Les définitions du droit de la protection des données
Les définitions du droit de la protection des données
Dans le dernier état du droit, c'est le RGPD, immédiatement après avoir indiqué ses objectifs et ses champs d'application matériel et territorial, qui définit dès son article 4 ce que sont un « fichier », un « traitement », un « responsable de traitement » et des « données à caractère personnel ». Très incidemment, il le fait aussi pour les « personnes concernées ».
Un « fichier »
– Définition. – Il est défini comme un ensemble structuré, accessible par des critères déterminés, centralisé ou non, réparti de manière fonctionnelle ou géographique.
Un « traitement » de données à caractère personnel
– Un « traitement » automatisé ou non. – Un traitement est caractérisé par toute opération appliquée à des données personnelles, effectuée ou non avec un procédé automatisé, avec, entre autres exemples, la collecte, la structuration, l'utilisation, la modification, la communication… mais aussi la limitation et l'effacement.
Un « responsable de traitement »
– Définition du responsable de traitement. – Le responsable est l'entité (personne physique, ou morale, autorité, service, organisme, etc.) qui, seule ou avec d'autres, détermine les finalités et les moyens du traitement
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 4, 7).
.
Des « données à caractère personnel »
– Sort des données personnelles en cas de pseudonymisation ou anonymisation. – L'on comprendra, pour la suite des présents développements, que pour la définition de « données personnelles », l'identification ou la possibilité de l'identification d'une personne physique seront les critères primordiaux de l'application de la protection de ces données. Celles-ci perdent toute protection, et les personnes concernées perdent tous leurs droits sur elles en cas d'anonymisation
Cf. PE et Cons. UE, règl. (UE) no 2016/679, 27 avr.
Des « personnes concernées »
Pour aller plus loin : Petit historique législatif des personnes concernées
Une recherche législative chronologique permet de constater cette absence obstinée de définition, en France, comme au niveau européen :
En France :
- Dans l'article 3 de la loi informatique et libertés, dans sa rédaction en vigueur du 23 juillet 1978 au 7 août 2004, il est indiqué que : « Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ».
- Dans l'article 2 de la loi informatique et libertés, dans sa rédaction en vigueur du 7 août 2004 au 1er juin 2019, une phrase, au dernier alinéa, énonce que : « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement ».
- Dans l'article 1er de la loi informatique et libertés :
Ce n'est donc qu'à compter de 2004 que l'article 2 de la loi informatique et libertés du 6 juillet 1978 a apporté une définition peu convaincante des personnes titulaires des droits qu'elle instituait ; définition qui a finalement été retirée de la loi par l'ordonnance de 2018 révisant la loi informatique et libertés, pour laisser place au RGPD.
Au niveau européen, les définitions ne sont systématiquement qu'incidentes :
- la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 :
- le RGPD, qui consacre pourtant tout son article 4 à des définitions assez nombreuses et précises, n'aborde lui aussi celle du titulaire des droits qu'il institue au niveau européen qu'incidemment :« Aux fins du présent règlement, on entend par :« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».
La définition des « personnes concernées » apportée par le RGPD paraît minimaliste et la permanence de cette situation, comme son historique, écarte toute idée de carence involontaire.