Le 28 janvier célèbre la journée de la protection des données. Mais, de quelles données parle-t-on ?

Le 28 janvier est une date particulière, car c’est à ce moment-là qu’est organisée la journée européenne de la protection des données. Pourquoi le 28 ? Parce que ce jour marque l’anniversaire de la Convention sur la protection des données personnelles, appelée Convention 108, de son vrai nom Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

2021 marquait les quarante ans de la convention. Mais la protection des données se joue au quotidien — celles et ceux qui occupent le poste de « data protection officer », soit délégué à la protection des données, en savent quelque chose. Cette « Privacy Day » s’avère beaucoup plus récente en comparaison de la convention : elle a été instituée au milieu des années 2000.

2018 a marqué un tournant important dans la protection des données au sein de l’Union européenne, avec l’application du Règlement général sur la protection des données (RGPD), au bénéfice de la population. Mais le public, justement, n’est peut-être pas toujours au clair avec ce qu’est une donnée personnelle –et aussi ce qui ne relève pas de cette catégorie.

Le RGPD // Source : Illustration par Claire Braikeh pour Numerama
Le RGPD a fait évoluer la protection des données personnelles au sein de l’Union européenne. // Source : Illustration par Claire Braikeh pour Numerama

Qu’est-ce qu’une donnée personnelle ?

On parle de donnée personnelle, ou plutôt de donnée à caractère personnel, quand il s’agit d’une information se rapportant à un individu, qui est déjà identifié ou peut l’être, de façon directe ou indirecte. Elles concernent les personnes physiques et vivantes. Enfin, plusieurs informations regroupées pour identifier une personne en particulier deviennent de fait des données à caractère personnel.

« Une erreur courante consiste à penser que les données personnelles sont celles qui ‘identifient une personne’. Cette interprétation est inexacte : il s’agit en fait des données ‘relatives à une personne identifiée’, ce qui est bien plus large », explique Fabrice Mattatia, dans son ouvrage RGPD et droit des données personnelles. Il donne à cette occasion un cas de figure illustrant cette différence :

« Dans une réunion professionnelle, ajouter à la liste des participants une colonne où l’on coche les personnes majeures, aboutira sans doute à ce que la totalité des noms soit cochée. Le seul fait de savoir qu’une personne est majeure, sans connaître son nom, ne permettra pas de l’identifier parmi tous les participants ; en revanche, l’information ‘telle personne est majeure’ constitue, pour chacune d’elles, une donnée personnelle ».

La définition d’une donnée personnelle est donnée à l’article 4 du RGPD. Ces informations peuvent être un identifiant (un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou alors un ou des éléments spécifiques propres à son l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne.

Des exemples sont donnés par la CNIL : nom, prénom, numéro de téléphone, plaque d’immatriculation, numéro de Sécurité sociale, adresse postale, mail, un enregistrement vocal, une photographie. On peut aussi ajouter le numéro de carte d’identité, l’adresse IP, l’identifiant publicitaire du smartphone, les données de géolocalisation ou encore l’empreinte digitale. La liste n’est pas exhaustive.

Quels sont les types de données personnelles ?

Les données personnelles se valent-elles ?

Non. Parmi toutes les données à caractère personnel qui peuvent exister, certaines bénéficient d’une protection particulière, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés. Cette catégorie particulière regroupe les données sensibles. Elles font l’objet de dispositions spécifiques et la règle, qui comporte toutefois des exceptions, est l’interdiction de traitement.

Une distinction peut aussi être faite entre les données à caractère personnel et celles qui ont été l’objet d’une pseudonymisation. Il s’agit d’un procédé permettant de minimiser les possibilités d’identification d’une personne, grâce à des traitements informatiques. Une mise en garde cependant : cela ne veut pas forcément dire qu’elles perdent la protection du RGPD. Ce n’est pas le cas si le processus est réversible.

Les autorisations données à des applications peuvent servir à voler vos données // Source : Mohamed Hassan via Pixabay
Mes données, mon choix. // Source : Mohamed Hassan via Pixabay

C’est ce qu’explique la Commission européenne : « Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne constituent toujours des données à caractère personnel et sont couvertes par le règlement général sur la protection des données. »

De fait, des données personnelles peuvent ne plus l’être, si des processus irréversibles les ont rendues anonymes. Cela peut se matérialiser par un visage flouté ou nom masqué, fait savoir la CNIL. Dès lors, ces données perdent leur statut de donnée personnelle et ne sont plus couvertes par le RGPD. Tout l’enjeu étant, évidemment, d’être certain que ce qui est annoncé comme irréversible l’est vraiment.

Qu’est-ce qu’une donnée sensible ?

Les données sensibles regroupent les opinions politiques, les croyances religieuses, les sensibilités philosophiques, l’orientation sexuelle, l’engagement syndical, l’appartenance ethnique, la situation médicale, les condamnations et infractions pénales, les données biométriques, les informations génétiques ou encore les activités sexuelles. Elles font l’objet d’un cadre protecteur renforcé.

Ainsi, rappelle la CNIL, la règle générale est l’interdiction du traitement, mais la loi prévoit des exceptions : nécessité pour la sauvegarde de la vie humaine, si la personne concernée les a manifestement déjà rendues publiques, si un consentement a été donné, si cela est justifié par l’intérêt public et autorisé par la CNIL ou encore si cela concerne les membres ou adhérents d’une organisation liée à une catégorie ci-dessus.

Pour saisir toute l’importance accordée à la protection de ces données sensibles, il suffit de lire l’article 226-19 du Code pénal qui prévoit jusqu’à cinq ans de prison et 300 000 euros d’amende « le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé » ce type de données. Si le texte ne parle pas de données sensibles, c’est bien d’elles qu’il s’agit.

Parmi les exceptions permises à l’interdiction générale de traitement, on peut citer en guise d’exemple les études statistiques de l’INSEE, les applications de rencontres si elles prévoient un recueil valide des personnes pour qu’elles puissent signifier leurs préférences sexuelles, ou encore, pour être raccord avec l’actualité, les traitements de santé qui sont justifiées par l’intérêt public.

Et une donnée non personnelle ?

On pourrait dire toutes les données qui ne sont pas des données à caractère personnel. Et il y en a beaucoup : en faire une liste exhaustive est évidemment impossible, mais on peut donner quelques exemples. Il peut s’agir d’un numéro SIRET (système d’identification du répertoire des établissements) ou bien le mail générique d’une société, comme info at société point com.

L'application Courrier. // Source : Microsoft
Le mail générique d’une entreprise n’est pas une donnée à caractère personnel. // Source : Microsoft

Une donnée non personnelle peut être une donnée personnelle qui perd ce statut, à travers le processus d’anonymisation irréversible évoqué plus haut. Elle vient alors une donnée anonymisée. « Lorsque cette anonymisation est effective, les données ne sont plus considérées comme des données personnelles et les exigences du RGPD ne sont plus applicables », pointe la CNIL.

Qui bénéficie de la protection des données personnelles ?

Toutes les personnes physiques, c’est-à-dire les êtres humains dotés d’une personnalité juridique. Pour le dire plus simplement, il s’agit de n’importe qui de vivant. Par conséquent, cela exclut les personnes morales, comme les entreprises. Ainsi, un fichier recensant des informations sur des personnes morales ne relève pas de la protection des données personnelles.

Dans ces conditions, les personnes morales ne peuvent pas se prévaloir d’une atteinte à leur vie privée. Toutefois, elles ont accès à d’autres leviers juridiques pour se défendre, selon les cas de figure. Par exemple, en cas de piratage de données, elles peuvent faire appel à l’incrimination punissant l’accès frauduleux à un système informatique. Mais, cela n’a rien à voir avec la défense de la vie privée.

La navigation privée protège-t-elle les données personnelles ?

Les principaux navigateurs web — Chrome, Firefox, Safari, Edge — proposent une fonctionnalité appelée « navigation privée ». L’activer n’est pas bien difficile. Mais il faut néanmoins bien comprendre les contours de ce paramètre, qui vise surtout à limiter les traces sur votre ordinateur de votre activité en ligne. Cela ne vous rend pas invisible sur le web.

La navigation privée évite de conserver des données de votre session sur l’appareil que vous avez utilisé : historique de navigation, cookies, mots tapés, sites visités, fichiers temporaires. C’est très pratique lorsque l’ordinateur, le smartphone ou la tablette est partagé avec d’autres personnes : son conjoint, des colocataires, de la famille, des collègues, etc.

Par contre, vous diffusez toujours vos traces sur le net et les sites web que vous visitez peuvent ainsi avoir des informations — votre adresse IP, les caractéristiques de vote connexion et votre matériel. Ils peuvent aussi obtenir des indications sur vous si vous en donnez — ce qui peut être légitime, au passage. La navigation privée ne sera pas pertinente ici.

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !