1. Les origines
C’est dans un article intitulé « Safari » ou la chasse aux Français de Philippe Boucher, publié dans le quotidien Le Monde du 21 mars 1974, qu’est révélé le projet SAFARI. Acronyme de système automatisé pour les fichiers administratifs et le répertoire des individus, il rencontre alors une forte opposition populaire soucieuse de la préservation des libertés individuelles. Le gouvernement se voit contraint par conséquent de créer la Commission nationale de l’informatique et des libertés (CNIL) le 6 janvier 1978. Le même jour sera adoptée la loi « Informatique et Libertés » plaçant alors la France dans le trio de tête européen aux côtés de l’Allemagne et de la Suède en matière de protection des données. Cette loi fut modifiée à diverses reprises afin d’en préciser les champs d’application, notamment sur le cas particulier des fichiers des renseignements généraux (décret le 14 octobre 1991) et afin de transposer en droit français les dispositions de la directive 95/46/CE sur la protection des données personnelles. Cette dernière modification définit plus largement la qualification de données personnelles, simplifie leurs régimes juridiques et alourdit les sanctions. Enfin la CNIL voit ses pouvoirs d’enquête, d’investigation et de sanctions fortement renforcés.
2. Définitions
2.1. Ce que dit la loi :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
Une personne physique identifiable peut l’être notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
2.2. Exemples de données à caractère personnel
Les identifiants peuvent être des informations directement nominatives telles que le nom, le prénom, la photographie du visage.
Elles peuvent être également indirectement nominatives, telles que la date et le lieu de naissance, l’adresse du domicile, l’adresse électronique, le pseudonyme, un numéro de référence, un code de pseudo anonymisation ou un numéro de téléphone. Celles-ci peuvent être reliées à une personne par simple recoupement d’informations.
Une adresse IP est aussi une donnée à caractère personnel. Fixe ou dynamique elle peut être exploitée, sans connaître le nom réel de l’individu, afin de tracer ses comportements sur internet, construire des « profils » détaillés et ainsi envoyer des publicités personnalisées basées sur ses habitudes de navigation et son historique d’achat.
Les données peuvent être objectives, comme le groupe sanguin, le numéro de sécurité sociale ou de carte bancaire.
Elles peuvent être subjectives, tels que des avis ou des appréciations (dans les « zones bloc-notes » des logiciels de gestion client, ou des remarques sur un bulletin scolaire, par exemple) sur une personne concernée. Les données subjectives n’ont même pas besoin d’être vraies.
Ces données n’ont pas à être structurées de quelque manière que ce soit, ni même contenues dans une base de données dédiée pour être à caractère personnel. Même inexploitables par celui qui les possède elles n’en perdent pas leur caractère personnel.
Ainsi, le format de ces données est indifférent : il peut s’agir d’images (scanner, photographies, tableau, dessins…), de vidéos (enregistrements de vidéosurveillance), de sons (échantillons de la voix), d’une partie du corps (empreinte digitale, rétinienne ou veineuse).
En revanche, les informations relatives aux personnes morales n’entrent pas dans le cadre de la réglementation sur les données personnelles. Une donnée à caractère personnel ne peut concerner qu’une personne physique. Cependant, des fichiers tels que le registre du commerce et des sociétés, contiennent un certain nombre de données à caractère personnel, parmi lesquelles les informations relatives aux dirigeants. Sur ce point entre autres il est à noter que la réglementation sur les données personnelles doit être considérée conjointement avec d’autres réglementations qui peuvent limiter certains droits tels que le droit à la suppression ou à l’accès des données personnelles.
3. Dénominations
Les données à caractère personnel sont souvent improprement nommées « données privées » ou « données sensibles ».
Les données à caractère personnel peuvent être rendues publiques sans pour autant perdre la protection assurée par le droit. Il est important de faire une distinction entre protection des données personnelles et respect de la vie privée.
3.1. Vie privée et données publiques
De nombreuses informations et données sont partagées quotidiennement, parfois consciemment sur les différents réseaux sociaux, parfois involontairement par les traces laissées par l’acceptation de cookies de certains sites. Le partage de ses informations sur les profils numériques, équivaut à partager l’appartenance de ces données au réseau d’abord (amis, collègues, followers, …), à la plateforme ensuite et à toutes les personnes ayant accès à ces profils. Ces informations, même partagées avec le monde entier, restent des données personnelles. Il ne s’agit pas d’un renoncement à la vie privée. Le besoin et la nécessité de protéger l’intimité existe toujours.
3.2. Les données sensibles
Les données sensibles forment une catégorie particulière des données personnelles. Elles informent directement ou indirectement sur :
- Les origines raciales ou ethniques.
- Les opinions politiques, philosophiques ou religieuses.
- L’appartenance syndicale des personnes.
- Les données relatives à la santé des personnes.
- Les données relatives à la vie sexuelle des personnes.
- Les données biométriques.
- Les données génétiques.
- Les données relatives aux infractions pénales, aux condamnations
- A noter : Les informations relatives aux infractions ou condamnations ne sont pas considérées comme des données sensibles mais elles font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts.
La donnée dite « sensible » est à distinguer d’une donnée à caractère dite « personnel » du fait que le traitement doit prendre en compte ces catégories particulières avec un niveau de sécurité supplémentaire.
4. Bibliographie
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 2.
Loi n°2004-801 du 6 août 2004, Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance