Introduction
Pour identifier un traitement de données à caractère personnel, il faut tout d’abord intégrer deux concepts essentiels, tous deux définis dans le (le RGPD) :
- La donnée à caractère personnel (DACP) ;
- Le traitement.
- La notion de DACP.
Selon l’article 2 du RGPD une donnée à caractère personnel (DACP) est une donnée se rapportant à une personne physique identifiée ou identifiable :
- Information permettant d’identifier directement ou indirectement, voire simplement de l'individualiser parmi d'autres.Ex.Par exemple un nom, un numéro d'identification, une adresse, une photo, une date de naissance, des données de localisation, un identifiant en ligne, un numéro de compte bancaire…
- La notion de « personne physique » exclut les personnes morales (par exemple une société, une association) et les personnes décédées.
En savoir plus
- Lisez le considérant 26 du RGPD.
- Faites quelques recherches sur les travaux de Latanya Sweeney, notamment son célèbre article « Simple Demographics Often Identify People Uniquely » (Carnegie Mellon University, Data Privacy Working Paper 3. Pittsburgh 2000).
- Cherchez l'avis du G29 05/2014 sur les techniques d'anonymisation (une donnée anonyme ou anonymisée n'est plus une DACP. A contrario, une donnée non anonyme ou non anonymisée est une DACP). Quels sont les critères permettant de distinguer donnée anonyme ou anonymisée et, au contraire, DACP ?
- Lisez cette position de la CNIL sur les dispositifs de mesure d'audience. Qu'en déduisez-vous ?
En savoir plus
- La notion de DACP est très large.
- Les données pseudonymisées restent des DACP.
- Une donnée ne doit pas être prise isolément mais analysée au regard des autres données disponibles (exemple du genre dans l'expérience de L. Sweeney).
- Les possibilités de réidentification sont nombreuses.
- Une donnée simplement individualisante est une DACP (donc même si on ne peut pas connaître l'identité de l'individu, mais qu'on est capable de le suivre, de le profiler). C'est une différence entre la DACP et les « informations nominatives » (terme initialement employé par la loi « informatique et libertés » de 1978).
- Les DACP dites « sensibles ».
Certaines DACP engendrent des risques spécifiques et constituent des catégories particulières de données, qui sont traitées avec des contraintes juridiques particulières. Ce sont des données dites "sensibles" :
- Les données révélant une origine raciale ou ethnique.
- Les données relatives aux opinions politiques, philosophiques ou religieuses.
- L’appartenance syndicale.
- Les données de santé ou révélant l’orientation sexuelle.
- Les données génétiques ou biométriques.
- Les données concernant les infractions et les condamnations pénales.
Ces DACP sensibles sont soumises à l’article 9 du RGPD.
Elles ne sont normalement pas susceptibles d'être traitées sauf dans les cas prévus par le texte (dont le consentement explicite de la personne pour une ou plusieurs finalités spécifiques, ou encore si « le traitement est nécessaire pour des motifs d'intérêt public important »).
Nous pouvons aussi distinguer les données concernant les infractions et les condamnations pénales, qui ne peuvent être traitées que sous contrôle de l'autorité publique, ou dans des conditions particulières (article 10).
- La notion de traitement.
Le traitement englobe « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » :
- La collecte, l'enregistrement ;
- L'organisation, la structuration, la conservation ;
- La modification, l'extraction, la consultation, l'utilisation, le rapprochement ou l'interconnexion ;
- La communication par transmission, la diffusion, la mise à disposition ;
- La limitation, l'effacement ou la destruction .