Vidéo : qu'est-ce qu'une donnée personnelle ?
Le JDN propose une série de vidéos avec la plateforme de transformation digitale U Change et le cabinet K&L Gates pour tout savoir du RGPD. Aujourd'hui, les données personnelles.
Face à l'évolution constante des technologies et d'Internet, les données personnelles sont apparues au cœur de nombreux questionnements. Le nouveau règlement européen "RGPD" (ou "GDPR", en anglais) 2016/679, instaure un nouveau cadre de protection renforcée pour ces données.
Chacun peut avoir sa propre définition d'une donnée personnelle. Au risque de briser quelques idées reçues, il est préférable de bien mesurer l'immense périmètre régulé par le RGPD.
En synthèse, si vous avez une donnée anonyme entre les mains, c'est que ni vous ni personne d'autre sur la planète ne serait susceptible d'individualiser, par quelque recoupement que ce soit, une personne, un comportement ou un objet connecté.
Dans quelles mesures une information peut-elle être qualifiée de donnée personnelle ?
L'article 4 du RGPD définit une donnée personnelle comme toute information susceptible de permettre l'identification d'une personne de manière directe ou indirecte. La rédaction volontairement large permet d'englober toutes les données susceptibles de permettre l'individualisation d'une personne ou de son comportement, même si son identification ne serait possible que par des recoupements hypothétiques avec d'autres informations détenues par des tiers avec lesquels vous n'avez aucune relation.
Concernant d'abord les " informations se rapportant à une personne physique identifiée ", cette disposition renvoie à toute information désignant une personne. C'est par exemple le cas du prénom et du nom, d'une photographie.
L'article 4 du RGPD vise ensuite toute information se rapportant à une personne identifiable, par celui qui traite cette information ou par un tiers. En pratique, cela correspond à la situation où une information seule ne va pas permettre de connaître l'identité de la personne, mais, associée à une autre donnée provenant de toute tierce personne physique ou morale, cette identification serait possible. L'information initiale qui ne permet pas à elle seule d'identifier une personne physique peut ainsi, tout de même, être qualifiée de donnée personnelle.
L'indifférence quant à la volonté de l'individu de fournir ou non une information
On se situe dans le champ des données personnelles lorsqu'une personne physique est " raisonnablement susceptible " (on peut tout faire avec ces deux adjectifs accolés) d'être identifiable derrière une donnée.
Cette donnée peut être fournie volontairement par la personne mais également être générée par la simple utilisation d'un service. C'est notamment le cas des clics sur une page web ou encore d'une donnée de localisation. Ces informations collectées sont qualifiables de données personnelles car, à partir du moment où, associées à d'autres données telles qu'une adresse IP, elles peuvent identifier une personne. Au quotidien, l'utilisation des logiciels communicants d'une voiture ou encore son numéro de série, peut rattacher la voiture à une personne physique spécifique.
Finalement, dès qu'il y a l'individualisation d'une information et derrière l'indentification d'une personne, l'information est une donnée personnelle et l'entreprise détentrice devra se conformer au RGPD si l'individualisation se rapporte à une personne résidant de manière stable dans l'Union européenne (quelle que soit sa nationalité, d'ailleurs).
Des exemples tirés du quotidien, pour bien comprendre la logique
L'exemple du numéro de téléphone est évident. Alors que la connaissance d'un numéro de téléphone ne permet pas à elle seule de déterminer l'identité d'un individu, son association avec les informations détenues par l'opérateur télécoms permet à l'opérateur et à ceux qui sont habilités à l'interroger (annuaire inversé, service de police), de connaître l'identité de la personne qui s'y rapporte.
C'est également le cas d'une adresse IP d'un terminal (ordinateur, smartphone, etc.) connecté, qui, associée aux informations détenues par un fournisseur d'accès à Internet (FAI) est susceptible de permettre d'identifier un personne ; d'un pseudo (@123toto), d'un numéro de matricule, de sécurité sociale, de client, d'une adresse email (123toto@gmail.com), d'un identifiant d'un ordinateur (n° de licence de l'OS), d'un logiciel de navigation (useragent), d'un fichier qui s'y rapporte, même temporairement (cookie), du numéro unique d'une carte réseau (adresse MAC d'une carte wi-fi, bluetooth ou d'une carte SIM), d'un identifiant publicitaire (n° IDFA d'un iPhone), d'un élément logiciel (n° SDK d'une application mobile), d'un véhicule (la plaque d'immatriculation, mais également le numéro de châssis, voire même le numéro d'une plaquette de frein installée par le constructeur dans ce véhicule, qui peut donc être relié via le constructeur puis le ministère de l'Intérieur à la carte grise et donc à l'immatriculation et le nom du propriétaire), etc.
En conséquence, l'identification par vous-même " ou par un tiers " ne change rien à la notion de donnée personnelle ; même si vous n'avez aucune idée du tiers qui disposerait d'autres informations permettant, dans une chaîne, même théorique, de recoupements, d'individualiser une personne, puis de l'identifier lors d'une interaction avec l'un des objets, appareils, services ou lieux auxquels elle se rattache.
Cette liste d'exemples est infinie, elle utilise des termes d'identifiants techniques que seuls les professionnels comprennent, parfois. L'idée ici n'est pas d'être un spécialiste. Mais néanmoins de comprendre que les " données à caractère personnel " s'entendent de tout ce qui se voit et ne se voit pas dans la traçabilité qu'une personne ou que les objets qu'elle utilise, est susceptible de générer, notamment avec n'importe quel objet connecté ou n'importe quel comportement singulier.
Un dernier exemple parlant peut être utilisé pour illustrer ce qu'une corrélation entre deux informations permet de produire dans une chaîne virtuellement infinie de corrélations et d'interactions que nous produisons au quotidien dans un environnement connecté.
Qu'y at-t-il de plus individualisant qu'une localisation et un instant ? Sauf à nous déplacer toujours en groupe, un lieu et un instant nous individualisent. Ces deux catégories d'informations permettent de distinguer ou de relier l'emplacement d'un téléphone portable et d'un véhicule, ou d'une tablette, par exemple, s'ils semblent se déplacer en même temps en étant localisés ensemble à deux moments successifs. On pourra donc en déduire, même en ignorant qui conduit la voiture, qu'il est probable que le conducteur possède le téléphone portable et la tablette.
Puis, lors de l'ouverture d'une application mobile avec ce téléphone mobile, le traitement de l'adresse MAC de la carte GSM du téléphone, associé à l'inscription de l'utilisateur de l'application qui fournirait son adresse e-mail et un prénom, vous permettrait déjà d'aller lui " parler " (affichage publicitaire, personnalisation du contenu qu'il consulte) en utilisant son prénom, lorsqu'il surfe sur Internet… avec sa tablette. Tout cela, parce que l'instant et le lieu du téléphone et de la tablette vous auront fourni un lien entre ces deux appareils. Il ne reste plus qu'à attendre que l'utilisateur de l'un de ces deux appareils fournisse une donnée à un acteur placé au bon endroit pour faire ces recoupements.
Des enjeux sociétaux qui dépassent largement la volonté individuelle
Le " droit à consentir " consiste à interdire l'utilisation d'une donnée tant que la personne n'y a pas consenti, en étant clairement éclairée sur l'autorisation qu'on lui demande d'accorder.
Les enjeux démocratiques, sociétaux, économiques et concurrentiels entourant l'usage des données personnelles sont fortement imbriqués et il est dangereux -et courant- de croire que la protection des données personnelles est une affaire d'experts (juristes ou techniciens). Tout comme il serait faux et dangereux de croire qu'on devrait réguler l'usage des données personnelles en ne s'intéressant qu'au RGPD et ses cousins d'autres régions du monde ou en s'en remettant aux recommandations des régulateurs tels que la CNIL.
Car l'existence d'un régulateur sectoriel ne suffit pas à réguler la société toute entière, de se substituer à l'État, lorsque l'objet régulé (la donnée) traverse tous les pans de la vie sociale, depuis la naissance et jusqu'après la mort, toutes les frontières et toutes les facettes d'une société humaine mondialisée.
A trop vouloir affirmer que les libertés individuelles priment sur les modèles économiques et les frontières, on s'isole et l'on se convainc que défendre une bonne cause est suffisant pour avoir raison des rapports de force qui constituent la réalité du monde. Protéger ses données personnelles ne peut se résumer à avoir raison tout seul.
Le droit de la concurrence, le droit commercial, le droit des sociétés, le droit du travail, le droit de la santé, le droit de l'agriculture, le droit administratif, le droit de la liberté d'expression, le droit de la famille, la recherche, l'innovation, la génétique, l'intelligence artificielle, etc. En définitive, une approche globale trop rarement employée, doit permettre de trouver les arbitrages entre " MOI ", les lois en concurrence et le reste du monde.
Prenons un peu de hauteur par la recherche d'arbitrages et l'exigence d'honnêteté
Laisser croire aux personnes qu'elles seules décident, est une impardonnable tromperie, quelle que soit leur maturité sur la protection de leur vie privée, voire leur ferme volonté -légitime- de la garder pour elles.
Le sacro-saint " consentement informé, libre, spécifique, explicite, discrétionnaire et rétractable à tout moment " est celui dont vous usez en acceptant des conditions contractuelles pourtant détaillées que vous ne lisez pas. Même si vous les lisiez attentivement, elles ne peuvent rien vous dire de ce qu'un État, un secteur économique ou la société toute entière ont tout aussi légitimement que vous, la possibilité de décider quoi faire de vos données.
La régulation transverse pluridisciplinaire, qui articule et arbitre ce qu'une société estime souhaitable, acceptable, reste encore à élaborer. Il ne suffit pas de reconnaître que cette perspective est lointaine ou complexe, pour justifier d'y renoncer a priori.
Texte d'Etienne Drouard et Marine Forget