L’usage des technologies de l’information et de la communication (les « TIC ») génère un volume conséquent de données et a fortiori de données à caractère personnel. Afin de prendre en considération ces enjeux, le droit des données à caractère personnel instaure notamment de nouvelles obligations pour les responsables de traitement.
Mais pour comprendre le droit des données à caractère personnel, il convient tout d’abord d’appréhender la définition d’une donnée à caractère personnel.
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après la « Loi Informatique et Libertés ») et le Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « Règlement »), qui entrera en vigueur le 25 mai 2018, donnent une définition de la donnée à caractère personnel.
Article 2 de la Loi Informatique et Libertés :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. ».
Article 4 du Règlement :
« « Données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».
La définition délivrée par ces deux articles est donc une définition extrêmement large !
Il en ressort que les données à caractère personnel sont des informations identifiantes, qui permettent d’identifier directement ou indirectement une personne physique. Ainsi, il peut s’agir d’informations qui ne sont pas directement associées au nom d’une personne, mais qui, seules ou grâce à un recoupement, permettent de l’identifier.
A titre d’exemple, constitue une donnée à caractère personnel :
- -Le nom ;
- -Le prénom ;
- -Un numéro d’identification tel que le numéro de la carte vitale ;
- -Les cartes fidélités ;
- -La plaque d’immatriculation d’un véhicule ;
- -Le numéro de téléphone ;
- -La photographie ;
- -Les empreintes digitales ;
- -Etc.
Ainsi, seules des données anonymisées peuvent être exclues du champ de la Loi Informatique et Libertés et du Règlement, puisque dès qu’une information peut être rattachée à une personne physique, elle peut être qualifiée de donnée à caractère personnel.
ACTUALITE : Quid de l’adresse IP ? L’adresse IP est une adresse de connexion à Internet, composée de 4 chiffres, allant de 1 à 225. Il y a eu un grand débat et une grande confusion sur le fait de savoir si c’est une donnée à caractère personnel ou non.
L’arrêt de la CJUE en date du 19 octobre 2016 met fin à ce débat en énonçant que l’adresse IP constitue une donnée à caractère personnel.
ATTENTION : Une subdivision s’opère entre les données à caractère personnel, puisque certaines données sont qualifiées de données sensibles.
Article 8 de la Loi Informatique et Libertés :
Constitue des données sensibles, « des données à caractère personnel qui font apparaitre, directement ou indirectement, les originales raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. ».
Compte tenu de leur sensibilité, ces données obéissent à un régime spécifique plus protecteur que pour les données à caractère personnel « normales ». Ainsi, il convient de prendre en considération ce régime et de s’y soumettre, afin de réaliser un traitement de données en conformité avec le droit applicable.
