Des « données à caractère personnel »

– Définition des données personnelles ou données à caractère personnel. – La loi informatique et libertés les dénommait à l'origine « informations nominatives » L. n^o 78-17, 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés, art. 4 ancien « … les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent… » Que la loi était bien écrite à l'époque, sans bavardage inutile et dans des termes intemporels ! . Cette appellation était conforme à l'usage de l'époque, mais était inconfortablement réductrice. Les autorités de contrôle et juridictions se sont très tôt affranchies de ce cadre un peu trop étroit, étendant son application à tout élément se rapportant à une personne.

Le développement de l'informatique et des outils de communication qu'il a permis a conduit à considérer que les données personnelles allaient finalement bien au-delà des seules informations rattachées au nom d'une personne, pour s'étendre à son image, sa voix, ses activités de toutes natures, etc., en fait tout ce qui se rattache à sa personne en particulier.

La directive de 1995 a donc opté pour le terme de « données à caractère personnel » repris dans la loi informatique et libertés dans sa rédaction issue de sa transposition de 2004 Pour l'anecdote, les termes historique de « informations nominatives » et transitionnel de « données nominatives » demeurent dans les têtes de chapitres des art.s abrogés lors de la réécriture de la loi. .

Il faut tout d'abord noter que cette définition va bien au-delà de celle, d'origine proche et souvent parallèlement évoquée, de vie privée ; des données publiques pouvant néanmoins être personnelles.

Il faut aussi remarquer que cette définition présume que la personne concernée est vivante, au motif qu'une personne décédée n'est plus une personne physique Groupe de travail « Article 29 » sur la protection des données (établi par l'article 29 de la directive 95/46/CE, organe consultatif indépendant de l'Union européenne sur la protection des données et de la vie privée), avis 4/2007 sur le concept de données à caractère personnel, p. 24 et s. . De sorte que, lorsqu'une personne décède, ses données ne sont plus « à caractère personnel » et perdent leur protection à l'égard du défunt Ce principe d'extinction de droits au décès se retrouve aujourd'hui dans les dispositions de la loi informatique et libertés issues de la loi pour une République numérique, art. 84 et s. . Mais elles peuvent conserver ces qualification et protection à l'égard d'autres personnes physiques vivantes qu'elles peuvent concerner par ailleurs.

Les « données à caractère personnel », également dénommées « données personnelles » sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, avec la précision qu'une personne physique est rendue identifiable par un numéro d'identification, des données de localisation ou tout élément physique, physiologique, génétique, psychique, économique, culturel ou social qui lui est propre.

– Mais toutes ces données sont-elles forcément personnelles ? – Des données patronymiques constituent-elles des données personnelles, alors que des parents ou alliés peuvent être titulaires des mêmes, sans parler des homonymes ? Des informations génétiques sont-elles forcément des données personnelles, à ce titre protégées, alors que des gènes identiques peuvent se trouver chez de nombreuses personnes, parentes ou pas ? À partir de quand une donnée seule ou un ensemble de données identifient-ils suffisamment une ou plusieurs personnes physiques pour leur accorder la qualification de données personnelles et leur ouvrir le droit à en revendiquer la protection ? La doctrine des autorités de contrôle et la jurisprudence des juridictions nationales et européennes sont à l'œuvre, volumineuses et anciennes, avec une marge d'appréciation accrue par le RGPD qui considère qu'une personne est identifiée ou identifiable si des moyens raisonnables, en coût, temps et moyens techniques, le permettent PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 26 et application par le Conseil d'État dans son dernier avis rendu le 20 septembre 2020 au sujet de l'utilisation de drones par les autorités publiques (www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques">Lien). .

– Sort des données personnelles en cas de pseudonymisation ou anonymisation. – L'on comprendra, pour la suite des présents développements, que pour la définition de « données personnelles », l'identification ou la possibilité de l'identification d'une personne physique seront les critères primordiaux de l'application de la protection de ces données. Celles-ci perdent toute protection, et les personnes concernées perdent tous leurs droits sur elles en cas d'anonymisation Cf. PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 26. des données, c'est-à-dire en cas de suppression du lien entre les données et les personnes qu'elles concernent.

Il est bien question de la perte irrémédiable du lien entre les personnes et leurs données, et non d'une simple atténuation, qualifiée de pseudonymisation Ibid. , consistant simplement à dissimuler l'identité d'une personne concernée ou à la séparer du stockage de ses données. Cette dernière est insuffisante à la rupture du lien entre les personnes et leurs données et n'écarte donc pas les règles de leur protection.

C'est précisément par ces deux aspects que la législation sur les données personnelles gère le paradoxe de la protection et de la libre circulation des données numériques (une fois anonymisées), pour reprendre le titre même du RGPD.

Pour être personnelles, des données doivent donc pouvoir être attribuées à des « personnes concernées ».