Une définition large des données, des fichiers, de leur traitement
Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER
Nous pensons savoir ce que sont des données personnelles (on remarquera que le terme ne s’emploie pas au singulier, sans doute parce qu’il est nécessaire d’en rassembler au moins deux – un nom et une adresse par exemple – pour commencer à les traiter). Mais attention, pour éviter des erreurs, prenons en compte la définition telle qu’elle est formulée à l’article 4 du règlement : « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Si la formulation n’est guère fluide, elle ne laisse aucun doute quant à l’acception large dans lequel le terme doit être pris. « Toute information » attachée à une personne constitue des données personnelles. La liste des adjectifs associés à l’« identité » de la personne souligne si besoin était la portée du mot information.
La CNIL a précisé la notion de données personnelles dans un commentaire de l’article 2 de la loi Informatique et libertés : « Les données sont considérées « à caractère personnel » dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement. Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.
Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et âge). Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence)… ».
Le RGPD exclut de son champ d’application les activités des États liées à leur sécurité (16e considérant), et bien sûr les activités ayant un caractère uniquement domestique (art. 2). En revanche, le règlement concerne toutes les entreprises (et administrations et organisations et associations) qui traitent des données de citoyens européens, qu’elles soient établies sur le continent ou pas. De même, si une entreprise fait appel à un sous-traitant basé à l’extérieur de l’U.E., celui-ci doit également agir en conformité (art. 3).
Ces données étant conservées dans des fichiers, notons la définition de ce mot également : « tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». Là encore, il est clair qu’on ne saurait ruser en tentant de stocker des données dans des bases que l’on ne pourrait pas appeler « fichiers ». Non seulement notre outil serait requalifié, mais de plus l’autorité de contrôle considèrerait sans doute cela comme une circonstance aggravante.
De même, un artisan rétif à l’informatisation qui conserverait des fiches papier sur ses clients par ordre alphabétique ne peut se soustraire au RGPD (art. 2, paragraphe 1).
C’est parce qu’elles ont vocation à être traitées que les données constitutives de fichiers doivent être protégées. Qu’est-ce que le traitement ? « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (art. 4, par. 2). La liste de mots est quasi-exhaustive : dès qu’on touche à des données, on les traite, on est donc soumis au règlement. A fortiori, le profilage – traitement des données de manière à évaluer ou prévoir des comportements – doit être rigoureusement surveillé.
Le RGPD recommande quand cela est possible un traitement par pseudonymisation, de façon que les données ne puissent plus être attribuées à une personne physique sans recours à des informations supplémentaires. « La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données » (28e considérant).
Le contrôle du traitement est poussé au maximum, puisqu’il s’étend au-delà des frontières. En effet, les données transférées hors de l’Union Européenne demeurent soumises au droit européen, pour le transfert bien sûr, mais également pour tout traitement ultérieur. On peut d’ailleurs se demander si des contentieux juridiques ne risquent pas de survenir, avec la Chine ou les États-Unis notamment. Afin d’informer en amont le partenaire établi en dehors de l’U.E., le règlement recommande la signature de règles d’entreprises contraignantes (BCR) ou l’adoption de clauses contractuelles types, validées par l’instance européenne.
Précisons enfin qu’une violation de données à caractère personnel est la « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (art 4, par. 12). Là encore, le terme est donc à entendre au sens très large.