Qu’est-ce qu’une donnée personnelle ?

Comment le RGPD définit-il la notion de « donnée à caractère personnel » ?

La notion de données à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable » (RGPD, art. 4, 1). Cette définition implique donc la réunion de trois éléments : « information », « personne physique » et « personne identifiée ou identifiable ».

« Information »

Premièrement, il faut une information. Celle-ci vise une chose incorporelle, formalisée et porteuse d’un sens. Les notions de donnée et d’information ne semblent pas devoir être distinguées dans ce cadre tant l’esprit du texte est d’assurer une protection la plus large possible des droits et libertés fondamentaux des personnes. Les deux notions doivent donc être interprétées comme des synonymes. L’information dont il s’agit peut être de tout type (données d’identité, données biométriques, données de géolocalisation, profil, numéro d’identification…). Elle peut se trouver sur tout support que l’on pense à une clé USB, un disque dur, un espace de stockage, un film de caméra, une puce… Elle peut être révélée par la personne qu’elle concerne ou un tiers.

« Personne physique »

Deuxièmement, l’information doit concerner une personne physique, c’est-à-dire une personne vivante et viable, peu important sa nationalité ou son lieu de résidence ( Règl. n^o (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 14). Sont donc par exemple exclues de l’application des règles protectrices les personnes morales ainsi que les personnes décédées. Pour ces dernières toutefois, le considérant 27 du RGPD ouvre la possibilité pour les États membres de prévoir des règles relatives au traitement des données personnelles des personnes décédées. C’est ainsi qu’au niveau national, la loi pour une République numérique du 7 octobre 2016 a prévu la possibilité pour les personnes de définir, de leur vivant, des directives relatives à la conservation, à l’effacement et à la communication des données personnelles les concernant après leur décès. Ces directives peuvent être :

• générales et être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés (CNIL) ;
• ou particulières, auquel cas elles sont enregistrées auprès du responsable du traitement.

Même en l’absence de directives, les données des personnes décédées vont être soumises à un régime largement inspiré du RGPD. Dans ce cas en effet, les héritiers vont pouvoir accéder aux traitements de données à caractère personnel concernant le défunt afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent également faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour [sur ces points : (L. n° 78-17, 10 janv. 1978, art. 84 et s.)]. La personne décédée n’est donc pas complètement exclue du dispositif de protection. Il en va de même des embryons et fœtus qui sont protégés en tant que partie de la personne qui les porte, leur mère.

« Personne identifiée ou identifiable »

Troisièmement, la personne doit pouvoir être identifiée ou être identifiable. Est identifiée la personne dont on connaît l’identité. Est identifiable celle que l’on peut individualiser, quand bien même ses nom et prénom resteraient inconnus. Ainsi, pour le RGPD, est réputée identifiable « une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (RGPD, art. 4, 1). C’est ici la corrélation de plusieurs informations qui permet d’identifier une personne en particulier. Or, ces informations peuvent avoir un lien intense ou, au contraire, ténu avec la personne. Ainsi, certaines données concernent directement la personne, par exemple, l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel dans la mesure où elle permet d’identifier la personne concernée ( CJUE, 4^e ch., 11 déc. 2014, aff. C-212/13, Rynes  ; CNIL, délib., 12 janv. 2021, SAN-2021-003 ). D’autres, à l’inverse, sont relatives à des objets détenus par la personne : le numéro d’une plaque d’immatriculation, d’un téléphone ou même une adresse IP permettent de remonter à leur propriétaire ou à l’internaute ( CJUE, 2^e ch., 19 oct. 2016, aff. C-582/14, Breyer  ; Cass. 1^re civ., 3 nov. 2016, n^o 15-22.595, n^o 1184 FS-P + B + I  ; Cass. soc., 25 nov. 2020, n^o 17-19.523, n^o 1119 FP-P + B + R + I ). En cela, elles sont des données indirectement personnelles et, ce faisant, elles conduisent à l’application du RGPD.

Données anonymisées ou pseudonymisées

La protection instaurée par le RGPD ne s’applique pas aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de façon à rendre impossible toute identification de la personne concernée, y compris à des fins statistiques ou de recherche ( Règl. n^o (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 26). Pour qu’une donnée soit considérée comme anonyme, le processus d’anonymisation doit être irréversible.

En revanche, les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable.

Le considérant 26 du RGPD précise que, pour déterminer si une personne physique est identifiable, il convient de prendre en compte l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci.