Définition des donnée à caractère personnel (DCP): « Toute information[1] se rapportant à une personne physique[2] identifiée ou identifiable » (article 4-1 du RGPD)[3]. La portée du terme « identifiable » est déterminante pour identifier une donnée à caractère personnel (1). Celle-ci est illustrée par des exemples pratiques (2).
Personne physique « identifiable».
Il s’agit d’« une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant[4], tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4-1 du RGPD). Il ne s’agit pas d’une simple possibilité hypothétique d’identifier une personne (avis G29, WP 136, p. 16).
Critère identifiable. « Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage » (considérant 26 du RGPD).
Critère raisonnable. « Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci » (considérant 26 du RGPD).
Quid des facteurs subjectifs ? L’interprétation du critère « raisonnable » peut dépendre, au-delà des facteurs objectifs, du contexte et des circonstances du cas d’espèce[5]. Selon l’avis G29 sur le concept des DCP, il faudrait « notamment prendre en compte tous les facteurs en jeu tels que le cout de l’identification, la finalité du traitement, la durée et la complexité d’identification d’une personne physique, les intérêts et les risques en jeu face à l’identification de la personne concernée et l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période du traitement » (avis G29, WP 136, p. 14).
Portée de la définition. Comme nous constatons, la portée de la définition des DCP en vertu du RGPD (inspirée largement de celle de la directive 95/46) est large. Cette définition est centrée sur le critère d’ « identification »[6]. L’objectif de cette définition large est de couvrir toute les informations qui peuvent être reliées à une personne[7] et de protéger au maximum cette personne. En outre, le développement de la technologie de traitement et d’identification, par la possibilité de combinaison des données, peut étendre considérablement le champ des DCP. Même si la portée de la définition présentée dans le RGPD est moins large que celle présentée dans la loi informatique et libertés, et cela dû à l’absence de référence à la notion « raisonnablement », une interprétation large de la notion « raisonnablement » entrainera un élargissement du champ d’application matériel des DCP.
Pratique de la CNIL jusqu’à présent. En pratique, la CNIL applique la définition des DCP tout en prenant en compte « la nature et le nombre des données, l’importance de l’échantillon, les caractéristiques du traitement »[8].
Données anonymes. Elles sortent du champ d’application des DCP. Ainsi, les principes relatifs à la protection des données ne s’appliquent pas aux informations anonymes, à savoir « les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable» (considérant 26 du RGPD).
Techniques d’anonymisation. L’avis G29, WP 216 du 05/2014 sur les techniques d’anonymisation propose trois critères pour aider à évaluer une solution d’anonymisation irréversible : l’individualisation (la possibilité d’isoler un individu), la corrélation (la possibilité de relier entre eux des ensembles de données distincts concernant un même individu), et l’inférence (la possibilité de déduction de l’information sur un individu).
Responsabilités du RT face à une anonymisation irréversible. En pratique, compte tenu du développement des technologies d’identification et de traitement des données, l’anonymisation réelle des données est difficile, d’autant plus que le risque de ré-identification est fort présent. Le responsable du traitement (RT) a un certain nombre d’obligation lors du procédé d’anonymisation et la mise en œuvre des techniques d’anonymisation (comme randomisation ou généralisation) qui doit être conforme à la loi. Il s’agit notamment d’évaluer régulièrement le risque de réidentification en fonction du contexte du traitement, démontrer l’adéquation des mesures de réidentification[9].
Position de la CNIL. La CNIL reste stricte quant à l’évaluation des techniques d’anonymisation. À titre d’exemple, elle refuse dans sa délibération 16 juillet 2015 la mise en œuvre par la société JCDecaux d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense, n°2015-255 (demande d’autorisation n°1833589), https://www.legifrance.gouv.fr/affichCnil.do?&id=CNILTEXT000031159401. Cette décision est confirmée par le Conseil d’État dans sa décision CE, 8 février 2017, n°393714.
Nouvelle mission de la CNIL. En vertu de l’article 11 de la loi n°2016-1321 du 7 octobre 2016 sur la République numérique, la CNIL est tenue de « certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel ».
Exemples d’application de la définition
1. Données directement identifiantes : nom, prénom, photo, email nominatif.
2. Données indirectement identifiantes : les matricules et autres identifants personnels comme un identifiant de connexion d’Internet, un identifiant de compte en ligne, un matricule interne, un numéro de téléphone notamment mobile, une adresse IP, une signature électronique, l’adresse MAC[10] ou adresse physique stockée dans une carte réseaux ou une interface réseaux similaire, le numéro d’identification unique du mobile (IMEI[11]), le numéro de la carte de paiement, la plaque d’immatriculation d’un véhicule, le numéro d’Identification Nationale Étudiant (INE), l’identifiant national de santé (le numéro de sécurité sociale (NIR[12])), les données biométriques[13], les données génétiques[14], les données concernant la santé[15].
- Données pseudonymes. Il s’agit des DCP indirectement identifiantes « qui ont fait l’objet d’une pseudonymisation[16] et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable » (Considérant 26 du RGPD). Ces données présentent moins de risque à l’égard des droits et libertés des personnes concernées par des garanties techniques et organisationnelles accordées aux informations identifiantes conservées séparément.
- Données d’identification unique. Parmi les données indirectement identifiantes, les données d’identification unique présenteront, notamment par la possibilité d’interconnexion entre différents fichiers, plus de risque à l’égard des droits et libertés des personnes concernées. À cet égard, l’exemple du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) peut être détaillé.
Numéro NIR. L’utilisation de ce numéro est soumise en vertu de l’article 25 de la loi informatique et libertés à une autorisation auprès de l’autorité de contrôle la CNIL. Exception est faite aux fichiers de paie et de gestion du personnel pour l’établissement des bulletins de paie et des différentes déclarations sociales obligatoires (décret n° 91-1404 du 27 décembre 1991), ainsi que dans le cadre de la prise en charge des frais de maladie (articles R.115-1 et R.11 5-2 du code de la sécurité sociale). En vertu de l’article 87 RGPD concernant le traitement du numéro d’identification national, « les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement ».
- Adresse IP. En tant qu’identifiant du terminal de l’utilisateur,l’adresse IP peut conduire indirectement à l’identification de la personne concernée. Pour analyser la nature de l’adresse IP, il convient de distinguer entre l’adresse IP fixe et dynamique. Alors que la première reste identique pour chaque connexion d’Internet, une adresse IP dynamique change en fonction des paramètres configurés sur le serveur de fournisseur d’accès à internet. La qualification d’une adresse IP fixe en tant que DCP indirectement identifiant ne fait aucun doute. En revanche, la qualification d’une adresse IP dynamique est polémique. À cet égard, il convient de distinguer le cas où l’adresse IP dynamique est conservée par un fournisseur d’accès à Internet (FAI) (CJUE, 24 novembre 2011, Scarlet c SABAM, C‑70/10, §51) du cas où celle-ci est conservée par un fournisseur de service en ligne (CJUE, 12 mai 2016, Patrick Breyer c. Bundesrepublik Deutschland, C-582/14). Dans le premier cas, le FAI dispose des moyens raisonnables pour identifier la personne concernée. Ainsi, l’adresse IP peut être qualifiée comme DCP. Dans le deuxième cas, l’adresse IP peut être considérée comme DCP lorsque le fournisseur de service dispose de « moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne »[17].
Nous avons constaté que la portée de la définition des DCP est large. L’interprétation de la notion « moyen raisonnable » a un rôle central dans l’étendue de cette portée. En outre, parmi les données à caractère personnel, certaines présentent, par leur nature, leur finalité du traitement, leurs destinataires et leur contexte plus de risques à l’égard des droits et libertés des personnes concernées. Par conséquent, celles-ci nécessitent une protection renforcée (interdiction de leur traitement concernant les catégories particulières des données y compris des données sensibles (article 9) ou la nécessité d’une consultation préalable l’autorité de contrôle CNIL, mesures techniques et organisationnelles renforcées).
Pour approfondir :
- G29, WP 136, avis 4/2007 sur le concept des données à caractère personnel, 20 juin 2007,
- Étude 2014 du Conseil d’État sur le numérique et les droits fondamentaux.
- Debet (A.), Massot (J.), Metallinos (N.), Informatique et Libertés : la protection des données à caractère personnel en droit français et européen, éd., Lextenso, 2015, §. 503 et s.
- Lesaulnier (F.), « La définition des données à caractère personnel dans le règlement général relatif à la protection des données personnelles », Dalloz IP/IT 2016, n°2, pp. 573-580.
[1] La forme n’est pas importante : image, son, texte, format électronique ou non.
[2] La protection de personne morale est hors de champ d’application du RGPD.
[3] Voir aussi la définition en vertu de l’article 2-2 loi Informatique et libertés.
[4] Selon l’avis G29 WP 136 sur le concept de données personnelle (ci-après Avis G29 WP 136), l’identifiant « présente une relation particulièrement privilégiée et étroite avec la personne physique concernée ».
[5] Voir à cet égard l’avis du gouvernement allemand dans l’affaire Breyer 2016.
[6] « L’identification, par l’imputation qu’elle permet, expose potentiellement la personne à un danger. C’est donc logiquement dans ce lien d’attribution de l’information à la personne d’où découle une imputation qu’il faut rechercher l’essence de la notion. » Lesaulnier (F.), « La définition des données à caractère personnel dans le règlement général relatif à la protection des données personnelles », Dalloz IP/IT 2016, n°2, pp. 573-580.
[7] Ibid.
[8] CNIL, compte rendu du séminaire « Open Data, quels enjeux pour la protection des données personnelles ? », 9 juillet 2013 workshop 2013.
[9] Conseil de l’Europe, lignes directrices sur la protection des personnes à l’égard du traitement des données à caractère personnel à l’ère des mégadonnées, 2017, https://rm.coe.int/16806ebf23, p. 6.
[10] Media Access Control.
[11] International Mobile Equipment Identity.
[12] Décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000034298418&dateTexte=&categorieLien=id.
[13] Il s’agit des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (Article 4-14 RGPD).
[14] Il s’agit des « données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question » (Article 4-13 RGPD).
[15] « Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (Article 4-15 RGPD) ; loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016 (art. 193) (loi spécifique à la santé).
[16] « Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable » (Article 4-5 RGPD).
[17] CJUE, 12 mai 2016, Patrick Breyer c. Bundesrepublik Deutschland, C-582/14, §. 65.