- Qu’est-ce qu’une donnée personnelle ?
- Cela signifie que mon carnet d’adresses personnel doit être déclaré à la CNIL ?
- En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux exactement ?
- Pourriez-vous nous donner quelques exemples de données personnelles (DCP) ?
- Pourriez-vous nous donner quelques exemples des traitements que l’on rencontre fréquemment ?
- La jurisprudence s’est-elle prononcée sur cette notion ?
- J’ai un cas vraiment difficile à qualifier… Comment doit-on gérer cela ?
Qu’est-ce qu’une donnée personnelle ?
La manière la plus simple de le comprendre est la suivante : toute donnée permettant d’identifier directement ou indirectement une personne physique. La définition légale est un peu plus complexe et comporte certaines nuances (v. ci-dessous), mais l’essentiel tient dans ces quelques mots.
Cela signifie que mon carnet d’adresses personnel doit être déclaré à la CNIL ?
Non, la loi a prévu ce type d’exception. D’un point de vue juridique, le carnet d’adresses personnel contient effectivement des données personnelles mais la loi ne s’applique pas aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles ». C’est raisonnable, et d’un autre côté, est-ce que l’on peut vraiment imaginer dans une société démocratique que la loi impose à chaque citoyen de faire une déclaration CNIL avant d’envoyer un email, ou de passer un appel téléphonique ? Attention toutefois au carnet d’adresses d’entreprise devra faire l’objet d’un processus de mise en conformité.
En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux exactement ?
L’enjeu principal est de définir si la loi s’applique ou pas ; en fait, juridiquement les choses sont simples : si vous traitez des données personnelles la loi s’applique. Et si vous n’en traitez pas, la loi Informatique et Libertés ne s’applique pas.
L’enjeu est de déterminer si vous allez engager votre responsabilité au regard des données que vous collectez.
Toute la question est donc de savoir si allez engager votre responsabilité ou pas au regard des informations que vous collectez. On peut s’étonner d’ailleurs de la simplicité des stratégies que les organisations peuvent mettre en place pour « contourner » la loi Informatique et Libertés : vous souhaitez éviter un processus de mise en conformité ? Il suffit d’éviter les DCP (données à caractère personnelles) ! Même la loi l’encourage. Dans certaines situations cela peut être une stratégie très simple et opérationnelle à adopter (ex : dans le cas de traitements statistiques). Mais cela n’est pas toujours possible en pratique, car ces données constituent une part importante des richesses des organisations. On voit mal une entreprise constituer un fichier d’employés ou un fichier client, sans disposer des noms, prénoms, adresses, emails ou numéros de téléphone des personnes concernées… Cela n’aurait pas grand intérêt. Et a contrario, lorsqu’on traite ce type de données, la loi s’applique pleinement.
Pourriez-vous nous donner quelques exemples de données personnelles (DCP) ?
En fait il faut distinguer deux types : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne. On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…),qui sont également directement personnelles.
Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance). Un des meilleurs exemples que l’on puisse prendre à mon sens est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions. Mais cette question peut être résolue très simplement en réalité. Et dès lors que vous traitez une de ces données, la loi s’applique pleinement et vous devrez mettre en œuvre un processus de mise en conformité.
Pourriez-vous nous donner quelques exemples des traitements que l’on rencontre fréquemment ?
Voici quelques exemples de traitements réalisés par la majorité des organisations :
- Fichiers clients (entreprises) / usagers (administrations)
- Fichiers fournisseurs
- Annuaire interne
- Contrôle d’accès (badgeuses)
- Cantine
- Fichiers de mauvais payeurs
- Site Internet
- Logs de serveurs
Il existe de très nombreux « traitements types » que l’on peut segmenter selon le type d’organisation (administration, entreprise, association, syndicat…) ou l’industrie (aéronautique, banque, télécoms…).
La jurisprudence s’est-elle prononcée sur cette notion ?
Oui, nous avons de nombreuses illustrations. En voici quelques unes, en matière pénale :
- Constitue un traitement automatisé l’enregistrement sur l’autocommutateur téléphonique de numéros de téléphone appelés par chaque poste ainsi que la durée et le coût des communications (Cass. crim., 23 mai 1991).
- Le numéro de téléphone est une donnée personnelle (T. corr. Briey, 15 sept. 1992).
- Un ordinateur connecté à aucun périphérique opérant des tests de personnalité sans mémorisation des réponses ne réalise pas un traitement de données personnelles (TGI Lille, 18 déc. 1996).
- Constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques (Cass. Crim. 14 mars 2006).
J’ai un cas vraiment difficile à qualifier… Comment doit-on gérer cela ?
Cette situation est parfaitement normale. On peut dire schématiquement que la loi règle 80% des problèmes de manière explicite, les 20% restant devant faire l’objet d’une analyse juridique. Et globalement en pratique dans ces 20%, on a à peu près 1 à 2% de cas qui sont très complexes à gérer et nécessitent une réflexion approfondie. Voici un exemple d’un cas nécessitant une petite analyse juridique : est-ce que l’ajout d’un bouton « Like » de Facebook sur sa page web constitue un traitement de données personnelles ? Pour résoudre cette question, nous devons faire appel à la définition légale. Jusqu’à présent nous avons utilisé une définition simple de cette notion de données personnelles qui permet de comprendre la majorité des cas, mais la loi est plus complète ; elle précise que (art. 2, alinéa 2) :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
On l’observe, des nuances importantes sont introduites, en particulier sur la prise en compte des moyens à disposition permettant de procéder à l’identification des personnes physiques. Ce sont, la plupart du temps, ces nuances qu’il faudra analyser pour déterminer si oui ou non le traitement relève d’un traitement de données personnelles.