Les données à caractère personnel, c’est quoi?

Les données personnelles sont le cœur même du Règlement Général sur la Protection des Données, en vigueur depuis mai 2018 dans tous les pays de l’Union Européenne. Elles intègrent un certain nombre de paramètres et de spécificités, qu’il serait opportun d’appréhender afin d’avoir un aperçu plus précis et généralisé de la notion de la donnée personnelle. Que sont les données à caractère personnel au sens du RGPD?

La notion de donnée personnelle


La loi de 1978 « Informatique et Libertés » définissait les données personnelles comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ». Selon la loi, dire qu’une personne est identifiable revient à considérer tous les moyens envisageables pour permettre son identification ; il s’agit de tous les moyens accessibles au responsable du traitement ou à toute autre personne.

Le RGPD, quant à lui, s’inscrit aussi dans la même logique que la loi de 1978, mais à quelques différences près. En son article 4, il affirme que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, qu’elle reconnait sous l’appellation « personne concernée ». Il précise par ailleurs que pour cela, il suffit de pouvoir être identifié, directement ou indirectement, par référence à un identifiant qui peut être :

  • un nom,
  • un numéro d’identification,
  • des données de localisation,
  • un identifiant en ligne,
  • plusieurs éléments spécifiques liés à l’identité physique, génétique, économique, culturelle, physiologique ou sociale de la personne concernée.

A ce niveau, il est important de préciser que les données à caractère personnel et relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données de santé, à la vie ou à l’orientation sexuelle de la personne concernée sont considérées par le RGPD comme des données « particulières » que la loi de 1978 désignait sous le vocable données « sensibles ».

Les données particulières

Avec le RGPD, les données génétiques ou biométriques deviennent aussi des données « sensibles » lorsque leur traitement permet l’identification d’une personne physique de manière individuelle. En règle générale, le traitement des données personnelles dites « particulières » est interdit. Le Réglement prévoit toutefois des cas exceptionnels où une dérogation est possible. Il s’agit par exemple des cas où :

  • la personne concernée donne son consentement de manière claire et objective ;
  • le traitement est impératif pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne, lorsque la personne concernée n’est pas en mesure de donner son consentement ;
  • le traitement est nécessaire dans le cadre d’une procédure judiciaire (constatation, exercice, ou défense d’un droit en justice) ;
  • les juridictions agissent dans le cadre de leurs fonctions ;
  • le traitement est relatif à des données à caractère personnel publiées par la personne concernée elle-même.

Qu’elles soient simples ou particulières, le nombre n’a aucune influence sur la qualification des données. Mieux, deux notes d’évaluation portant sur une seule personne et rendues accessibles sur la toile constituent par exemple un traitement de données à caractère personnel.

Les modalités de traitement

Visé par une interdiction de principe par le RGPD, le traitement de données à caractère personnel est néanmoins autorisé dans un cadre strict. Selon l’article 5 du Code de la protection des données personnelles, afin que leur traitement soit autorisé, lesdites données doivent impérativement être:

  • traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
  • exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

Les mesures de traitement des données

Il est important que les entreprises s’assurent que les données qu’elles collectent soient réellement nécessaires à leurs activité, et qu’elles sont sécurisées. Elles doivent aussi veiller à réduire la quantité de ces données. En ce sens, le Réglement recommande la pseudonymisation ou le cryptage des données.

La pseudonymisation est une technique consistant à masquer les données en remplaçant les informations susceptibles de permettre l’identification d’une personne, par des identifiants artificiels. Evidemment, cette technique a ses limites. C’est pourquoi le RGPD propose une alternative: le cryptage.

Il s’agit également d’une technique de traitement des données personnelles permettant de masquer les informations, en les remplaçant par des identifiants. Il se différencie de la pseudonymisation par le fait qu’il ne permet pas à toute personne ayant accès de visualiser les données. Ces deux techniques peuvent être utilisées séparément ou simultanément, et constituent des moyens efficaces pour permettre aux entreprises traitant les données à caractère personnel de satisfaire aux exigences du RGPD.

Articles liés à ce sujet :