Pour savoir si une donnée est « à caractère personnel », il est nécessaire d’étudier la nature de la donnée et son éventuel lien avec une personne qui aurait été identifiée ou qui pourrait être identifiée.

Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable »[1]. Pour savoir si une donnée est personnelle ou non, il faut donc se demander si la donnée concerne une personne identifiée ou identifiable.

Le premier cas est le plus simple à définir. Si la donnée concerne une personne qui a été identifiée, c’est-à-dire qui peut être retrouvée, cette donnée est considérée comme personnelle.

Le second cas est un peu plus complexe. Une personne est considérée comme identifiable si elle peut être « identifiée, directement ou indirectement »[2]. Cela veut dire que, s’il est possible d’identifier la personne à partir des informations que l’on possède, la donnée associée à cette personne est considérée comme personnelle.

« Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne »

— RGPD, considérant 26

Il est considéré comme possible d’identifier une personne notamment si :

  • la personne peut être identifiée en couplant les données avec des données détenues par d’autres organismes ; ou
  • la personne peut être identifiée par un autre organisme, à partir des données détenues.

Par ailleurs, certaines données ont été conçues spécifiquement pour identifier des personnes, comme un numéro de sécurité social, une adresse e-mail, un numéro de téléphone ou un numéro d’identification. Lorsque ces informations sont connues ou utilisées, il est difficile de considérer la personne comme non identifiable et, par conséquent, de considérer la donnée comme non personnelle.

« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

— RGPD, considérant 30

Notes et références

  1. Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source: RGPD, article 4-1).
  2. Le RGPD définit une personne identifiable comme une « personne physique qui peut être identifiée, directement ou indirectement » (source: RGPD, article 4-1).