Initiation au GDPR (1) : introduction et notion de donnée personnelle
Le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (que j’appellerai par son abréviation anglaise, GDPR, vu son titre français un peu ronflant) a été publié le 4 mai 2016 au journal officiel de l’UE et est entré en vigueur le 24 mai 2016. Il sera applicable à partir du 25 mai 2018. (Vers le texte du règlement.)
Le GDPR remplacera la vieillissante et dépassée directive 95/46 par un cadre juridique harmonisé qui sera directement applicable à tous les Etats membres de l’UE. Alors que la Suisse se prépare à réviser sa loi fédérale sur la protection des données (LPD ; l’avancée de la révision sur le site de la Confédération), laquelle s’inspirera certainement dans une large mesure du GDPR, je vous propose de parcourir ce dernier et d’en commenter les principaux éléments nouveaux au moyen d’une série d’articles.
Premier sujet et changement d’importance : la notion de donnée personnelle qui s’élargit.
Notion de donnée personnelle
J’enfonce une porte ouverte en rappelant que le GDPR protégera, comme la directive 95/46 actuellement, les “données personnelles”. Cette notion, évolutive et loin d’être gravée dans le marbre, amène parfois les individus, les entreprises et les autorités à se demander quelles données sont personnelles ou non. Par exemple, alors que la Cour de Justice de l’UE (CJUE) a récemment admis que les adresses IP dynamiques étaient des données personnelles (voir l’arrêt dans la cause C-582/14), Swisscom persiste à considérer que les données de localisation d’un téléphone ne sont pas des données personnelles (voir mon article).
La directive 95/46 définit à son article 2 les données à caractère personnel comme :
toute information concernant une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.
L’article 4 GDPR en donne la définition suivante :
toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
On remarque tout de suite que la liste de paramètres qui permettent d’identifier une personne n’est qu’exemplative puisqu’elle est précédée de l’adverbe “notamment”. Malgré cela, la liste du GDPR a été étendue.
N.B. Cette extension n’est ni symbolique ni inutile, même si le Groupe 29 avait déjà donné une ligne directrice en 2007 concernant la notion de donnée personnelle. Il en avait constaté le caractère non illimité, tout en rappelant que la notion de donnée personnelle devait avoir un large champ d’application dans la mesure où le but était de protéger les libertés individuelles et les droits fondamentaux des citoyens.
Identifiants en ligne
Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion ("cookies") ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes (GDPR, considérant 30).
En lien avec l’art. 4 GDPR, le considérant 30 ne laisse que peu de place au doute : les “identifiants en ligne” font partie des données personnelles et devront donc, si ce n’est pas encore déjà le cas, se voir appliquer les principes figurant aux articles 5 et suivants GDPR (traitement de manière licite, loyale et transparente, etc.). Il faut évidemment que ces identifiants permettent d’identifier la personne, ce qui est le cas dans l’écrasante majorité des situations à cause de la grande quantité d’informations fournie par nos appareils connectés.
Données génétiques et biométriques
Le GDPR introduit les notions de données génétiques et biométriques. La première concerne les caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question. La seconde traite des données résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
En d’autres termes, les données génétiques se rapportent en particulier à la séquence génétique d’un individu, alors que les données biométriques concernent par exemple les empreintes digitales, les informations de reconnaissance faciale, de scanner rétinien, etc. Ces données sont considérées comme sensibles selon l’article 9 GDPR et ne pourront être traitées qu’à des conditions restrictives qui ne changent fondamentalement pas vraiment par rapport à la directive 95/46. On retrouve ainsi, entre autres, le consentement explicite parmi les motifs permettant de justifier le traitement de ce type de données.
Données pseudonymisées
Le GDPR fait référence aux données pseudonymisées et les considère comme des données personnelles si elles se rapportent à une personne identifiable lorsqu’on les recoupe avec d’autres informations (consid. 26). La pseudonymisation est d’ailleurs définie dans le règlement.
traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable
Si les données personnelles pseudonymisées restent soumises au GDPR, les entités qui les traitent pourront voir certaines de leurs obligations allégées dans la mesure où un tel traitement de données cause en théorie une atteinte moindre à la personne concernée (consid. 28). Le GDPR encourage donc les entreprises à utiliser des mesures telles que la pseudonymisation si elles veulent réduire leurs propres risques, leur responsabilité et leurs obligations en matière de compliance (cf. art. 25).
Cependant, l’apparition de cette catégorie de données rend moins nette la dichotomie entre les données personnelles et les données anonymisées (voir à ce sujet l’opinion 5 de 2014 du Groupe 29).
Des changements pratiques en perspective ?
Les exploitants de plateformes en ligne qui font appel à la publicité, aux médias sociaux, etc. seront évidemment touchés par ces nouvelles définitions. Cela impliquera tout d’abord de revoir l’étendue de la collecte de données et de déterminer à nouveau si celles-ci sont concernées par les dispositions du GDPR, en particulier les nouvelles relatives aux données biométriques et génétiques.
Une révision des conditions générales (CG) et des déclarations sur la vie privée (privacy policy), et une adaptation des systèmes – notamment informatiques – de traitement des données devront être envisagées. Afin de réduire leurs obligations de compliance, voire se passer du consentement des personnes concernées, l’utilisation de données pseudonymisées en lieu et place de données personnelles pourra, voire devra, être préférée.