10 min read ♨️ Accessible

Qu’est-ce qu’une donnée à caractère personnel ?

Cet article relève de la catégorie Accessible : il ne nécessite aucun pré-requis en la matière pour être compris intégralement.

Consultez notre guide de lecture

La définition des données à caractère personnel est un sujet qui, non seulement expose de multiples facettes, mais a aussi beaucoup évolué et continue de s’enrichir de nouvelles précisions, au fur et à mesure des cas concrets et des nouvelles pratiques. Cela en fait donc une thématique très riche sur laquelle on pourrait longuement disserter, en exploitant ses nombreuses ramifications…

… Mais dans un premier temps, si vous cherchez juste à partir sur des bases saines en comprenant simplement mais de façon complète ce qu’est une donnée personnelle, vous êtes au bon endroit !

Le temps de lecture estimé de cet article est de 10 minutes. Si vous souhaitez y consacrer moins de temps, un résumé d’ensemble est disponible en bas de page !

En ce qui concerne le cadre européen appliqué aux traitements de données personnelles, c’est sans surprise le Règlement Général sur la Protection des Données (RGPD) (disponible ici) qui fournit la définition nous intéressant. C’est donc dans ce texte que nous allons nous plonger...

Vue d’ensemble de la définition de donnée à caractère personnel

Le RGPD contient un article 4 intitulé « Définitions ». Naturellement, la définition de donnée à caractère personnel s’y trouve, tout en haut de la liste. Elle est écrite comme ceci :

📑
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; » (RGPD, Article 4, 1.)

Voilà. C’est un bon pavé, je vous propose donc de le découper en plusieurs parties, afin d’y voir plus clair. On peut déjà séparer la définition en deux grandes sections (très) inégales, que sont les suivantes :

📑
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; »
📑
« est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; »

En faisant cela, on voit que la définition courte d’une donnée à caractère personnelle tient dans la première section. La seconde définit en réalité ce qu’est une « personne physique identifiable ». 🟣 Est-ce que, pour autant, la définition de donnée à caractère personnelle est complète sans cette seconde partie ? Et bien non, car la première section de la définition fait elle-même référence à la seconde. Donc, sans cette dernière, elle ne peut pas être comprise avec suffisamment de finesse pour être appliquée en pratique. Il va donc bien falloir étudier ces deux sections de la définition.

Section 1. Toute information relative à une personne

Nous allons à nouveau procéder à une subdivision, en découpant cette section en deux sous-parties. Chacune de ces sous-parties revêt un aspect différent de la définition : tout d'abord son étendue (tout ce qu’elle couvre), mais aussi ses limites (là où elle s’arrête).

〽️ L’étendue de la définition

« Toute information se rapportant à », la première partie de la définition, se rapporte à son étendue. En commençant par 🔹 « toute information » 🔹, on sait déjà que tout ce qui correspondra à la suite de la définition sera une donnée personnelle. Cela apporte de la fermeté dans la définition (pour éviter que la qualification de données personnelles puisse être trop facilement remise en question dans la pratique), et montre également une volonté de définir largement la donnée à caractère personnel.

On peut ensuite se pencher brièvement sur le choix de l’expression 🔹 « se rapportant à une personne » 🔹, qui a été privilégiée par rapport à d’autres, plus restrictives (comme « se rapportant directement à une personne » ou « permettant d’identifier une personne »). En faisant cela, le législateur européen a également cherché à employer une formulation la plus inclusive possible, afin de fournir une définition étendue des données à caractère personnel.

En ayant regardé d’un peu plus près cette première sous-partie, on peut déjà comprendre qu’une donnée personnelle est volontairement définie de façon large et très inclusive, comme : 🔹 toute information qui se rapporte à une personne. 🔹

Des bornes sont toutefois posées par la suite de la définition. « Une personne physique identifiée ou identifiable », la seconde sous-partie, apporte les critères visant à sélectionner certaines informations comme des données personnelles, et à rejeter les autres.

〽️ Les limites de la définition

Deux critères cumulatifs permettent de limiter la définition :

■ Il faut déjà que l’information se rapporte à une personne physique (excluant ainsi les personnes morales).

■ Au surplus, il faut également que la personne physique en question soit identifiée ou identifiable.

〽️ La personne physique

Seules les informations relatives à des personnes physiques sont donc concernées. On distingue ici entre les personnes physiques (des humains) et les personnes morales (des créations juridiques, comme les sociétés, les associations, les collectivités territoriales par exemple). Or, si l'on comprend a contrario cette partie de la définition, les informations relatives exclusivement à des personnes morales ne peuvent pas être des données à caractère personnel.

Nous avons précisé exclusivement, car le fait qu’une personne morale soit concernée par une information ne provoque pas forcément son exclusion des données personnelles. Par exemple dans la phrase « Madame A est une salariée la société D. », on voit que cette information est en partie relative à une personne morale (on donne une information sur les effectifs de D) mais, cette même information renseigne également sur une personne physique (on sait grâce à elle que Madame A est salariée et qui est son employeur.)

Dès que l’information se rapporte à une personne physique, elle peut donc être une donnée personnelle, même si l’information inclut également une personne morale. Toutefois, si l’information n’implique qu’une personne morale, sans se rapporter à une personne physique, elle ne peut pas être qualifiée de donnée à caractère personnel. Par exemple, dans la phrase « La société D est cotée en bourse. », on reçoit uniquement une information sur une personne morale, sans impliquer de personne physique. Il n’y a donc pas ici de donnée à caractère personnel.

〽️ La personne identifiée ou identifiable

Enfin, en complément des premiers éléments de la définition, l’article 4 du RGPD ajoute une seconde limite : seules les informations se rapportant à des personnes physiques identifiées ou identifiables sont des données à caractère personnel. Si plusieurs éléments du texte nous guident afin de savoir ce qu’est une personne physique identifiable (cela sera abordé de façon plus précise dans les paragraphes suivants), l’emploi du terme « personne physique identifiée » n’est pas explicité.

Nous trouvons quelques précisions à ce sujet, non-plus dans le texte du RGPD mais dans une communication de la CNIL. Cette dernière, sans s'y attarder, indique quelques éléments à ce sujet sur son site internet : la personne identifiable serait celle identifiée indirectement, et les seules exemples de données personnelles concernant des personnes identifiées sont le nom et le prénom.

La problématique n’a pas non-plus semblé beaucoup intéresser la jurisprudence. Cela peut toutefois se comprendre, dans la mesure où la définition de donnée à caractère personnel inclut également les personnes « identifiables », sans opérer de distinction de régime applicable entre les deux. Les discussions se portent donc habituellement plus sur la définition de personne identifiable. C’est cette dernière qui est décrite dans la seconde section de la définition, et qui est abordée ci-dessous.

Section 2. Une personne physique identifiable

📑
« est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; »

〽️ La portée de la définition de personne physique identifiable

On remarque en premier que cette seconde section de la définition est moins stricte que la première ; on le repère à l’emploi du vocabulaire tel que « réputée être » ou « notamment ».

Tout d’abord, 🔹 « réputée être » 🔹 a une double portée. Cela signifie que, par principe, si un des critères listés à la suite est présent, la personne physique sera considérée comme étant identifiable (et donc les informations la concernant dans ce contexte seront des données à caractère personnel). Mais l'emploi de cette expression apporte aussi de la flexibilité, en prévoyant qu'il sera possible de remettre en question le fait que la personne physique est bien identifiable, même dans les cas listés par le texte. La portée de cette seconde section de la définition est donc exprimée moins fermement que dans la section précédente.

Cette partie de la définition doit être mise en relation avec le considérant 26 du RGPD, qui apporte (entre autres) la précision suivante :

📑
« [...] Pour déterminer si une personne physique est identifiable, il convient de prendre en considération 🔹 l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs 🔹, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. [...] »

A la lumière de tous ces éléments, on peut en déduire que le législateur a souhaité créer une définition adaptative et évolutive de la personne identifiable. L’objectif est qu’elle puisse virtuellement s’appliquer à toutes les situations, présentes et futures, sans créer d’exceptions absurdes qui découleraient d’un texte trop restrictif. La difficulté qui en émerge est la discussion possible autour de certains cas, qui devront être tranchés par les responsables de traitement et in fine par les juridictions, sur la base d’appréciations des moyens qu’il faudrait 🔹 « raisonnablement » 🔹 utiliser pour permettre l’identification de la personne…

Par ailleurs, on note l’emploi de🔹 la formule « directement ou indirectement » 🔹, qui vient appuyer sans équivoque sur le fait que l’identification de la personne pourraît être réalisée de façon tout à fait indirecte sans porter atteinte à la qualification de donnée à caractère personnel, enlevant ainsi volontairement tout doute possible à ce sujet et faisant pencher la balance un peu plus du côté qui considère que les personnes sont rapidement considérés comme identifiables. En cas d’application concrète lors de cas délicats à évaluer, tous ces éléments devraient être équilibrés pour arriver à la bonne qualification de la donnée analysée.

Enfin, le terme 🔹 « notamment » 🔹 doit être compris en l’associant à la liste d’exemples de façons dont une personne peut être identifiable. Cela signifie, toujours dans un effort d’adaptabilité, que la liste fournie n’est pas limitative mais qu’à l’inverse, d’autres cas peuvent être ajoutés. Cette liste sert tout de même à inclure des critères d’éléments permettant de rendre une personne identifiable, sans s’y limiter.

〽️ La liste des critères de la personne physique identifiable

La liste en question est composée de 🟣 onze éléments variés auxquels on peut se référer et pouvant rendre une personne identifiable.

La personne identifiable est donc celle qui peut être identifiée, directement ou indirectement, notamment par référence à un 🔹 identifiant, tel que :

  • Un nom
  • Un numéro d’identification
  • Des données de localisation
  • Un identifiant en ligne

On vise en particulier ici à inclure les matricules, références et autres données pseudonymisées pouvant permettre l’identification d’une personne, même dans les cas où il serait nécessaire de croiser ces données avec d’autres pour identifier in fine la personne concernée.

La personne identifiable est aussi celle qui peut être identifiée, directement ou indirectement, notamment par référence à 🔹 un ou plusieurs éléments spécifiques propres à son identité :

  • Physique
  • Physiologique
  • Génétique
  • Psychique
  • Economique
  • Culturelle
  • Sociale

Sont incluses ici les situations où des données permettraient d’identifier même indirectement une personne, sans avoir recours à son nom ni même un pseudonyme mais uniquement par référence à certains éléments concernant son 🔹 profil.

Il faut prendre en compte ici que certains éléments relatifs à une personne peuvent mener à son identification indirecte dans des situations données, mais pas dans d'autres. Cela va beaucoup dépendre du contexte dans lequel ces données sont traitées, et c'est ce qui fait qu'il faut réaliser une appréciation in concreto de chaque traitement de données pour savoir si ces dernières sont relatives à une personne identifiable.

🖋️
Dès lors qu'une personne est réputée identifiable, toutes les données qui lui sont liées sont alors des données personnelles (et pas uniquement les données la rendant identifiable).

Après avoir vu tous les éléments de la liste fournie par le RGPD, en reprenant une vue plus haute sur la définition, une personne identifiable est donc une personne physique qui peut être identifiée, directement ou indirectement, notamment 🟣 par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité.

En résumé, tous les éléments de la définition pris ensemble

Au final, on comprend que la définition de donnée à caractère personnelle est très liée à celle de personne concernée.

🎯
Pour faire court, on peut donc dire qu’une donnée à caractère personnel est toute information relative à une personne concernée.

Et pour compléter cela, il faut garder à l’esprit que 🟣 la définition de personne concernée implique à la fois les personnes identifiées et les personnes identifiables, directement ou indirectement, par référence à tout élément pertinent permettant in fine de la reconnaître.

Les fameux éléments pertinents sont quant à eux ceux listés par le RGPD et que l’on retrouve ci-dessous, en sachant que cette liste n’est pas limitative.

  • Un nom
  • Un numéro d’identification
  • Des données de localisation
  • Un identifiant en ligne
  • Elément physique
  • Elément physiologique
  • Elément génétique
  • Elément psychique
  • Elément économique
  • Elément culturel
  • Elément social

Merci beaucoup pour votre lecture ! Si vous vous posez d’autres questions (ou voulez découvrir d’autres problématiques) sur la qualification de donnée à caractère personnelle, n’hésitez pas à consulter régulièrement la rubrique de ce blog qui y est dédiée !

Et pour être au courant dès qu’un nouvel article est publié, pensez à me suivre sur LinkedIn.

Joëlie

Joëlie

🎐 Entrepreneure lyonnaise, j'aide les professionnels à maîtriser les risques liés aux traitements de l'information. ✨
Lyon, France