Le 28 janvier marque la journée de la protection des données. Mais de quelles données parle-t-on ?

Si vous occupez le poste de « data protection officer », soit délégué à la protection des données, vous connaissez certainement déjà le sens de la journée du 28 janvier. Pour les autres, il faut savoir que ce jour célèbre la protection des années. L’évènement est ancien : il a en effet été institué en 2007 par le Conseil de l’Europe, et repris depuis par la Commission européenne.

Il faut aussi noter que ce jour marque l’anniversaire de la Convention sur la protection des données personnelles, appelée Convention 108, de son vrai nom Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Et cette année, cet anniversaire revêt un caractère particulier, puisque le texte souffle sa quarantième bougie.

Comme vous vous en doutez, cette journée de la protection des données s’adresse aussi au public, puisqu’il est justement le bénéficiaire des textes de loi qui sont pris au fil des ans. Cette protection s’est d’ailleurs renforcée significativement en 2018, avec l’entrée en lice du Règlement général sur la protection des données (RGPD). Mais au fait, qu’est-ce qu’est une donnée personnelle ?

Le RGPD a fait évoluer la protection des données personnelles au sein de l’Union européenne. // Source : Illustration par Claire Braikeh pour Numerama

Qu’est-ce qu’une donnée personnelle ?

On parle de donnée personnelle, ou plutôt de donnée à caractère personnel, quand il s’agit d’une information se rapportant à un individu, qui est déjà identifié ou peut l’être, de façon directe ou indirecte. Elles concernent les personnes physiques et vivantes. Enfin, plusieurs informations regroupées pour identifier une personne en particulier deviennent de fait des données à caractère personnel.

« Une erreur courante consiste à penser que les données personnelles sont celles qui ‘identifient une personne’. Cette interprétation est inexacte : il s’agit en fait des données ‘relatives à une personne identifiée’, ce qui est bien plus large », explique Fabrice Mattatia, dans son ouvrage RGPD et droit des données personnelles. Il donne à cette occasion un cas de figure illustrant cette différence :

« Dans une réunion professionnelle, ajouter à la liste des participants une colonne où l’on coche les personnes majeures, aboutira sans doute à ce que la totalité des noms soit cochée. Le seul fait de savoir qu’une personne est majeure, sans connaître son nom, ne permettra pas de l’identifier parmi tous les participants ; en revanche, l’information ‘telle personne est majeure’ constitue, pour chacune d’elles, une donnée personnelle ».

La définition d’une donnée personnelle est donnée à l’article 4 du RGPD. Ces informations peuvent être un identifiant (un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou alors un ou des éléments spécifiques propres à son l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne.

Des exemples sont donnés par la CNIL : nom, prénom, numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale, mail, un enregistrement vocal, une photographie. On peut aussi ajouter le numéro de carte d’identité, l’adresse IP, l’identifiant publicitaire du smartphone, les données de géolocalisation ou encore l’empreinte digitale. La liste n’est pas exhaustive.

Les données personnelles se valent-elles ?

Non. Parmi toutes les données à caractère personnel qui peuvent exister, certaines bénéficient d’une protection particulière, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés. Cette catégorie particulière regroupe les données sensibles. Elles font l’objet de dispositions spécifiques et la règle, qui comporte toutefois des exceptions, est l’interdiction de traitement.

Une distinction peut aussi être faite entre les données à caractère personnel et celles qui ont été l’objet d’une pseudonymisation. Il s’agit d’un procédé permettant de minimiser les possibilités d’identification d’une personne, grâce à des traitements informatiques. Une mise en garde toutefois : cela ne veut pas forcément dire qu’elles perdent la protection du RGPD. Ce n’est pas le cas si le processus est réversible.

C’est ce qu’explique la Commission européenne : « Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne constituent toujours des données à caractère personnel et sont couvertes par le règlement général sur la protection des données. »

De fait, des données personnelles peuvent ne plus l’être, si des processus irréversibles les ont rendues anonymes. Cela peut se matérialiser par un visage flouté ou nom masqué, fait savoir la CNIL. Dès lors, ces données perdent leur statut de donnée personnelle et ne sont plus couvertes par le RGPD. Tout l’enjeu étant, évidemment, d’être certain que ce qui est annoncé comme irréversible l’est vraiment.

Qu’est-ce qu’une donnée sensible ?

Les données sensibles regroupent les opinions politiques, les croyances religieuses, les sensibilités philosophiques, l’orientation sexuelle, l’engagement syndical, l’appartenance ethnique, la situation médicale, les condamnations et infractions pénales, les données biométriques, les informations génétiques ou encore les activités sexuelles. Elles font l’objet d’un cadre protecteur renforcé.

Ainsi, rappelle la CNIL, la règle générale est l’interdiction du traitement, mais la loi prévoit des exceptions : nécessité pour la sauvegarde de la vie humaine, si la personne concernée les a manifestement déjà rendues publiques, si un consentement a été donné, si cela est justifié par l’intérêt public et autorisé par la CNIL ou encore si cela concerne les membres ou adhérents d’une organisation liée à une catégorie ci-dessus.

Pour saisir toute l’importance accordée à la protection de ces données sensibles, il suffit de lire l’article 226-19 du Code pénal qui prévoit jusqu’à cinq ans de prison et 300 000 euros d’amende « le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé » ce type de données. Si le texte ne parle pas de données sensibles, c’est bien d’elles qu’il s’agit.

Parmi les exceptions permises à l’interdiction générale de traitement, on peut citer en guise d’exemple, les études statistiques de l’INSEE, les applications de rencontres si elles prévoient un recueil valide des personnes pour qu’elles puissent signifier leurs préférences sexuelles, ou encore, pour être raccord avec l’actualité, les traitements de santé qui sont justifiées par l’intérêt public.

Et une donnée non personnelle ?

On pourrait dire toutes les données qui ne sont pas des données à caractère personnel. Et il y en a beaucoup : en faire une liste exhaustive est évidemment impossible, mais on peut donner quelques exemples. Il peut s’agir par exemple d’un numéro SIRET (système d’identification du répertoire des établissements) ou bien le mail générique d’une société, comme info at société point com.

Le mail générique d’une entreprise n’est pas une donnée à caractère personnel. // Source : Microsoft

Une donnée non personnelle peut être une donnée personnelle qui perd ce statut, à travers le processus d’anonymisation irréversible évoqué plus haut. Elle vient alors une donnée anonymisée. « Lorsque cette anonymisation est effective, les données ne sont plus considérées comme des données personnelles et les exigences du RGPD ne sont plus applicables », pointe la CNIL.

Qui bénéficie de la protection des données personnelles ?

Toutes les personnes physiques, c’est-à-dire les êtres humains dotés d’une personnalité juridique. Pour le dire plus simplement, il s’agit de n’importe qui de vivant. Par conséquent, cela exclut par exemple les personnes morales, comme les entreprises. Ainsi, un fichier recensant des informations sur des personnes morales ne relève pas de la protection des données personnelles.

Dans ces conditions, les personnes morales ne peuvent pas se prévaloir d’une atteinte à leur vie privée. Par contre, elles ont accès à d’autres leviers juridiques pour se défendre, selon les cas de figure. Par exemple, en cas de piratage de données, elles peuvent faire appel à l’incrimination punissant l’accès frauduleux à un système informatique. Mais cela n’a rien à voir avec la défense de la vie privée.

Partager sur les réseaux sociaux

La suite en vidéo