Qu’est-ce qu’une donnée personnelle?

Les données jugées personnelles sont selon la législation française, toute information concernant une personne physique déjà identifiée ou qui peut l’être de façon directe ou non en se référant à un numéro d’identification (notamment le sien) ou à un ou divers autres renseignements dont elle détient l’unique propriété. Il existe plusieurs instruments juridiques ayant pour vocation de protéger ces données dites personnelles. Au nombre de ces instruments, il y a la Loi « Informatique et Liberté » de 1978 et plus récemment le RGPD.

Quelques définitions contextuelles

Notion de Données Personnelles selon la législation européenne

Dans l’article 4 du RGPD, la définition de donnée personnelle a été clairement énoncée comme toute information concernant une personne physique déjà identifiée ou identifiable directement ou indirectement en se référant à un numéro d’identification ou à un ou divers autres renseignements dont elle détient l’unique propriété, des renseignements de localisation, un identifiant sur internet, ou à un ou divers détail(s) propre(s) à son identité. Par cette définition, le règlement vient approfondir et renforcer la notion de « donnée personnelle » établie par la directive 95/46/CE. Cette directive portait une certaine ambiguïté sur le terme « identifiable ».

La notion de Données Personnelles selon la législation française

La Loi « Informatique et Liberté » en son article 2 définit une donnée personnelle comme toute information concernant une personne physique déjà identifiée ou qui peut l’être de façon directe ou non en se référant à un numéro d’identification ou à un ou divers autres renseignements dont elle détient l’unique propriété. Cette Loi précise que pour évaluer le fait qu’une personne puisse être identifiée, il est important de prendre en compte tous les outils et instruments permettant son identification ; outils dont dispose le responsable du traitement notamment ou auxquels il pourrait avoir accès. Cette notion a été précisée a la faveur des évolutions légales et réglementaires, nationales et européennes.

Quelques exemples de données personnelles

Les données dites personnelles, du point de vue de la définition qu’en donne le RGPD, sont susceptibles d’être objectives (le numéro de sécurité sociale, le groupe sanguin) ou subjectives (les avis par rapport à un produit ou un événement) et dans ce cas ne sont pas forcément vraies. Pour qu’une donnée soit jugée personnelle, le règlement n’impose pas qu’elle soit contenue dans une base de donnée ou même exploitable par celui ou celle qui l’a collecté ou la détient. Le règlement ne précise pas non plus le format du fichier contenant ces données personnelles. Dès lors, elles peuvent être des vidéos (notamment les résultats de vidéosurveillance), des images (photographies, peinture), des sons (enregistrements audio ou voix) ou mieux une empreinte digitale ou rétinienne.

RGPD : Quand l’adresse IP devient une donnée personnelle

Le règlement précise qu’une adresse IP dynamique est considérée comme une donnée personnelle. Or la nature même d’une adresse IP dynamique est qu’elle change à chaque fois qu’une personne se connecte à internet. Bien que pour connaitre cette adresse IP, il faille la rechercher dans une base de données pour au final n’avoir à priori que l’adresse de la machine utilisée pour se connecter, le règlement dispose que cela est à suffisance susceptible de conduire à l’identité d’une personne. Dès lors une adresse IP dynamique est une donnée personnelle. Cela démontre la complexité de la notion de donnée personnelle telle que définie par le règlement. A dire vrai, le règlement a fait une extension logique de cette notion car même dans le cas où plusieurs personnes se connectent à internet via le même terminal informatique, l’utilisation des « cookies » par les plateformes web pourrait fortement contribuer à l’identification physique sans ambiguïté d’une personne.

Valeur économique des données personnelles

Une certaine valeur économique potentielle résulte de l’exploitation des données personnelles. Dès lors, elles peuvent être classées « actif immatériel » d’une entreprise qui la détient. Cette forme d’exploitation est appelée « économie de la donnée ». Il existe dans le monde, plusieurs modèles économiques qui s’appuient sur l’exploitation des données personnelles pour produire et générer des publicités personnalisées. Ces données sont recueillies gratuitement sous couvert d’un service gratuitement fourni. Il se pose là, un cas de conflits avec les droits de l’homme notamment le droit au respect de la vie privée et familiale.

Le RGPD et les métadonnées personnelles

Lorsque par exemple (et ce n’est qu’un exemple parmi tant d’autres) une personne émet une communication téléphonique, sa voix qui est une donnée personnelle est qualifiée de donnée principale. A cette donnée s’ajoutent les données de connexion, la durée et la géolocalisation qui constituent des donnés secondaires dites métadonnées. Bien que ne puissent pas être reliées à une personne, ces métadonnées demeurent des problématiques car elles concernent les personnes. D’ailleurs les métadonnées générées par des patients dans certains hôpitaux sont souvent vendues aux groupes pharmaceutiques au motif qu’elles ne sont directement pas liées aux personnes. Il s’agit de certains cas de vide juridique auquel il faudra remédier.

Au total, on retient que la notion de donnée personnelle est très étendue et pourrait porter à des confusions. Bien que le RGPD précise en plusieurs articles les différentes dispositions à prendre, dans le cadre de leur traitement, il existe toujours des ambiguïtés à leur sujet. Il est donc nécessaire de compléter le règlement par d’autres législations.

.