtes criminelles
- Pour protéger les intérêts vitaux d'une personne, par ex. un hôpital essayant de sauver la vie d'un individu
- Est-ce dans l’intérêt public/des tâches publiques – par ex. Collecte des impôts, passeport, traitement du permis de conduire
- Intérêts légitimes – par ex. prévention de la fraude ou vérifications de crédit