Avant de poursuivre cette série d’articles consacrés au RGPD, en nous intéressant plus en détail aux droits, obligations et moyens d’actions des personnes concernées et des titulaires de traitement, il est nécessaire d’approfondir la notion de données personnelles.
Elles sont le cœur de cette législation, autour desquelles tout est construit. Pour cela, il faut se demander quelles sont ces données et où les chercher.
Les données personnelles étaient bien sûr déjà définies dans la Loi de 1978 « Informatique et Libertés » comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ».
La loi précise que pour déterminer si une personne est identifiable, il faut tenir compte de tous les moyens envisageables pour permettre son identification, tous ceux auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Les données personnelles et le RGPD
Le RGPD n’a pas profondément modifié cette définition.
L’Article 4 du Règlement est consacré aux définitions et dans son premier point, il indique que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, dénommée la « personne concernée ».
Le Règlement précise que pour cela, il suffit de pouvoir être identifié, directement ou indirectement, notamment par référence à un identifiant :
- Un nom,
- Un numéro d’identification,
- Des données de localisation,
- Un identifiant en ligne,
- Ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Au sein de ces données, un traitement de données à caractère personnel qui concerne l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données concernant la santé, la vie ou l’orientation sexuelle d’une personne physique est un traitement de données dites « particulières » dans le Règlement et que la Loi de 1978, que le RGPD vient remplacer, dénommait données « sensibles ».
Données particulières
Avec le nouveau Règlement, les données génétiques ou biométriques deviennent aussi des données « sensibles » lorsque leur traitement sert à identifier une personne physique de manière unique.
Les traitements de données particulières sont normalement interdits. Le Règlement liste précisément les cas où, par dérogation, ils vont être possibles.
Il s’agit par exemple des cas où :
- La personne concernée a donné son consentement explicite,
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne,
- Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée,
- Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice,
- Les juridictions agissent dans le cadre de leur fonction juridictionnelle,
- Le traitement est nécessaire pour des motifs d’intérêt public important…
Mais quelle que soit leur nature, banale ou particulière, le nombre ou le volume des données n’a pas d’influence sur leur qualification et il a encore été récemment jugé que deux notes d’évaluations portant sur une seule personne et rendues accessibles sur un intranet constituent un traitement de données personnelles.
Le Règlement incite à recourir le plus souvent possible à la pseudonymisation des données personnelles. Mais ces données, qui ne font plus apparaître l’identification d’une personne, n’en sont pas définitivement séparées. Elles pourront lui être réattribuées par le recours à des informations supplémentaires. Elles demeurent des données personnelles et sont concernées par toutes les obligations du Règlement.
Déterminer si une personne physique est identifiable
Pour déterminer si une personne physique est identifiable, il faut donc prendre en considération l’ensemble des moyens qui peuvent raisonnablement être utilisés par le responsable du traitement ou par toute autre personne, pour identifier la personne physique, directement ou indirectement.
Et pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il faut prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire, en tenant compte des technologies disponibles au moment du traitement et de leur l’évolution.
Les seules informations qui ne sont pas concernées par l’application du Règlement, y compris lorsqu’elles sont utilisées à des fins statistiques ou de recherche, sont :
- Les informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable.
- Les données à caractère personnel qui sont rendues anonymes afin que la personne concernée ne soit pas ou plus identifiable.
Lorsque c’est une action d’anonymisation qui est menée sur des données personnelles, elle doit être irréversible. C’est la condition impérative pour les dégager de l’application du Règlement.
Pour certains, réussir un processus d’anonymisation sera de plus en plus difficile à affirmer et à démontrer avec le développement du big data et de la puissance des algorithmes qui permettent d’en analyser le contenu.
Il faut préciser avant de voir où chercher ces données que la législation ne s’applique pas aux personnes morales et pas non plus aux données à caractère personnel des personnes décédées même si les États membres peuvent prévoir des règles spéciales pour les données des défunts.
Sur ces bases, c’est une vision extensive de la notion de « données personnelles » qui a été retenue, non seulement par les autorités de contrôle telles que la CNIL, qui sont dans leur rôle, mais aussi et surtout, par les juridictions, à commencer par celle qui a le dernier mot en la matière : la Cour de Justice de l’Union Européenne.
Définir la donnée personnelle en théorie est donc assez simple et c’est surtout, en pratique, la nature en pratique et la localisation des données traitées qui va rendre complexe d’identifier les données personnelles, comme nous allons le voir.
Des questions vont se poser pour les données mixtes qui concernent à la fois une personne morale et une personne physique. Cela va être le cas par exemple de données sur une entreprise dans lesquelles figurent le nom de son dirigeant ou de l’une des personnes qui travaille pour elle.
La notion de données personnelles est une notion « attractive », dès lors, en cas de données mixtes, elles seront considérées comme des données personnelles.
Adresse IP dynamique
La Cour de Justice a aussi jugé qu’une adresse IP dynamique (c’est-à-dire une adresse IP qui change lors de ses différentes connexions au réseau) était une donnée personnelle.
Même si l’adresse IP doit être recherchée dans une base de données pour savoir à quelle machine elle correspondait à un moment donné et que cela ne donne que l’adresse d’une machine, la Cour de Justice de l’Union Européenne estime qu’il y a là un moyen suffisant pour identifier la personne qui a utilisé la machine qui s’est connectée avec cette adresse IP dynamique et pour considérer qu’il s’agit d’une donnée personnelle.
La complexité pour identifier les données personnelles va donc principalement exister avec des données qui ne sont pas directement personnelles et elle portera sur le fait de savoir si des moyens existent, de façon réaliste, pour les rendre personnelles.
Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP, des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence.
Ces identifiants vont laisser des traces qui, notamment lorsqu’ils sont combinés à des identifiants uniques et à d’autres informations reçues par les serveurs, peuvent alors servir à créer des profils de personnes physiques et donc à identifier ces personnes.
Les données qui accompagnent les données principales sont des métadonnées. Dans une communication téléphonique, par exemple, la donnée principale est la voix, les données de connexion, durée, localisation, type d’appareil utilisé… sont des métadonnées.
Le débat le plus fréquent porte sur les métadonnées liées à des données de nature personnelle. Tant qu’elles demeurent liées, ce sont aussi des données personnelles.
Lorsqu’il n’est plus possible de les relier aux données auxquelles elles étaient initialement attachées, ces métadonnées ne seront plus des données personnelles même si elles concernaient l’activité humaine.
On peut parler de données « métapersonnelles », des données qui concernent les personnes mais qui ne sont pas des données personnelles car ne pouvant être reliées à une personne précise.
Elles n’en sont pas moins problématiques et une polémique a démarré la semaine dernière en Belgique avec la vente des données par des hôpitaux : les données vendues ne concernent pas directement celles des patients mais celles des « lits ».
Les hôpitaux vendent à l’industrie pharmaceutique la liste de tous les soins qui ont été prodigués ou médicaments qui ont été administrés par lit et non par patient, sans donner aucun renseignement sur le patient.
Ce ne sont donc pas des données nominatives mais il existe toujours la crainte d’une réidentification.
Pour le cas spécifique des données de communication, un autre Règlement dont le nom est « ePrivacy » est en préparation. Il va s’agir d’une législation complémentaire au RGPD, qu’il précisera et complétera en ce qui concerne les données électroniques qui peuvent être considérées comme des données à caractère personnel.
Ce règlement, très attendu par tous ceux qui traitent des données électroniques, est âprement discuté au sein des institutions européennes et fait l’objet d’une intense bataille des lobbys.
Mais les données qui posent le plus souvent problème sont celles dites du « shadow IT ».
Il s’agit de toutes les données qui ne sont pas directement identifiées comme personnelles dans le système d’information des entreprises et qui relèvent néanmoins du RGPD.
Au sens strict, ce sont les systèmes d’informations qui sont créés ou mis en œuvre sans l’approbation des responsables de ces systèmes.
En termes de données et au sens large, cela recouvre aussi bien des commentaires qui vont être rajoutés dans des zones qui leur sont dédiées mais sans les identifier comme des données personnelles ou dans des espaces où ils ne devraient pas se trouver, que des données qui vont être créées sur les appareils personnels des salariés et introduites plus ou moins volontairement ou consciemment dans les systèmes d’informations de l’entreprise.
Cela va donc être toutes les données qui ont été créées sans être identifiées comme personnelles et qui demeurent dans le système d’information à l’insu de ceux qui le gèrent.
Cela a encore été le cas très récemment avec des commentaires sur les fiches de salariés, de tels commentaires constituant des données personnelles.
Le fait de ne pas avoir conscience qu’une donnée est personnelle est une des principales difficultés rencontrées et démontre que la transition vers le RGPD est d’abord et avant tout une question de prise de conscience de ses principes et de ses effets. Elle n’est possible qu’en commençant par une sensibilisation des directions et une formation des équipes.
Ce n’est que sur cette base que pourra démarrer la première étape technique de la transition vers le RGPD, la cartographie des données et des traitements.
Mais avant d’en arriver à mettre en œuvre cette réforme il faut continuer à l’explorer pour la comprendre et nous parlerons la semaine prochaine des droits, obligations et moyens d’actions des personnes concernées.