Le 28 janvier est une date spéciale, car c’est ce jour-là que la journée européenne de la protection des données est célébrée. Pourquoi le 28 ? Parce que cette journée marque l’anniversaire de la Convention sur la protection des données personnelles, également connue sous le nom de Convention 108.
2021 marquait les quarante ans de cette convention. Mais la protection des données est une préoccupation quotidienne – ceux qui occupent le poste de “data protection officer” le savent bien. Cette “Privacy Day” est beaucoup plus récente que la convention : elle a été instituée au milieu des années 2000.
2018 a été une année importante pour la protection des données au sein de l’Union européenne, avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), en faveur de la population. Cependant, le public n’est peut-être pas toujours clair sur ce qu’est une donnée personnelle et ce qui ne relève pas de cette catégorie.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle, ou plus précisément une donnée à caractère personnel, est une information qui se rapporte à une personne identifiée ou identifiable, directement ou indirectement. Elle concerne les personnes physiques vivantes. De plus, plusieurs informations regroupées pour identifier une personne en particulier deviennent automatiquement des données à caractère personnel.
“Une erreur courante consiste à penser que les données personnelles sont celles qui ‘identifient une personne’. Cette interprétation est incorrecte : il s’agit en fait des données ‘relatives à une personne identifiée’, ce qui est beaucoup plus large”, explique Fabrice Mattatia dans son livre RGPD et droit des données personnelles. Il donne un exemple pour illustrer cette différence :
“Dans une réunion professionnelle, ajouter à la liste des participants une colonne où l’on coche les personnes majeures aboutira probablement à ce que la totalité des noms soit cochée. Le simple fait de savoir qu’une personne est majeure, sans connaître son nom, ne permettra pas de l’identifier parmi tous les participants ; en revanche, l’information ‘telle personne est majeure’ constitue, pour chacune d’elles, une donnée personnelle.”
La définition d’une donnée personnelle est donnée à l’article 4 du RGPD. Ces informations peuvent être un identifiant (un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou alors un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de la personne.
La CNIL donne des exemples : nom, prénom, numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale, e-mail, enregistrement vocal, photographie. On peut également ajouter le numéro de carte d’identité, l’adresse IP, l’identifiant publicitaire du smartphone, les données de géolocalisation ou encore l’empreinte digitale. La liste n’est pas exhaustive.
Quels sont les types de données personnelles ?
Les données personnelles se valent-elles ?
Non. Parmi toutes les données à caractère personnel qui existent, certaines bénéficient d’une protection particulière car elles touchent à des informations qui peuvent entraîner de la discrimination ou des préjugés. Cette catégorie spéciale regroupe les données sensibles. Elles font l’objet de dispositions spécifiques et la règle, qui comporte toutefois des exceptions, est l’interdiction de traitement.
Une distinction peut également être faite entre les données à caractère personnel et celles qui ont été pseudonymisées. Il s’agit d’un processus permettant de réduire les possibilités d’identification d’une personne grâce à des traitements informatiques. Cependant, attention : cela ne signifie pas nécessairement qu’elles perdent la protection du RGPD. Ce n’est pas le cas si le processus est réversible.
Mes données, mon choix. // Source : Mohamed Hassan via Pixabay
C’est ce que explique la Commission européenne : “Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne, constituent toujours des données à caractère personnel et sont couvertes par le règlement général sur la protection des données.”
Ainsi, des données personnelles peuvent ne plus l’être si des processus irréversibles les ont rendues anonymes. Cela peut se traduire par un visage flouté ou un nom masqué, selon la CNIL. Dans ce cas, ces données perdent leur statut de données personnelles et ne sont plus couvertes par le RGPD. L’enjeu est évidemment d’être certain que ce qui est annoncé comme irréversible l’est réellement.
Qu’est-ce qu’une donnée sensible ?
Les données sensibles regroupent les opinions politiques, les croyances religieuses, les sensibilités philosophiques, l’orientation sexuelle, l’engagement syndical, l’appartenance ethnique, l’état de santé, les condamnations et infractions pénales, les données biométriques, les informations génétiques ou encore les activités sexuelles. Elles bénéficient d’une protection renforcée.
Ainsi, selon la CNIL, la règle générale est l’interdiction de traitement, mais la loi prévoit des exceptions : nécessité pour la sauvegarde de la vie humaine, si la personne concernée les a clairement rendues publiques, si un consentement a été donné, si cela est justifié par l’intérêt public et autorisé par la CNIL, ou encore si cela concerne les membres ou les adhérents d’une organisation liée à l’une des catégories mentionnées ci-dessus.
Pour comprendre toute l’importance accordée à la protection de ces données sensibles, il suffit de lire l’article 226-19 du Code pénal, qui prévoit jusqu’à cinq ans de prison et 300 000 euros d’amende pour “le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé”, ce type de données. Bien que le texte ne parle pas de données sensibles directement, il s’agit bien d’elles.
Parmi les exceptions autorisées à l’interdiction générale de traitement, on peut citer, par exemple, les études statistiques de l’INSEE, les applications de rencontres si elles permettent aux utilisateurs de choisir leurs préférences sexuelles, ou encore les traitements de santé justifiés par l’intérêt public, pour être en accord avec l’actualité.
Et une donnée non personnelle ?
Il s’agit de toutes les données qui ne sont pas des données à caractère personnel. Et il y en a beaucoup : il est évidemment impossible de faire une liste exhaustive, mais on peut donner quelques exemples. Il peut s’agir d’un numéro SIRET (système d’identification du répertoire des établissements) ou d’une adresse e-mail générique d’une société, comme info at société point com.
Une donnée non personnelle peut également être une donnée personnelle qui perd ce statut grâce au processus d’anonymisation irréversible mentionné précédemment. Elle devient alors une donnée anonymisée. “Lorsque cette anonymisation est effective, les données ne sont plus considérées comme des données personnelles et les exigences du RGPD ne s’appliquent plus”, souligne la CNIL.
Qui bénéficie de la protection des données personnelles ?
Toutes les personnes physiques, c’est-à-dire les êtres humains dotés d’une personnalité juridique. En d’autres termes, cela exclut les personnes morales, telles que les entreprises. Ainsi, un fichier recensant des informations sur des personnes morales n’est pas soumis à la protection des données personnelles.
Dans ces conditions, les personnes morales ne peuvent pas revendiquer une atteinte à leur vie privée. Cependant, elles ont accès à d’autres moyens juridiques pour se défendre, selon les circonstances. Par exemple, en cas de piratage de données, elles peuvent invoquer le délit d’accès frauduleux à un système informatique. Mais cela n’a rien à voir avec la protection de la vie privée.
La navigation privée protège-t-elle les données personnelles ?
Les principaux navigateurs web – Chrome, Firefox, Safari, Edge – proposent une fonctionnalité appelée “navigation privée”. L’activer n’est pas difficile. Cependant, il est important de bien comprendre les limites de ce paramètre, qui vise principalement à limiter les traces de votre activité en ligne sur votre appareil. Cela ne vous rend pas invisible sur le web.
La navigation privée évite de conserver des données de votre session sur l’appareil que vous utilisez : historique de navigation, cookies, mots tapés, sites visités, fichiers temporaires. C’est très pratique lorsque l’ordinateur, le smartphone ou la tablette est partagé avec d’autres personnes : votre conjoint, des colocataires, votre famille, vos collègues, etc.
Cependant, vous laissez toujours des traces sur Internet et les sites web que vous visitez peuvent obtenir des informations – votre adresse IP, les caractéristiques de votre connexion et de votre matériel. Ils peuvent également obtenir des informations vous concernant si vous les leur fournissez – ce qui peut être légitime, soit dit en passant. La navigation privée n’est donc pas pertinente dans ce cas.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !