La définition textuelle des données personnelles

La définition textuelle des données personnelles

  • on entend par identification directe des éléments rattachés à la personne par essence, comme son nom et ses prénoms que l'on peut considérer comme des données permanentes ;
  • l'identification indirecte s'opère par rattachement de tout élément d'identification à la personne : un numéro de téléphone, une plaque d'immatriculation, un identifiant tel que le numéro de sécurité sociale, des données de localisation comme une adresse postale, un identifiant en ligne ou un courriel, mais aussi par exemple une voix ou une image. Ces données sont situées dans le prolongement de la personne après sa naissance et sont évolutives.
Cette identification peut être réalisée :
  • à partir d'une seule donnée ;
  • ou à partir du croisement d'un ensemble de données, un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
En revanche, les coordonnées d'entreprises, comme l'entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique ne sont pas, en principe, des données personnelles, selon la position de la Cnil.
– Le rattachement des données personnelles à la personne physique. – Seules les personnes physiques sont dotées de données personnelles PE et Cons. UE, dir. 95/46/CE, 24 oct.1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 1 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046">Lien). – PE et Cons. UE, dir. 2002/58/CE, 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »), art. 1 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32002L0058">Lien). . Cet élément est déterminant en ce qu'il conditionne l'application des règles de protection des données V. infra, Commission 1, Partie III, nos et s. . La Commission nationale de l'informatique et des libertés (Cnil) www.cnil.fr/">Lien , s'inspirant de la directive européenne du 24 octobre 1995 PE et Cons. UE, dir. 95/46/CE, 24 oct.1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 2 : « Aux fins de la présente directive, on entend par : a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; ». , aujourd'hui abrogée, définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable, que l'on nomme « personne concernée ». L'identification d'une personne physique peut s'effectuer soit directement, soit indirectement www.cnil.fr/fr/definition/donnee-personnelle">Lien :

Les personnes morales sont dénuées de données personnelles et à ce titre exclues du champ d'application de la protection des données à caractère personnel.

– Les éléments constitutifs des données à caractère personnel. – Les éléments permettant de connaître les données à caractère personnel, ou données personnelles, sont contenus dans la définition reprise par la Cnil : « toute information » « concernant » « une personne physique » « identifiée ou identifiable ». Chacun de ces paramètres doit être étudié isolément pour ensuite former un tout. Ils sont étroitement liés entre eux et interdépendants. L'expression « toute information » désigne des renseignements tant objectifs (tels que le groupe sanguin) que subjectifs (tels que les avis ou appréciations relatifs à une personne). Cette notion est plus large que celle de données sensibles relatives à l'individu. En l'occurrence, il s'agit des origines raciales ou ethniques, des opinions politiques, des convictions religieuses ou philosophiques, de l'appartenance syndicale, de la santé, la sexualité.
Les données à caractère personnel comprennent de manière étendue tout ce qui touche à la vie privée, aux activités de l'individu quelles qu'elles soient, à ses relations privées ou professionnelles, son comportement social ou économique.
De manière synthétique, les données à caractère personnel englobent toute indication relative à l'individu stricto sensu, mais aussi l'individu en tant que consommateur, client, patient, employé, etc.
La notion de données à caractère personnel dépasse le concept général du droit au respect de la vie privée et familiale Charte des droits fondamentaux de l'Union européenne, no 2000/C 364/01, 7 déc. 2000, art. 8 : JOCE 18 déc. 2000 (www.europarl.europa.eu/charter/pdf/text_fr.pdf">Lien). . La protection des données est d'ailleurs un droit autonome consacré par la Cour de justice des Communautés européennes CJCE, 6 nov. 2003, aff. C-101/2001, Lindqvist : « La notion de “données à caractère personnel” employée à l'article 3, paragraphe 1, de la directive 95/46 englobe, conformément à la définition figurant à l'article 2, sous a), de celle-ci, “toute information concernant une personne physique identifiée ou identifiable”. Cette notion comprend assurément le nom d'une personne joint à ses coordonnées téléphoniques ou à des informations relatives à ses conditions de travail ou à ses passe-temps » (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX :62001CJ0101&from=EN">Lien). .
– L'indifférence de la véracité des données personnelles et la protection des individus. – Selon les directives européennes, la véracité des données personnelles est indifférente. Vraie ou fausse, toute donnée concernant l'individu est personnelle. La protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel est un droit fondamental. Ce droit est mis en balance avec d'autres droits fondamentaux, notamment la liberté de pensée, de conscience et de religion, la liberté d'expression V. supra, Commission 1, Partie I, no . et d'information, la liberté d'entreprise, conformément au principe de proportionnalité Règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, art. 1 et 3 : JOUE 4 mai 2016, no L 119, p. 1-88 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679">Lien). , c'est-à-dire par rapport à la nature des données collectées et à la finalité du traitement.
– Les supports des données personnelles. – Les ordinateurs, les clés USB, les tablettes, les disques durs et les téléphones sont autant de contenants renfermant toute une base de données personnelles. Tous les supports sont concernés, qu'il s'agisse de format papier, de cassettes audio ou vidéo, ou plus spécifiquement de format électronique. Chacun de ces supports renferme des données susceptibles d'être l'objet d'une protection contre des risques potentiels affectant les droits des personnes concernées si elles devenaient accessibles illégalement ou subissaient une modification illégitime. C'est la raison pour laquelle le RGPD impose que soient prises toutes les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » RGPD, art. 32 (www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32">Lien). .