Le Père Noël et la CNIL islandaise (1)
A la suite de plaintes déposées par des parents inquiets de la gestion des données de leurs enfants par le Père Noël, la CNIL islandaise a enquêté et rendu un avis.
Des parents d’enfants, préoccupés de savoir comment était gérée la liste tenue par le Père Noël, ont saisi la CNIL islandaise. De fait, la liste en question contient des données sensibles sur les noms et adresses des enfants, et donc de personnes de moins de 18 ans. Ceci est factuel. Mais le Père Noël détient aussi des informations subjectives, fournies par la personne adulte responsable, qui précisent si ces enfants ont été « sages » ou « pas sages » au cours de la dernière année civile. Il est clair qu’une telle liste est à considérer comme un « registre » au sens du RGPD2. Le Père Noël a beau avoir une activité très ancienne, sinon remontant à la nuit des temps, la modernité réglementaire fait irruption dans son fonctionnement séculaire. La question est importante, chacun en est conscient.
La CNIL islandaise a donc enquêté. Elle a constaté que la liste contestée avait été établie à l’insu ou sans le consentement des enfants ou de leurs parents. En outre, les plaignants n’ont pas reçu d’informations sur le traitement prévu et n’ont pas eu la possibilité de s’opposer à celui-ci avant qu’il ait lieu. Ces observations faites, elle a accordé au Père Noël un droit de réponse pour qu’il puisse s’expliquer. Celui-ci a affirmé que le traitement en question était fondé sur l’intérêt public. D’autre part, après la suppression des données de l’année précédente, il n’est plus possible à quiconque d’accéder aux informations sur le comportement d’un enfant précis au cours de cette période. De cette manière, la durée de conservation des données n’est pas plus longue que celle nécessaire en fonction de la finalité du traitement.
Enfin, le Père Noël a souligné qu’il a toujours exercé ses fonctions avec une grande diligence, puisqu’il s’agit de données personnelles de mineurs, qui bénéficient d’une protection accrue au titre du RGPD. Compte tenu du type de travail du Père Noël, il est inévitable qu’un certain traitement ait lieu, car l’évaluation est une condition préalable pour décider quelles petites chaussures recevront un cadeau et lequel. A l’évidence, il doit faire preuve de discernement voire d’à-propos et la gestion des données l’y aide.
À condition que les mesures de sécurité appropriées soient prises par le Père Noël lors de la création et de la conservation de la liste, l’Autorité islandaise de protection des données conclut que le traitement en question est conforme aux dispositions de la loi nationale sur la protection des personnes et le traitement des informations personnelles, ainsi qu’à celles du RGPD ! Il ne s’agit, à proprement parler, pas d’une décision appelée à faire jurisprudence. Nous espérons, néanmoins, qu’elle inspirera la même mansuétude à l’égard des différents Pères Noël et autres Santas qui œuvrent en Europe et qu’elle s’étendra aux Saints Nicolas comme aux Rois mages qui ont des fonctions identiques.
Joyeux Noël à tous !
1 Librement adapté du communiqué de presse publié le 13 décembre par Personu Vernd (CNIL islandaise)
2 Règlement Général pour la Protection des Données
Anne d’ANDIRAN & Henri DEBRUYNE