Données personnelles
Home » RGPD » Concepts principaux » Données personnelles

Simona Sobotovicova (UPV/EHU)

Cette partie des lignes directrices a été revue par Daniel Jove VIllares, Universidade Da Coruna, Espagne.

Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).

Le concept de données à caractère personnel

Les données à caractère personneldésignent toute information relative à une personne physique identifiée ou identifiable (“personne concernée”). La définition des données personnelles selon le RGPD ajoute qu’une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques de l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique[1] . Il ne fait aucun doute que l’objectif des règles contenues dans le RGPD est de protéger les droits et libertés fondamentaux des personnes physiques et en particulier leur droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel. Toutefois, en raison de la définition large des données à caractère personnel énoncée dans le RGPD, le groupe de travail Article 29 sur la protection des données, les autorités nationales de contrôle de la protection des données et la jurisprudence de la Cour de justice de l’Union européenne (ci-après, CJUE) approuvent la définition des données à caractère personnel.

L’analyse du concept de données à caractère personnel effectuée par le groupe de travail Article 29 sur la protection des données dans l’avis 4/2007 s’est fondée sur les quatre principaux “éléments constitutifs” suivants qui peuvent être distingués dans la définition des “données à caractère personnel”[2] :

  • “Toute information” – Ce terme signale clairement la volonté du législateur de concevoir un concept large de données personnelles. Cette formulation appelle une large interprétation. Elle couvre des informations “objectives”, telles que la présence d’une certaine substance dans le sang d’une personne. Elle inclut également des informations “subjectives”, des opinions ou des appréciations. En outre, pour qu’une information soit une “donnée à caractère personnel”, il n’est pas nécessaire qu’elle soit vraie ou prouvée.

Il convient de préciser que le concept de données à caractère personnel comprend un très large éventail d’informations, “non seulement objectives mais aussi subjectives”, sous forme d’opinions et d’évaluations, pour autant qu’elles se “rapportent” à la personne concernée[3] .

  • “Relatif à” – En termes généraux, on peut considérer qu’une information est “relative” à un individu lorsqu’elle concerne cet individu. On pourrait souligner que, pour considérer que les données “se rapportent” à un individu, un élément “contenu” ou un élément “finalité” ou un élément “résultat” doit être présent. Ces trois éléments (contenu, finalité, résultat) doivent être considérés comme des conditions alternatives, et non comme des conditions cumulatives, de sorte que la présence de l’un de ces éléments est suffisante pour que l’on considère que les données “se rapportent” à un individu.

Selon les termes de la CJUE, les critères de contenu, de finalité ou d’effet servent de paramètre pour classer certaines informations comme des données à caractère personnel. Si le contenu, la finalité ou l’effet est lié à une personne particulière, alors l’information est une donnée à caractère personnel. L’utilisation de l’un de ces critères est suffisante pour qu’une information donnée soit considérée comme une donnée à caractère personnel[4] .

  • “Identifiée ou identifiable” – En termes généraux, une personne physique peut être considérée comme “identifiée” lorsque, au sein d’un groupe, cette personne se “distingue” de tous les autres membres du groupe. Par conséquent, la personne physique est “identifiable” lorsque, bien que la personne n’ait pas encore été identifiée, il est possible de le faire (c’est le sens du suffixe “-able”).

Le RGPD mentionne ces “identifiants” dans la définition des “données personnelles” à l’article 4(1) mentionné précédemment. En outre, pour déterminer si une personne physique est identifiable, il convient de tenir compte de tous les moyens raisonnablement susceptibles d’être utilisés, tels que la singularisation, soit par le responsable du traitement, soit par une autre personne pour identifier la personne physique directement ou indirectement[5] . Toutefois, la question de savoir si la personne est “identifiable” est toujours au centre des discussions récentes de la doctrine[6] .

  • “Personne physique” – La protection s’applique aux personnes physiques, c’est-à-dire aux êtres humains. Le droit à la protection des données à caractère personnel est, en ce sens, un droit universel qui n’est pas limité aux ressortissants ou aux résidents d’un certain pays.

Le RGPD établit que les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole internet, des identifiants de cookies ou d’autres identifiants tels que des étiquettes d’identification par radiofréquence. Cela peut laisser des traces qui, notamment lorsqu’elles sont combinées avec des identifiants uniques et d’autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils des personnes physiques et les identifier[7] . En outre, les principes et les règles de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel devraient, quelle que soit leur nationalité ou leur résidence, respecter leurs droits et libertés fondamentaux, en particulier leur droit à la protection des données à caractère personnel. Le présent règlement vise à contribuer à la mise en place d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, au renforcement et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques[8] .

On pourrait dire que le groupe de travail Article 29 sur la protection des données déclare que ces quatre éléments fournis dans la première phrase de la définition des données à caractère personnel (toute information concernant une personne identifiée ou identifiable et naturelle) sont étroitement liés et se nourrissent les uns des autres, mais déterminent ensemble si un élément d’information doit être considéré comme une “donnée à caractère personnel”.

Quelles informations peuvent être considérées comme des données à caractère personnel ?

Les autorités nationales de contrôle de la protection des données et la jurisprudence de la CJUE jouent un rôle essentiel en fournissant une interprétation des dispositions légales et des conseils concrets aux responsables du traitement et aux personnes concernées en soutenant une définition des données à caractère personnel suffisamment large. La définition des données à caractère personnel est un élément central pour l’application et l’interprétation des règles de protection des données qui ont un impact profond sur un certain nombre de questions et de sujets importants. Compte tenu du format ou du support sur lequel ces informations sont contenues, le concept de données à caractère personnel inclut les informations disponibles sous quelque forme que ce soit, qu’elle soit alphabétique, numérique, graphique, photographique ou acoustique, par exemple[9] . La CJUE fournit une classification des informations en tant que données à caractère personnel dans différents arrêts. Dans cette mesure, le terme “données à caractère personnel” couvre sans aucun doute le nom des personnes en liaison avec leurs coordonnées téléphoniques ou des informations sur leurs conditions de travail ou leurs loisirs. Les informations contenues en texte libre dans un document électronique peuvent également être qualifiées de données à caractère personnel, pour autant que les autres critères de la définition des données à caractère personnel soient remplis. Le courrier électronique contiendra par exemple des “données à caractère personnel”. La CJUE s’est prononcée dans ce sens en considérant que “le fait de se référer, sur une page Internet, à diverses personnes et de les identifier par leur nom ou par d’autres moyens, par exemple en indiquant leur numéro de téléphone ou des informations concernant leurs conditions de travail et leurs loisirs, constitue un traitement de données à caractère personnel […][10] .

Le 20 décembre 2017, la CJUE a rendu son arrêt sur l’ “affaire Nowak[11] établit la qualification de données à caractère personnel des réponses et des commentaires subjectifs de l’examinateur au sein des réponses écrites remises par un candidat à un examen professionnel, en établissant une série de critères qui permettent de comprendre quelles sont les données à caractère personnel[12] . L’arrêt traite de l’application potentielle du RGPD pour constituer des données personnelles[13] . Il faut souligner que la classification de ces données comme données à caractère personnel entraîne, pour le candidat, la possibilité d’utiliser ses droits d’accès, de rectification et d’opposition. Dans cette mesure, la classification en tant que données à caractère personnel confère le droit d’accès, mais aussi les autres pouvoirs conférés au propriétaire de ce type de données, à savoir les droits de rectification, d’effacement et d’opposition, ainsi que toutes les garanties prévues par la législation sur la protection des données[14] .

La sentence analyse également l’applicabilité du droit d’accès aux données ayant plus d’un propriétaire et des intérêts opposés (en l’occurrence l’examinateur et le candidat). La CJUE a réaffirmé l’idée que le fait que l’information soit entre les mains d’une ou de plusieurs personnes n’est pas pertinent au regard de sa qualification de donnée à caractère personnel. L’attribution de la condition de données personnelles ne provient pas de ce fait, mais de la nature même de l’information. En ce qui concerne la définition des données à caractère personnel, la CJUE y ajoute une autre caractéristique : la pluralité des personnes concernées, ou la possibilité qu’une information soit une donnée à caractère personnel de plus d’une personne concernée[15] .

En raison de la qualification d’une information en tant que donnée à caractère personnel, dans l’affaire YS et autres[16] , il est considéré que l’analyse juridique d’un procès-verbal produit dans le cadre d’une demande de permis de séjour, n’est pas une donnée à caractère personnel puisqu’il s’agit d’une ” information sur l’évaluation et l’application par l’autorité compétente de la loi à la situation du demandeur “. Cette interprétation signifiait que, dans l’affaire YS et autres, le droit d’accès n’était pas reconnu pour cette information, estimant qu’un tel accès serait fondé sur un droit d’accès aux documents publics qui n’est pas couvert par la législation RGPD[17] . Cependant, si l’analyse avait inclus des évaluations du sujet, ou qui pourraient avoir un effet sur lui, alors cela serait considéré comme des données personnelles qui, en tant que telles, seraient soumises au RGPD[18] .

On peut affirmer que la définition du RGPD, telle qu’elle a été rappelée par la CJUE, est fondée sur la définition large des données à caractère personnel, reflétant l’intention du législateur d’attribuer une large portée à ce concept, englobant les informations subjectives et objectives sur la personne concernée. Étant donné que la classification des informations en tant que données à caractère personnel les fait entrer dans le domaine de l’architecture de protection des droits fondamentaux de l’UE, elle établit également les droits des personnes concernées et les circonstances dans lesquelles le niveau de protection peut être réduit en raison d’objectifs justifiables[19] .

 

  1. Article 4, paragraphe 1, du RGPD.
  2. Voir, Groupe de travail Article 29 sur la protection des données : Avis 4/2007 sur le concept de données à caractère personnel. Adopté le 20 juin, 01248/07/EN WP 136, pp.9-12, 21. Disponible à l’adresse suivante : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
  3. Arrêt de la Cour de justice de l’Union européenne (deuxième chambre), affaire C-43 4/16, Peter Nowak contre Data Protection Commissioner, 20 décembre 2017, §34.
  4. Arrêt de la Cour de justice de l’Union européenne (deuxième chambre), affaire C-43 4/16, Peter Nowak contre Data Protection Commissioner, 20 décembre 2017, §35.
  5. Considérant (26) du RGPD.
  6. Voir, par exemple, Purtova, N. (2018). La loi du tout. Concept large de données personnelles et avenir du droit européen de la protection des données. Droit, innovation et technologie. DOI:https://doi.org/1 0.1080/17579961.2018.1452176.
  7. Considérant (30) du RGPD.
  8. Considérant (2) du RGPD.
  9. Groupe de travail Article 29 sur la protection des données : Avis 4/2007 sur le concept de données à caractère personnel. Adopté le 20 juin, 01248/07/EN WP 136, p.7. Disponible à l’adresse : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.
  10. Arrêt de la Cour de justice de l’Union européenne, C-101/2001, Lindqvist, §27, 06.11.2003.
  11. Arrêt de la Cour de justice de l’Union européenne (deuxième chambre), affaire C-43 4/16, Peter Nowak contre le commissaire à la protection des données, 20 décembre 2017.
  12. Jove, D. (2019). Peter Nowak v Data Protection Commissioner : Potential Aftermaths Regarding Subjective Annotations in Clinical Records. Revue européenne du droit de la protection des données, volume 5, numéro 2, p. 175. DOI:https://doi.org/10.21552/edpl/2019/2/7
  13. Arrêt de la Cour de justice de l’Union européenne (deuxième chambre), affaire C-43 4/16, Peter Nowak contre Data Protection Commissioner, 20 décembre 2017, §27.
  14. Jove, D. (2019). Peter Nowak v Data Protection Commissioner : Potential Aftermaths Regarding Subjective Annotations in Clinical Records. Revue européenne du droit de la protection des données, volume 5, numéro 2, p. 177. DOI: https://doi.org/10.21552/edpl/2019/2/7
  15. Ibídem, p. 176, 178.
  16. Arrêt de la Cour, affaires jointes C-141/12 et C-372/12, YS et autres, 17 juillet 2014.
  17. Arrêt de la Cour, affaires jointes C-141/12 et C-372/12, YS e.a., 17 juillet 2014, §40.
  18. Jove, D. (2019). Peter Nowak v Data Protection Commissioner : Potential Aftermaths Regarding Subjective Annotations in Clinical Records. Revue européenne du droit de la protection des données, volume 5, numéro 2, p. 179. DOI: https://doi.org/10.21552/edpl/2019/2/7
  19. Podstawa, K. (2018). Peter Nowak Commissaire à la protection des données : Vous pouvez accéder à votre script d’examen, car il s’agit de données personnelles. Revue européenne du droit de la protection des données (EDPL), 4(2), pp. 254, 256.DOI: https://doi.org/10.21552/edpl/2018/2/17.

 

Aller au contenu principal