Qu'est-ce qu'une donnée personnelle et comment savoir si vous en traitez ?

• Thiébaut Devergranne

Donnees personnelles

Qu’est-ce qu’une donnée personnelle ?

La manière la plus simple de le comprendre est la suivante : toute donnée permettant d’identifier directement ou indirectement une personne physique. La définition légale est un peu plus complexe et comporte certaines nuances (v. ci-dessous), mais l’essentiel tient dans ces quelques mots.

Cela signifie que mon carnet d’adresses personnel doit être déclaré à la CNIL ?

Non, la loi a prévu ce type d’exception. D’un point de vue juridique, le carnet d’adresses personnel contient effectivement des données personnelles mais la loi ne s’applique pas aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles ». C’est raisonnable, et d’un autre côté, est-ce que l’on peut vraiment imaginer dans une société démocratique que la loi impose à chaque citoyen de faire une déclaration CNIL avant d’envoyer un email, ou de passer un appel téléphonique ? Attention toutefois au carnet d’adresses d’entreprise devra faire l’objet d’un processus de mise en conformité.

En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux exactement ?

L’enjeu principal est de définir si la loi s’applique ou pas ; en fait, juridiquement les choses sont simples : si vous traitez des données personnelles la loi s’applique. Et si vous n’en traitez pas, la loi Informatique et Libertés ne s’applique pas.

L’enjeu est de déterminer si vous allez engager votre responsabilité au regard des données que vous collectez.

Toute la question est donc de savoir si allez engager votre responsabilité ou pas au regard des informations que vous collectez. On peut s’étonner d’ailleurs de la simplicité des stratégies que les organisations peuvent mettre en place pour « contourner » la loi Informatique et Libertés : vous souhaitez éviter un processus de mise en conformité ? Il suffit d’éviter les DCP (données à caractère personnelles) ! Même la loi l’encourage. Dans certaines situations cela peut être une stratégie très simple et opérationnelle à adopter (ex : dans le cas de traitements statistiques). Mais cela n’est pas toujours possible en pratique, car ces données constituent une part importante des richesses des organisations. On voit mal une entreprise constituer un fichier d’employés ou un fichier client, sans disposer des noms, prénoms, adresses, emails ou numéros de téléphone des personnes concernées… Cela n’aurait pas grand intérêt. Et a contrario, lorsqu’on traite ce type de données, la loi s’applique pleinement.

Pourriez-vous nous donner quelques exemples de données personnelles (DCP) ?

En fait il faut distinguer deux types : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne.  On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…),qui sont également directement personnelles.

Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance). Un des meilleurs exemples que l’on puisse prendre à mon sens est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions. Mais cette question peut être résolue très simplement en réalité. Et dès lors que vous traitez une de ces données, la loi s’applique pleinement et vous devrez mettre en œuvre un processus de mise en conformité.

Pourriez-vous nous donner quelques exemples des traitements que l’on rencontre fréquemment ?

Voici quelques exemples de traitements réalisés par la majorité des organisations :

  1. Fichiers clients (entreprises) / usagers (administrations)
  2. Fichiers fournisseurs
  3. Annuaire interne
  4. Contrôle d’accès (badgeuses)
  5. Cantine
  6. Fichiers de mauvais payeurs
  7. Site Internet
  8. Logs de serveurs

Il existe de très nombreux « traitements types » que l’on peut segmenter selon le type d’organisation (administration, entreprise, association, syndicat…) ou l’industrie (aéronautique, banque, télécoms…).

La jurisprudence s’est-elle prononcée sur cette notion ?

Oui, nous avons de nombreuses illustrations. En voici quelques unes, en matière pénale :

  1. Constitue un traitement automatisé l’enregistrement sur l’autocommutateur téléphonique de numéros de téléphone appelés par chaque poste  ainsi que la durée et le coût des communications (Cass. crim., 23 mai 1991).
  2. Le numéro de téléphone est une donnée personnelle (T. corr. Briey, 15 sept. 1992).
  3. Un ordinateur connecté à aucun périphérique opérant des tests de personnalité sans mémorisation des réponses ne réalise pas un traitement de données personnelles (TGI Lille, 18 déc. 1996).
  4. Constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques (Cass. Crim. 14 mars 2006).

J’ai un cas vraiment difficile à qualifier… Comment doit-on gérer cela ?

Cette situation est parfaitement normale. On peut dire schématiquement que la loi règle 80% des problèmes de manière explicite, les 20% restant devant faire l’objet d’une analyse juridique. Et globalement en pratique dans ces 20%, on a à peu près 1 à 2% de cas qui sont très complexes à gérer et nécessitent une réflexion approfondie. Voici un exemple d’un cas nécessitant une petite analyse juridique : est-ce que l’ajout d’un bouton « Like » de Facebook sur sa page web constitue un traitement de données personnelles ? Pour résoudre cette question, nous devons faire appel à la définition légale. Jusqu’à présent nous avons utilisé une définition simple de cette notion de données personnelles qui permet de comprendre la majorité des cas, mais la loi est plus complète ; elle précise que (art. 2, alinéa 2) :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

On l’observe, des nuances importantes sont introduites, en particulier sur la prise en compte des moyens à disposition permettant de procéder à l’identification des personnes physiques. Ce sont, la plupart du temps, ces nuances qu’il faudra analyser pour déterminer si oui ou non le traitement relève d’un traitement de données personnelles.

 


A lire également...

Commentaires...

KenAddams

Merci pour cet article très clair. Pour des logs de serveurs conservés un an à des fins d'analyse d'incident , l'entreprise devra elle les déclarer à la CNIL ou engager des démarches en particulier ?

Merci.

Thiébaut Devergranne

La loi va s'appliquer dans ce cas, puisque vous allez opérer un traitement de données personnelles. Après, est-ce qu'il faut les déclarer : là il faut voir l'étendue de votre traitement pour déterminer si cela entre ou non dans un cas d'exemption de déclaration par exemple. Sauf ce cas particulier, la réponse sera oui (attention à bien respecter toutes les autres obligations légales également).

Sophie de Visme

L'article est très clair, merci !

Pouvez-vous préciser en quoi un site Internet entraîne-t-il implicitement (sous entendu dans votre article) le traitement de données à caractère personnel ?

Pour moi, un site Internet est sensé diffuser des données publiques ...

Deuxième point, comment gère-t-on les données qui peuvent devenir identifiantes uniquement par agrégation (identifiantes de façon indirecte mais non "unitaire".

Sophie

Thiébaut Devergranne

Très bonne question. En fait ce n'est pas systématique, mais à partir du moment ou vous laissez une adresse email ou un point de contact, ou que vous mettez des photos, des vidéos, ou le nom de personnes, là vous allez réaliser un traitement de données personnelles.

Maintenant il est tout à fait possible de créer un site Internet sans traiter des données personnelles, ce n'est pas systématique.

Concernant votre seconde question relisez l'article 2 de la loi, tout à la fin de l'article, il répond exactement à la question ;-)

L.D

Bonjour,

Les données issues de la géolocalisation de suspects par les services de Police ou de Gendarmerie sont-elles des données à caractère personnel ?

En conséquence, la collecte et le traitement de ces données tels qu'ils sont pratiqués aujourd'hui sont-ils réguliers ?

Merci

Thiébaut Devergranne

A priori ces données permettent d'identifier une personne physique, donc oui ce sont bien des données personnelles.

Après la question de savoir si ces traitements sont bien conformes à la loi est très large ; pour le savoir il faudrait déterminer si les fichiers ont bien fait l'objet de formalités préalables, si la sécurité est bien assurée, etc. C'est une assez grosse étude à faire en général pour ce type de traitements.

GFedida

Bonjour, l'adresse email est elle une donnée personnelle comme l'est le numéro de téléphone ? Si oui une administration peut elle le partager, avec des partis politiques notamment pour marketing électoral ? Une liste électorale est publique, mais pas toutes les données de l'electeur je suppose. Merci et bonne journée, GF

Thiébaut Devergranne

Bonjour,

L'adresse email est traitée comme une donnée personnelle la majorité du temps (par exception certaines adresses peuvent ne pas permettre d'identifier une personne - ex : contact@ma-societe.com). Concernant la possibilité pour une administration de partager une adresse email avec un parti politique là j'en doute très fortement, mais il faudrait avoir plus d'éléments de contexte pour le dire.

A. Petit

Bonjour,

Dans la cadre de la mise en place d'un outil interne à l'entreprise, considère-t-on comme personnelles les données qui ne concernent que l'entreprise (email entreprise, département, site géographique, nom du service), sachant qu'elles ne sont pas diffusées à l'extérieres mais restent internes.

Par avance merci pour votre retour,

Cordialement

A. Petit

Thiébaut Devergranne

Comme des données personnelles à partir du moment ou les personnes sont identifiables directement ou indirectement ;)

Kulicka Louis

Bonjour,

Mon employeur a mis en ligne un document mentionnant mon nom, mais surtout avec mon spécimen de signature sans mon accord préalable.

Puis-je exiger de mon employeur (public) qu'il retire ma signature ?

Merci de votre réponse

CaX

Bonjour et merci pour ce très bon article,

Un gros doute cependant sur la définition des données indirectement personnelles. Vous dites qu'il faut "une table de correspondance" pour pouvoir qualifier les données "indirectement personnelles".

De mon expérience CNIL, si on associe : Numero individuel anonymisé + données de localisation on est déjà dans le cadre de données ind. pers. (même si on ne peut pas recouper ces données et une personne physique). Et ce, sans table de correspondance.

Si ce n'est pas le cas, on pourrait avoir besoin d'un coup de main! ;)

Thiébaut Devergranne

Ok, très bonne remarque ! Il n'est pas indispensable d'avoir une table de correspondance au sens juridique, mais souvent elle existe dans les faits. Maintenant l'exemple que vous citez est très pertinent car il repose sur une combinaison d'éléments qui permettent de retrouver le nom de la personne. C'est également un cas possible, bien vu ;)

CaX

Bonjour,

ce que je trouve moins clair, c'est comment détermine-t-on que la combinaison d'éléments est suffisante pour retrouver un nom?

Pour le coup, il n'y a pas d'éléments objectifs stricts:

Par exemple, en associant 1 numero et 10 lieux, est-ce qu'on est capable de retrouver une personne? Est ce une négociation avec la CNIL ?

C'est un problème que nous rencontrons actuellement.

Thiébaut Devergranne

La il faut faire une étude spécifique de votre cas, car il faut prendre en compte l'ensemble des éléments liés au dossier (nature du traitement, données concernées, etc.). Vous devez consulter un spécialiste dans ce domaine, qui étudiera votre dossier en détail et vous fournira une réponse (ce n'est pas forcément une étude longue peut-être que 10 mn suffisent, mais je ne peux pas vous répondre sans avoir vu l'ensemble des éléments de contexte en fait).

Dr Dhalila KHOODORUTH

Bonjour Thiébaut,

Votre article mentionne que "l'adresse Ip est une donnée personnelle, a suscité beaucoup de discussions". Je souhaiterai savoir les dispositifs contre l'usurpation de l'adresse IP d'un usager par le proviseur d'internet et par une institution pédagogique(université et école) pour aboutir à des fins de faire une thèse d'une autre personne, mais malheureusement un fait réel.

Je vous souhaite bonne continuation.

Bien Cordialement,

Dhalila

Pierre

Bonjour,

Tout d'abord merci pour cet article fort intéressant.

Est-ce que le contenu d'une boite mail, en ce que l'adresse est nominative, peut être considéré comme une donnée personnelle?

J'aimerais avoir accès au contenu de ma boite mail professionnel or mon ancien employeur me le refuse, je me demandais donc s'il était possible de l'y contraindre en saisissant la CNIL?

Cordialement.

Julie

Bonjour et merci pour cette article,

Je voudrais savoir si il y a une différence entre les données personnelles et les données nominatives ?

Merci de votre réponse

Enisa Dresevic

Et quand est-il d'un numéro de téléphone professionnel? Est-ce considérée comme une donnée personnelle?

Peu importe

En l'occurrence, ne s'agit-il pas plutôt de données relatives à des personnes morales (email entreprise, département, site géographique, nom du service) ?

Si tel est le cas, nous sommes sur des données qui n'entrent pas dans le champ de la loi 78-17 (voir art. 2, al. 2 : "information relative à une personne PHYSIQUE").

Thiébaut Devergranne

Pas si vous pouvez identifier une personne physique ! Mais si vous ne pouvez pas identifier une personne physique alors oui vous avez raison.

BLAHBABI AZIZ

Bonjour,

Mon employeur m'a licencié pour un motif non valable (nous sommes en conflit). après mon départ, il a diffusé un mail à tout le personnel dans lequel il donne les détails de la rupture de mon contrat en citant mon nom et en disant que je 'navais pas donné satisfaction.

Evidemment, le mail a dépassé les frontières de la société et est tombé chez certains anciens collègues et ça m'a fait vraiment mal.

Qu'est ce que je pourrais faire dans ce cas.

Merci

RUSSELL LORENE

Bonsoir, je viens de créer un site pour ma nouvelle activité et on me demande de mettre les informations légales, j'avoue que je suis perdue. Merci de me dire ce que je dois mettre pour CNIL, CGu et CGV.

Cordialement.

Schmitt

Bonjour,

Merci pour cet article. Le salaire n'est donc pas une donnée personnelle puisqu'il ne permet pas d'identifier la personne physique?

Cordialement

Vissiere

Bonjour,

Merci pour cet article très clair.

Dans le cas des données indirectement personnelles, pourriez vous préciser si c'est la table de correspondance ou si c'est les données qui sont concernées?

Je fais référence au cas où une entreprise met à disposition d'une autre des données internes pour faire de l'analytique: clairement l'entreprise qui reçoit les données n'a que des ID, par contre l'entreprise cliente dispose elle de la table de correspondance.

En vous remerciant de vos lumières sur le sujet, sincères salutations,

Danté P.

Bonsoir Thiebaut,

Voici un article qui m'interpelle fortement et notamment concernant les banques...

Le fait de transmettre des données de banques à un autre organisme sans autorisation écrite du propriétaire du compte pourrait-il être considéré comme DCP ou DIP?

Et dans le cadre des données personnelles telles que téléphone ou adresse mail à des tiers appartenant à la même société bancaire pour vous relancer en cas de difficultés de paiement ou litige? Je pense notamment au service contentieux...

Je vous remercie avant tout pour votre réponse et vous souhaite une merveilleuse année 2017,

DanTP

roussel

bonjour, je fais partie du conseil syndical de ma copropriéré et une collègue de ce syndicat a transmit mon adresse courriel à une personne résident dans la copro. sans m'en avertir , est-ce répréhensible ?

Eve

Merci pour cet article qui est très clair!

Je voulais savoir si la loi parle de données personnelles appartenant à une personne physique? Cela vise un consommateur? Est ce que l'email d'un partenaire commercial est concerné?

f

tres bon site

Gwladys

Bonsoir, merci pour l'article. J'aimerais connaître les enjeux d'une mauvaise manipulation des données liées au personnel. Merci.

Eleonore

Bonjour,

Merci pour ces informations précieuses.

Je voudrais savoir ce qui englobe la notion "traitement". Doit-il s'agir d'un procédé qui regroupe plusieurs personnes comme p.ex. un fichier clients un carnet d'adresse, un système d'adhésion à une newsletter ...

...ou..

..peut-il s'agir également d'une connaissance ponctuelle des données d'une personne? Donc des événements où un salarié (donc la société) a connaissances des données personnelles des personnes physiques individuelles, sans pour autant garder un fichier récapitulatif.

EXEMPLE:

- un salarié récoit une assignation en Justice de la société dans laquelle il travaille, qui précise les coordonnées du demandeur personne physique.

- un salarié contacte au nom de la société un journaliste afin qu'il publie un article sur la société - il a donc ses coordonnées .

Merci beaucoup pour tout éclaircissement.

neger

il n y a pas amk

belafhaili

merci pour l'article j'ai besoin des arrets de cassation de la chambre criminelles ou des references car je fais mon mémoire de master sur la protection pénale des données a caractere personnels .c'est urgent svp mes chere collegues


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)