Donnée personnelle

Comment le RGPD définit-il la notion de « donnée à caractère personnel » ?

La notion de données à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable » (RGPD, art. 4, 1). Cette définition implique donc la réunion de trois éléments : « information », « personne physique » et « personne identifiée ou identifiable ».

« Information »

Premièrement, il faut une information. Celle-ci vise une chose incorporelle, formalisée et porteuse d’un sens. Les notions de donnée et d’information ne semblent pas devoir être distinguées dans ce cadre tant l’esprit du texte est d’assurer une protection la plus large possible des droits et libertés fondamentaux des personnes. Les deux notions doivent donc être interprétées comme des synonymes. L’information dont il s’agit peut être de tout type (données d’identité, données biométriques, données de géolocalisation, profil, numéro d’identification…). Elle peut se trouver sur tout support que l’on pense à une clé USB, un disque dur, un espace de stockage, un film de caméra, une puce… Elle peut être révélée par la personne qu’elle concerne ou un tiers.

« Personne physique »

Deuxièmement, l’information doit concerner une personne physique, c’est-à-dire une personne vivante et viable, peu important sa nationalité ou son lieu de résidence ( Règl. n^o (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 14). Sont donc par exemple exclues de l’application des règles protectrices les personnes morales ainsi que les personnes décédées. Pour ces dernières toutefois, le considérant 27 du RGPD ouvre la possibilité pour les États membres de prévoir des règles relatives au traitement des données personnelles des personnes décédées. C’est ainsi qu’au niveau national, la loi pour une République numérique du 7 octobre 2016 a prévu la possibilité pour les personnes de définir, de leur vivant, des directives relatives à la conservation, à l’effacement et à la communication des données personnelles les concernant après leur décès. Ces directives peuvent être :

• générales et être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés (CNIL),
• ou particulières, auquel cas elles sont enregistrées auprès du responsable du traitement.

Même en l’absence de directives, les données des personnes décédées vont être soumises à un régime largement inspiré du RGPD. Dans ce cas en effet, les héritiers vont pouvoir accéder aux traitements de données à caractère personnel concernant le défunt afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent également faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour [sur ces points : (L. n° 78-17, 10 janv. 1978, art. 84 et s.)]. La personne décédée n’est donc pas complètement exclue du dispositif de protection. Il en va de même des embryons et fœtus qui sont protégés en tant que partie de la personne qui les porte, leur mère.

« Personne identifiée ou identifiable »

Troisièmement, la personne doit pouvoir être identifiée ou être identifiable. Est identifiée la personne dont on connaît l’identité. Est identifiable celle que l’on peut individualiser, quand bien même ses nom et prénom resteraient inconnus. Ainsi, pour le RGPD, est réputée identifiable « une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (RGPD, art. 4, 1). C’est ici la corrélation de plusieurs informations qui permet d’identifier une personne en particulier. Or, ces informations peuvent avoir un lien intense ou, au contraire, ténu avec la personne. Ainsi, certaines données concernent directement la personne, par exemple, l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel dans la mesure où elle permet d’identifier la personne concernée ( CJUE, 4^e ch., 11 déc. 2014, aff. C-212/13, Rynes  ; CNIL, délib., 12 janv. 2021, SAN-2021-003 ). D’autres, à l’inverse, sont relatives à des objets détenus par la personne : le numéro d’une plaque d’immatriculation, d’un téléphone ou même une adresse IP permettent de remonter à leur propriétaire ou à l’internaute ( CJUE, 2^e ch., 19 oct. 2016, aff. C-582/14, Breyer  ; Cass. 1^re civ., 3 nov. 2016, n^o 15-22.595, n^o 1184 FS-P + B + I  ; Cass. soc., 25 nov. 2020, n^o 17-19.523, n^o 1119 FP-P + B + R + I ). En cela, elles sont des données indirectement personnelles et, ce faisant, elles conduisent à l’application du RGPD.

La CJUE a même considéré que la copie d’examen et les annotations de l’examinateur sont des données personnelles ( CJUE, 2^e ch., 20 déc. 2017, aff. C-434/16, Nowak ).

La CJUE s’est également prononcée à propos des identifiants attribués à l’utilisateur dans une affaire mettant en cause une plateforme de gestion du consentement. La plateforme en question récupérait et stockait les données sur l’utilisateur et sur ses choix en matière de traitement des données personnelles grâce à un identifiant appelé la TC string. La CJUE a jugé qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, constitue une donnée à caractère personnel dans la mesure où et lorsqu’elle peut, par des moyens raisonnables, être associée à un identifiant lié à une adresse IP ( CJUE, 7 mars 2024, aff. C-604/22, IAB Europe ).

Données anonymisées ou pseudonymisées

La protection instaurée par le RGPD ne s’applique pas aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de façon à rendre impossible toute identification de la personne concernée, y compris à des fins statistiques ou de recherche ( Règl. n^o (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 26). Pour qu’une donnée soit considérée comme anonyme, le processus d’anonymisation doit être irréversible.

En revanche, les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable.

Le considérant 26 du RGPD précise que, pour déterminer si une personne physique est identifiable, il convient de prendre en compte l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci.

Dans une décision rendue à propos du règlement (UE) 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’UE, mais parfaitement transposable au RGPD, le Tribunal de l’UE a estimé que, lorsque les données pseudonymisées sont transmises à un tiers, il faut rechercher si ce tiers disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des personnes concernées ( TUE, 26 avr. 2023, aff. T-557/20, CRU c/ CEPD ).