Recevez chaque jour toute l'actualité du numérique

x

[Décryptage] Qu'est-ce qu'une donnée personnelle ?

Décryptage Comprendre ce qu'est une donnée permet de mieux cerner les enjeux contemporains qui l'entourent. Toutes les données ne sont pas protégées de la même façon car leurs utilisations ne revêtent pas les mêmes risques. C'est l'émergence, en 2004, de la notion de "donnée à caractère personnel" qui a construit un cadre réglementaire autour de ce concept.  
Twitter Facebook Linkedin Flipboard Email
×

Qu'est-ce qu'une donnée personnelle ?
La donnée est aujourd'hui au cœur de l'économie numérique car elle constitue un actif stratégique pour les entreprises. © Geralt

La donnée est aujourd'hui au cœur de l'économie numérique car elle constitue un actif stratégique pour les entreprises. Comment ? Par exemple car les géants du web, comme Facebook ou Google, collectent les données des internautes et permettent ainsi aux annonceurs de cibler leurs pubs de façon très précise. En échange, nous accédons à des services gratuits. Ce business model n'a pas été remis en cause à son origine. Mais avec la multiplication des affaires comme celle de Cambridge Analytica, le traitement des données personnelles par les géants du numérique pose question. Mais de quelles données parle-t-on vraiment ?

 

La donnée à caractère personnel

Juridiquement, une "donnée" n'a pas d'existence. C'est l'émergence de la notion de "donnée à caractère personnel" qui a construit un cadre réglementaire autour de ce concept. En bref, si le traitement concerne des informations personnelles, la loi doit s'appliquer. Si non, le traitement est libre.

 

Ce terme naît de la loi du 6 août 2004 qui la définit comme "toute information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui sont lui propres". La Convention 108 du Conseil de l'Europe propose une définition très proche : "toute information concernant une personne physique identifiée ou identifiable". Peu importe que cette information soit publique ou confidentielle.

 

Auparavant, le droit français parlait "d'informations nominatives". Ces notions voisines sont nées de l'utilisation des premiers ordinateurs par l'armée, lors de la Seconde Guerre mondiale. Puis l'administration, au début des années 70, a commencé à s'informatiser pour traiter les données des administrés. C'est la fameuse loi du 16 janvier 1978 dites "loi informatique et libertés" qui va, la première, doter la France d'une législation pour encadrer ce secteur.

 

De l'administré à l'internaute

L'histoire de cette loi n'est pas sans rappeler les craintes parfois avancées aujourd'hui par les citoyens. En 1971, l'Institut national de la statistique et des études économiques (INSEE) décide de centraliser à Nantes les répertoires identification jusque-là régionaux via le projet dit "SAFARI" (Système automatisé pour les Fichiers Administratifs et le Répertoire des Individus).

 

L'administration envisageait également de cumuler cette centralisation avec celle du fichier de la Caisse nationale d'assurance vieillesse (CNAV) et de l'interconnecter avec les fichiers de la carte d'identité gérée par le ministère de l'Intérieur. Et c'est le scandale ! Le Monde s'empare de cette information et titre le 21 mars 1974 "SAFARI ou la chasse aux Français". Le gouvernement décida de travailler sur un projet de loi tendant à garantir les libertés face au développement de l'informatique dans les secteurs publics et privés, d'où la naissance de la loi de 1978.

 

 

Les acteurs privés ont surtout pris de l'importance par la suite lorsque l'informatique en réseau connecté mondialement (Internet) s'est répandue dans les années 2000, puis au travers de la connexion individuelle avec l'arrivée des smartphones. Le contexte a bien changé depuis mais les motifs ayant présidé l'adoption de la loi "informatique et liberté" sont très révélateurs : "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte, ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou politiques".

 

L'adresse IP est une donnée personnelle

Quand on pense à une donnée personnelle, on pense à un nom, une photo, une empreinte, un numéro de téléphone ou de sécurité sociale. Et pourtant, ce n'est pas tout. Il existe également des données indirectement personnelles. La Cour de cassation, en 2016, a pu, par exemple, considéré qu'une adresse IP était une donnée personnelle. Il en est de même pour les informations générées par les objets connectés. En effet, selon la jurisprudence européenne, il n'est pas nécessaire que "toutes les informations permettant d'identifier la personne" soient "entre les mains d'une même personne".

 

Pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée (visage flouté, nom masqué…). Sil est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.

 

Une fois cette qualification effectuée, tout l'arsenal juridique sur les données personnelles s'applique. La dernière législation adoptée sur cette question est le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Il prévoit de nouvelles exigences sanctionnées par de lourdes amendes pouvant aller jusqu'à 4% du chiffre d'affaires annuel mondial.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media