Comme le dispose le RGPD, une donnée personnelle est une information relative à une personne physique identifiée ou identifiable. Celle-ci jouit d’un cadre spécifique afin d’assurer la protection de la vie privée des individus. Certaines informations échappent toutefois à cette protection, dont les données anonymisées. Découvrez la définition d’une donnée personnelle et les critères pour conférer un caractère personnel à une information.
Comment le RGPD définit-il une donnée personnelle ?
En vigueur depuis 2018, le Règlement général sur la protection des données (RGPD) vise à mieux protéger les données personnelles des individus. Comme le rappelle la Cnil (Commission nationale de l'informatique et des libertés), en charge de l'application du RGPD en France, la notion de données personnelles est à appréhender de façon très large. L’enjeu : soumettre un maximum d’informations personnelles au cadre du Règlement général sur la protection des données.
Pour preuve, l'article 4.1 du RGPD donne une définition relativement évasive de la donnée à caractère personnel. Il la définit comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette personne physique identifiable est considérée comme telle si elle peut être identifiée directement ou indirectement, notamment « par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Bon à savoir : le Règlement général sur la protection des données concerne toutes les organisations traitant des données personnelles, comme définies par l’article 4.1. Cela vaut que ce traitement soit réalisé pour son compte ou pour le compte d'un tiers (sous-traitance), à condition que l'organisation soit établie au sein de l'Union européenne ou que les données portent sur des résidents européens.
Quels sont les critères pour qualifier une donnée personnelle ?
L'information collectée
L'application du RGPD ne peut se faire que s'il existe une information présentant un caractère personnel. Les termes de « données » et « informations » ne sont d'ailleurs pas distingués par le règlement : ils doivent donc être interprétés comme étant des synonymes, dans l'optique d'englober un maximum d'éléments dans le champ d'application du texte et ainsi de garantir une protection la plus large possible des droits et libertés des individus.
L'information ou la donnée doit porter sur un élément incorporel, à la fois formalisé et porteur de sens. Par conséquent, cette information peut :
- être de n’importe quelle nature : un numéro de Sécurité sociale, une donnée de géolocalisation, un nom et un prénom ou encore une donnée biométrique ;
- être stockée sur n'importe quel support : un serveur informatique, un disque dur, une clé USB ou encore un ordinateur ;
- être communiquée par n'importe quel individu : la personne physique sur qui portent les données personnelles ou un tiers (un partenaire commercial par exemple).
La personne physique faisant l'objet de la collecte
Comme le dispose le Règlement général sur la protection des données, l'information doit obligatoirement porter sur une personne physique : il s'agit donc d'un être humain disposant d'une personnalité juridique, auquel est rattaché un certain nombre de droits et de libertés fondamentaux. De plus, la donnée personnelle ne peut concerner qu'une personne vivante, quel que soit son lieu de résidence ou sa nationalité.
Par conséquent, une donnée ne revêt pas un caractère personnel si elle porte sur une personne morale, à savoir une société. Les informations de celles-ci n’entrent donc pas dans le champ d’application du RGPD.
De même, les informations relatives aux personnes décédées ne sont pas concernées, par défaut, par le RGPD. Toutefois, le règlement donne la possibilité aux États membres de prévoir un cadre national spécifique pour encadrer les données des personnes décédées. C'est notamment le cas en France, où la loi du 7 octobre 2016 pour une République numérique permet aux individus de définir, de leur vivant, des directives relatives à leurs données personnelles, notamment en ce qui concerne leur conservation, leur effacement et leur communication suite à leur décès.
L'identification de la personne
En dernier lieu, la donnée présente un caractère personnel si elle porte sur une personne pouvant être identifiée ou identifiable. Une personne est identifiée si on connaît son identité. C'est le cas notamment d'un individu dont l'organisme traitant les données connaît le nom et le prénom par exemple.
Plus complexe, une personne est considérée comme identifiable si l'on peut l’individualiser, y compris si son nom et prénom restent inconnus. Comme le rappelle la Cnil, cette identification est considérée comme possible, qu'elle soit :
- directe : avec le nom et prénom d'un individu par exemple ;
- indirecte : grâce à un identifiant client, un numéro de téléphone, une plaque d'immatriculation ou encore une donnée biométrique ;
- réalisée avec une seule information : un numéro de Sécurité sociale ou de carte d'identité par exemple ;
- réalisée grâce au croisement de plusieurs données : une personne domiciliée à telle adresse, née en telle année et ayant telle orientation sexuelle par exemple.
Exemple : si un fichier clients contient de nombreuses données sur l'adresse, l'âge et les comportements d'achats de consommateurs, ces informations sont considérées comme étant à caractère personnel et entrent donc dans le cadre du RGPD. C'est le cas même si le fichier n'indique pas l'identité précise des individus (nom et prénom), dans la mesure où le croisement des données permet d'identifier une personne physique déterminée.
Quel cadre pour les données anonymisées ?
Une technique de dépersonnalisation des données
L'anonymisation est un ensemble de techniques rendant impossible l'identification d'un individu à partir de ses données. Par ce biais, il est impossible d'identifier une personne, et ce, quel que soit le moyen employé et de manière irréversible.
Grâce à l'anonymisation, il est possible de réutiliser des données alors que cet usage est interdit en raison du caractère personnel des données. Les informations anonymisées ne sont donc plus considérées comme étant à caractère personnel car, en raison de l'impossibilité d'identifier l'individu concerné, leur usage ou diffusion n'impacte pas les droits et libertés des personnes. Par conséquent, elles échappent au cadre du RGPD.
Les conditions de l’anonymisation des données
Pour anonymiser des données personnelles, il est généralement recommandé de déterminer les informations pertinentes à conserver, définir les données secondaires et inutiles pouvant être supprimées, supprimer les éléments d'identification directe et effacer les éléments d'identification rare. Pour cela, on distingue deux procédés spécifiques.
- La randomisation : cette technique consiste à permuter ou modifier les éléments d'un jeu de données afin que celles-ci soient moins précises, tout en préservant la répartition globale. Par exemple, vous pouvez modifier la date de naissance des personnes afin d'altérer la véracité des informations contenues dans la base de données.
- La généralisation : cette technique consiste à modifier l'ordre de grandeur d'un élément dans un jeu de données, limitant les possibilités de recoupement. Par exemple, il est possible de remplacer la date de naissance complète par la seule année de naissance des individus.
Pour garantir l'efficacité du processus d'anonymisation, la Cnil recommande de tester 3 critères spécifiques.
- La non individualisation : le jeu de données ne doit pas permettre d'identifier une personne physique spécifique.
- La non corrélation : il ne doit pas être possible de croiser plusieurs jeux de données portant sur une même personne.
- La non inférence : suite à l'anonymisation, il ne doit pas être possible de déduire de nouveaux renseignements sur une personne.
Quel cadre pour les données pseudonymisées ?
À la différence de l'anonymisation, la pseudonymisation est une technique visant à rendre impossible l'attribution de nouvelles données à un individu sans information supplémentaire. Dans la pratique, ce procédé consiste à remplacer des informations permettant d'identifier directement un individu (prénom, nom, etc.) par des informations permettant une identification indirecte (pseudonyme, numéro de séquence, etc.).
Grâce à cette intervention, les données pseudonymisées peuvent être traitées sans permettre une identification directe de l'individu. Malgré tout, il est généralement possible de retrouver l'identité d'une personne en utilisant d'autres informations, d'autant plus que le procédé est bien souvent réversible.
C'est pourquoi, les données pseudonymisées conservent un caractère personnel et entrent donc dans le champ d'application du RGPD, contrairement aux données anonymisées. Néanmoins, la Cnil recommande d'appliquer un procédé de pseudonymisation afin de limiter les risques relatifs au traitement des données personnelles, notamment en cas de piratage ou de consultation par une personne non habilitée.