Pour savoir si une donnée est « à caractère personnel », il est nécessaire d’étudier la nature de la donnée et son éventuel lien avec une personne qui aurait été identifiée ou qui pourrait être identifiée.

Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable »[1][2]. Pour savoir si une donnée est personnelle ou non, il faut donc se demander si la donnée concerne une personne identifiée ou identifiable.

Le premier cas est le plus simple à définir. Si la donnée concerne une personne qui a été identifiée, c’est-à-dire qui peut être retrouvée, cette donnée est considérée comme personnelle.

Le second cas est un peu plus complexe. Une personne est considérée comme identifiable si elle peut être « identifiée, directement ou indirectement »[3]. Cela veut dire que, s’il est possible d’identifier la personne à partir des informations que l’on possède, la donnée associée à cette personne est considérée comme personnelle.

« Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne »

— RGPD, considérant 26

Il est considéré comme possible d’identifier une personne notamment si :

  • la personne peut être identifiée en couplant les données avec des données détenues par d’autres organismes ; ou
  • la personne peut être identifiée par un autre organisme, à partir des données détenues.

Cette identification est toutefois considérée irréalisable si « l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre »[4].

Par ailleurs, certaines données ont été conçues spécifiquement pour identifier des personnes, comme un numéro de sécurité social, une adresse e-mail, un numéro de téléphone ou un numéro d’identification. Lorsque ces informations sont connues ou utilisées, il est difficile de considérer la personne comme non identifiable et, par conséquent, de considérer la donnée comme non personnelle.

« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

— RGPD, considérant 30

Notes et références

  1. Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source: RGPD, article 4-1).
  2. Cette définition d’une donnée à caractère personnel n’a pas été introduite avec le RGPD. Une Convention européenne de 1981 proposait déjà une définition identique (source : Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, N° 108, 28 janvier 1981, article 2-a).
  3. Le RGPD définit une personne identifiable comme une « personne physique qui peut être identifiée, directement ou indirectement » (source: RGPD, article 4-1).
  4. La CJUE a indiqué que l’identification d’une personne ne pouvait pas être déterminée si « l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre » (source : CJUE, affaire C-582/14, 19 octobre 2016, Breyer v Bundesrepublik Deutschland, §46).