Qui pose la question ? La DVI de Lettonie clarifie les règles de transparence pour la collecte de données publiques

Avez-vous déjà fait défiler votre fil d'actualité sur les réseaux sociaux et êtes-vous tombé sur un concours ou une inscription à un événement qui semblait un peu trop vague ? Il s'agissait peut-être d'un concours de photographie local ou d'un tirage au sort pour un nouveau gadget technologique, mais le profil qui l'a publié était anonyme, ou le nom de l'organisation était abrégé au-delà de toute reconnaissance. En tant que journaliste qui passe mes journées à décortiquer les petits caractères des politiques de confidentialité, ce sont les moments où mes sonnettes d'alarme internes commencent à retentir. Dans le monde de la protection des données, une invitation à soumettre des données personnelles sans identité claire n'est pas seulement un mauvais marketing — c'est un signal d'alarme réglementaire.

Le 19 mars 2026, l'Autorité lettone de protection des données (DVI) a abordé exactement ce problème. Dans un nouvel article d'orientation, la DVI a clarifié les obligations de transparence pour les organisations publiant des annonces publiques qui invitent les individus à soumettre des données personnelles. Cette initiative est une réponse directe à un nombre croissant de plaintes d'individus qui estimaient avoir été incités à partager leurs informations avec des « fantômes ». Du point de vue de la conformité, la DVI nous rappelle que si le monde numérique semble éphémère, la responsabilité des données est permanente.

La crise d'identité dans les annonces publiques

Dans le cadre du Règlement général sur la protection des données (RGPD), la transparence n'est pas une simple suggestion ; c'est un pilier fondamental. Les articles 12, 13 et 14 dictent que les individus doivent toujours savoir qui traite leurs données et comment les joindre. Curieusement, de nombreuses organisations fonctionnent encore en supposant qu'une affiche tape-à-l'œil ou une légende accrocheuse sur les réseaux sociaux les dispense de ces exigences strictes.

L'orientation récente de la DVI lève cette ambiguïté. L'autorité a noté que de nombreuses annonces publiques sont actuellement non conformes car elles manquent d'identifiants de base. Qu'il s'agisse d'un nom incomplet ou d'une publication provenant d'un profil sans lien discernable avec une entité juridique, ces pratiques créent un environnement opaque où la personne concernée est vulnérable. Pour le dire autrement, demander des données sans s'identifier revient à demander à quelqu'un de remettre les clés de sa maison à une personne portant un masque.

Quelles informations sont réellement requises ?

L'un des enseignements les plus pratiques de l'annonce de la DVI est la précision selon laquelle les organisations n'ont pas besoin d'utiliser le mot spécifique « responsable du traitement » dans leurs publications publiques. Bien que le RGPD soit un document juridique robuste, son application dans les documents destinés au public doit être nuancée et accessible.

Au lieu d'une terminologie rigide, la DVI attend que deux éléments d'information exploitables soient clairement visibles :

1. Le nom légal complet : L'organisation doit indiquer son nom officiel complet. Les abréviations ou les noms commerciaux (« trading as ») qui ne peuvent pas être facilement tracés sont insuffisants.
2. Les coordonnées : Il doit y avoir un chemin clair pour que l'individu puisse obtenir plus d'informations. Cela pourrait inclure un numéro d'enregistrement, une adresse légale ou un lien direct vers une politique de confidentialité complète.

Dans mon propre travail d'éditeur, j'applique souvent un principe d'hygiène numérique aux documents que je révise. Si je ne peux pas vérifier la source d'une demande de données en trois clics, la demande est fondamentalement défaillante. Les organisations peuvent remplir leurs obligations de transparence en incluant un lien direct vers le règlement de l'événement ou une page d'accueil respectueuse de la vie privée qui héberge toutes les informations nécessaires avant la collecte.

Le danger de la collecte de données anonyme

La DVI a mis en évidence plusieurs pratiques inappropriées qui sont désormais fermement sous le microscope réglementaire. Publier à partir d'un profil anonyme est peut-être la plus flagrante. Dans un contexte réglementaire, un profil anonyme agit comme une barrière à la responsabilité. Si une violation de données — que je compare souvent à une marée noire — devait se produire, les personnes concernées n'auraient aucun moyen de savoir qui tenir pour responsable ou où exercer leur droit à l'oubli.

Je me souviens d'une enquête que j'ai menée sur une série de webinaires « pop-up » qui collectaient des coordonnées professionnelles. Beaucoup de ces organisateurs utilisaient des noms génériques comme « Global Tech Insights » sans aucune entité juridique sous-jacente. En creusant davantage, j'ai découvert que les données étaient acheminées vers un marché secondaire. C'est pourquoi la position de la DVI est si vitale : elle force la main du collecteur à être transparent dès le premier point de contact.

La conformité comme boussole

Pour les organisations, considérer la conformité comme une boussole plutôt que comme un obstacle peut éviter des dommages réputationnels importants. Lorsqu'une entreprise est transparente sur son identité, elle construit une base de confiance. En revanche, rester vague sur l'identité de celui qui est derrière un effort de collecte de données donne l'impression que l'organisation a quelque chose à cacher. Essentiellement, la DVI demande l'équivalent numérique d'une carte de visite.

Nonobstant la complexité des transferts de données internationaux ou de la portée extraterritoriale, le cœur de cette orientation est simple : soyez honnête sur qui vous êtes. Si vous organisez un concours à Riga ou un événement à Jurmala, votre public mérite de savoir exactement entre quelles mains ses données atterrissent.

Liste de contrôle pratique pour votre prochaine annonce

Pour vous assurer que votre organisation reste du bon côté des attentes de la DVI, envisagez cette approche méthodique pour votre prochain appel public aux données :

• Vérifiez le nom : L'annonce utilise-t-elle le nom légal complet enregistré au registre des entreprises ?
• Testez les liens : Si vous utilisez un lien vers une politique de confidentialité, fonctionne-t-il sur les appareils mobiles où se fait la majeure partie de la navigation sur les réseaux sociaux ?
• Vérifiez le profil : Le compte de réseau social est-il vérifié ou clairement lié à votre site officiel ?
• Minimisez la demande : Appliquez la minimisation des données. Avez-vous vraiment besoin de leur numéro de téléphone pour une inscription à une newsletter, ou un e-mail suffit-il ?

En fin de compte, l'orientation de la DVI sert de rappel que la vie privée est un droit humain fondamental, et non une case à cocher à la fin d'un projet. En fournissant une identification claire, les organisations s'éloignent des pratiques de données précaires pour s'orienter vers un écosystème numérique plus sophistiqué et plus digne de confiance.

Sources :

• Article officiel de l'Inspection d'État des données de Lettonie (Datu valsts inspekcija - DVI), mars 2026.
• Règlement général sur la protection des données (RGPD), articles 12, 13 et 14.
• Orientation officielle sur la transparence et l'identification du responsable du traitement dans l'espace public.