Données 1978
Données RGPD

Une donnée personnelle, c’est quoi, en vrai ?

Nous entendons souvent nos clients s’interroger sur le caractère “données personnelles” de données présentes dans leurs systèmes de gestion – de clients, d’assurés, de patients, d’étudiants, de salariés… afin d’opérer un tri entre les “données personnelles”, soumises au RGPD, et les “autres données”.

Par exemple…

  • « Ah mais c’est la date du voyage du client (ou : la taille des chaussures de l’ouvrier) : ces données ne permettent pas d’identifier le client (le salarié), ce ne sont pas des données personnelles, pas concernées par le RGPD. ».
  • « C’est le produit d’épargne choisi par le client, ils sont 2 millions à l’avoir choisi ».
  • « Oui, mais ce sont des données professionnelles » – donc, pas concernées par le RGPD.

Si ces analyses sont erronées, ces “données non personnelles” ne seront pas correctement considérées, documentées, détruites, anonymisées, protégées par le Règlement Général de Protection des Données.

Est-ce bien vrai ?

Ces analyses s’appuient souvent sur les définitions antérieures au RGPD (voire à la réforme de la loi Informatique et Libertés de 2004). Nous avons alors l’impression de faire un grand bond dans le passé, en 1978, à l’époque des données nominatives.

Nous vous proposons de revoir cette définition fondamentale.

Définitions antérieures

Définition historique – loi du 6 janvier 1978 : les données nominatives

Retournons à l'origine du mal :

Article 4 – Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.

La définition originelle est donc claire : la loi et la CNIL ne protègent que ces données nominatives.

Très vite, des difficultés surgissent : le formulaire originel de “Déclaration ordinaire” propose les 16 catégories de données suivantes :

Un extrait du fameux CERFA 99001 (sans ses annexes honnies)

Un extrait du fameux CERFA 99001 (sans ses annexes honnies)

À l’évidence, certaines de ces données ne permettent pas toujours d’identifier une personne ; la CNIL indique rapidement que certaines données perdent leur caractère identifiant si elles sont agrégées parmi un grand nombre de données.

Ainsi, la qualité de “Directeur de la CNIL” identifie une personne unique ; celle d'“Agent de la CNIL” ne permet pas d’identifier une personne, mais vise un ensemble de personnes.

On perçoit déjà ici les contorsions intellectuelles nécessaires pour faire correspondre les “données permettant d’identifier les personnes” et des données telles que la situation économique et financière ; et les contorsions visant à définir si une donnée telle que l’adresse IP est ou non une telle “donnée nominative”.

Il est également intéressant de noter que ce formulaire originel permet de décrire d’autres données – au quotidien, on y décrit couramment les données réellement utilisées par le traitement.

La Convention 108 – l’apparition des données à caractère personnel

A peine plus tard, l’article 2 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, dite Convention 108 du Conseil de l’Europe, apporte la définition suivante :

« données à caractère personnel » signifie : toute information concernant une personne physique identifiée ou identifiable («personne concernée») ;

La définition est courte et claire ; peu importe si la donnée permet d’identifier la personne. Elle n’aura hélas pas de suite en droit positif.

La Directive et l’apparition du point-virgule

Ayant décidé de définir un cadre commun de protection des données, la Commission Européenne, en accord avec les valeurs démocratiques de notre cher Vieux Continent, propose la définition suivante dans l’article 2 a) de la Directive du 24 octobre 1995 :

«données à caractère personnel» : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

Dans ce texte, le point-virgule marque la séparation franche entre les personnes et les données : peu importe que la donnée soit identifiante ; l’important est que cette donnée soit relative à une personne.

La version anglaise définit les “personal data”, qu’on peut traduire par “données des personnes” :

‘personal data’ shall mean any information relating to an identified or identifiable natural person (‘data subject’) ; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity ;

La réforme de 2004 - application de la Directive de 1995

Malgré presque dix ans passés à transposer la Directive dans la loi Informatique et Libertés, le législateur français ne trouve pas le point-virgule :

Constitue une donnée à caractère personnel toute information relative à une personne physique
identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Avec des efforts (et la segmentation du texte ci-dessus en italiques ), on perçoit encore la distinction entre “personne identifiée” et “information identifiante”, mais il est facile de se noyer dans cette immense phrase. Peu de commentateurs relèvent l’évolution – et la plupart des acteurs français de la protection des données continue à réfléchir et à agir en fonction des “données nominatives”, néanmoins disparues.

La “Déclaration ordinaire” évolue en “Déclaration normale”, et liste les 16 catégories de données suivantes :

Les données du formulaire CNIL de 2006

Les données du formulaire CNIL de 2006

Au jeu des 7 erreurs, il ne vous aura pas échappé que

  • la catégorie K passe de “Consommation d’autres biens et services” à “Données à caractère personnel faisant apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques, religieuses ou les appartenances syndicales des personnes”,
  • la catégorie L passe de “Consommation d’autres biens et services” à “Données biométriques”.

On perdait ici les données du quotidien, fréquemment utilisées, au profit de données certes légalement importantes, mais très rarement rencontrées en pratique. Si la place sur le formulaire l’avait permis, il aurait été plus efficace d’ajouter deux nouvelles catégories de données… et de conserver la possibilité d’ajouter d’autres catégories de données, ce formulaire ne le permettant hélas plus.

Dès lors, les utilisateurs sont enfermés dans ce cauchemar kafkaïen et vont s’habituer à ne plus décrire leur réalité.

Projet de Règlement du 25 janvier 2012

En 2012, la première version du projet de Règlement européen apporte une innovation stupéfiante : elle sépare les définitions des personnes concernées et de leurs données :

Article 4 - Définitions

Aux fins du présent règlement, on entend par :
(1) « personne concernée » : une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
(2) « données à caractère personnel » : toute information se rapportant à une personne concernée ;

Cette formulation ne laisse aucun doute sur l’étendue des données à caractère personnel. La version définitive du Règlement ne la retiendra cependant pas.

Le Règlement

Publiée en 2016, la formulation de la version définitive du Règlement n’est pas aussi tranchée que le projet de 2012 ; néanmoins, elle ré-introduit définitivement un point-virgule, et marque la césure entre les données et les personnes.

L’emphase du point-virgule en rouge et les italiques sont des ajouts de Cilex.

Article 4 - 1)

« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

Le RGPD concerne les “vraies” données des personnes

Peu importe que la donnée soit identifiante ; l’important est que cette donnée soit relative à une personne

Il en découle ceci :

Étant donné que tout client, tout assuré, tout patient, tout étudiant, tout salarié est identifié (ils ne sont jamais anonymes)…

toutes les informations, toutes les données se rapportant à ce client, cet assuré, ce patient, cet étudiant, ce salarié… sont des données à caractère personnel.

La date du voyage de M. Dupont, sa taille de chaussures, son produit d’épargne, sa fonction professionnelle sont des informations relatives à M. Dupont. Ce sont donc, par définition, directement, sans qu’il soit besoin de réfléchir ou d’analyser, des données de la personne M. Dupont – des données à caractère personnel.

Le tri entre les “données personnelles”, soumises au RGPD, et les “autres données” de la personne n’a pas de raison d’être.

Données 1978
Données RGPD

Il est peut-être préférable d’éviter le terme “données personnelles”

Ce terme de “données personnelles” n’ayant pas d’existence juridique, le risque est que chaque acteur aie élaboré sa propre définition, souvent approximative : “données non professionnelles”, “données relatives à la vie intime”… voire ces bonne vieilles “données nominatives”.

Au lieu de penser “Données personnelles”, pensez “Données des personnes”, voire “Données des gens” : vous n’oublierez plus de données !

Mais alors, me direz-vous…

Quelles données ne sont pas des données à caractère personnel ?

Les données des non-personnes, les données techniques, ne sont pas des données à caractère personnel : hauteur d’un immeuble, vitesse d’un processeur d’ordinateur, prix de chaussures en rayon… Ce sont les “Données des objets”, par opposition aux “Données des personnes”. Le RGPD ne les protège pas.

Et alors… est-ce vraiment important ?

Embrasser cette définition permet d’abandonner les contorsions et les arguties, et de disposer d’une base commune à tous les acteurs de la protection des données.

Simplifions les raisonnements

  • Il n’est plus nécessaire de se torturer l’esprit pour analyser si l’IP depuis laquelle un client à notre site marchand sur internet s’est connecté est une donnée à caractère personnel : c’est l’IP du client lors de cette connexion, c’est donc directement et immédiatement une donnée relative à cette personne – et elle est donc concernée par le RGPD.
  • Idem pour les échanges avec le client sur le site, ses dates de commandes, l’historique de ses retours de produits, les soupçons de fraude, les personnes qu’il a recommandées, ou encore le niveau de sa carte de fidélité et son nombre de points : toutes ces données sont les données de M. Dupont, relatives à cette personne, le RGPD les protège.

Evitons les oublis

En ne s’intéressant qu’aux “données nominatives” ou “données identifiantes”, on risquait de :

  • manquer le coeur de la cible : toutes les autres informations relatives à la personne – l’immense majorité des données ;

  • gaspiller de l’énergie à s’interroger sur le caractère identifiant ou pas d’une donnée – par exemple, l’adresse IP ;

  • oublier que toutes ces données concernent la personne, et donc qu’elle peut y accéder et interroger le responsable de traitement sur l’usage qu’il en fait.

    Si M. Dupont exerce son droit d’accès auprès de sa banque, et que la réponse se limite aux seules “données nominatives” ou “données identifiantes”, « Vous vous appelez Jacques Dupont, votre n° de client est 432164267 et votre mail est jdupont@gmail.com », cette réponse a toutes les chances d’irriter la personne et d’entraîner une plainte à la CNIL. Lorsqu’il a effectué la démarche d’exercice de son droit d’accès, M. Dupont souhaitait connaître les raisons du refus de son crédit, ou sa notation client… qui reposent sur une multitude de données, qui le concernent et auxquelles il a accès.

    C’est ainsi que Max Schrems avait obtenu de Facebook <strong>1200 pages</strong> des données le concernant – ce qui déboucherait ultérieurement sur l'invalidation du mécanisme “Safe Harbor” de transferts de données entre l’Europe et les États-Unis.

En adoptant la véritable définition, il n’y a plus à réfléchir : toutes les données des clients (et des autres personnes) sont par définition des données à caractère personnel  ; peu importe qu’elles soient identifiantes. Ce sont les données de M. Dupont, il a le droit de demander des comptes sur l’utilisation qui en est faite.

On peut désormais s’attacher au véritable sujet : évaluer la dangerosité de ces données pour la personne et à la limiter si nécessaire.

Mais alors…

… nous ne traitons que des données à caractère personnel ?
Si vous êtes une administration, une université, une banque, une entreprise B2C servant des consommateurs : oui, les données que vous traitez sont en immense majorité reliées à des personnes.

Si vous êtes une entreprise B2B : oui, vos prospects ou contacts sont des personnes, leurs données sont également protégées par le RGPD.

Il est de votre responsabilité de protéger toutes ces données.

… le RGPD s’applique à toutes ces données ?
Oui. Parce que la multiplication des personnes, des données, des accès, des durées de conservation augmente le risque pour les personnes, toutes ces données doivent être protégées, effacées ou anonymisées dès que possible

dans la mesure du risque qu’elles sont susceptibles de faire courir aux personnes.

… nous devons documenter toutes ces données ?
Oui, votre Registre doit documenter les catégories de ces données – Dieu merci, on ne documente plus les données précises, en précisant jusqu’à leur type et leur longueur, comme lors du temps des annexes aux déclarations à la CNIL !
Les catégories permettent d’avoir une vision synthétique des données concernées (coordonnées personnelles vs coordonnées professionnelles) et des potentiels risques associés.

Oui mais…

… La CNIL utilise le terme “Données personnelles”

C’est hélas vrai, car c’est effectivement plus court que “Données à caractère personnel”…

On l’a vu, ces “données personnelles” n’ont pas d’existence juridique. Vous pouvez traduire mentalement “Données des personnes”.

… Certains documents de la CNIL utilisent la définition des “Données identifiantes”

C’est, hélas, également vrai. Le site internet de la CNIL a parfois du mal à abandonner la définition historique et à définir les données à caractère personnel sans se référer à leur caractère identifiant.

Ces définitions de la CNIL sont exactes

  • https://www.cnil.fr/fr/donnees-personnelles
  • le Registre du DPO de la CNIL liste toutes les données traitées, sans se limiter aux catégories “historiques” des données proposées par la CNIL.

    Par exemple, pour le traitement “6.3 SIRH”, la CNIL traite les données “Etat civil, photographie, situation familiale, coordonnées personnelles, personne à prévenir en cas d’urgence, coordonnées bancaires, affectation, coordonnées professionnelles, planning de présence, état des congés, historique et état des demandes formulées dans le cadre de l’application Virtualia.net” — de vraies données.

  • La CNIL est régulièrement amenée à contrôler le respect des principes de pertinence et de minimisation des données collectées par le responsable de traitement. Les textes des sanctions démontrent que l’analyse porte toujours sur toutes les données. Ainsi, la sanction d’Août 2020 à l’encontre du site de vente de chaussures Spartoo relève que :

    « L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

    L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.

    Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente. »

    Ces enregistrements, informations et documents concernent les clients – le RGPD les protège.

Ces définitions de la CNIL sont exactes, mais entretiennent le doute en se référant à l’identification

A prendre avec les pincettes de rigueur…

Nous détestons devoir le dire, mais cette définition de la CNIL est incomplète par rapport au RGPD

Guide RGPD du développeur
« La notion de données à caractère personnel (couramment désignées comme “données personnelles”) est définie dans le règlement général sur la protection des données (RGPD) comme « toute information se rapportant à une personne physique identifiée ou identifiable (dénommée “personne concernée”) ». Elle couvre un large périmètre qui comprend à la fois des données directement identifiantes (nom et prénom par exemple) et indirectement identifiantes (numéro de téléphone, plaque d’immatriculation, identifiant de terminal, etc.). »

Cette définition est incomplète, car les données non-potentiellement-identifiantes – les plus nombreuses, voire les plus dangereuses pour les personnes – en sont exclues.

Il est dommageable que la CNIL propage encore cette définition erronée – nous passons beaucoup de temps à expliquer la “bonne” définition à nos interlocuteurs, « Oui ce sont ces données, mais pas que ».

Une vidéo de 1978 ?

Enfin, la définition donnée dans la vidéo de la CNIL “Qu’est-ce qu’une donnée personnelle” est erronée, so 1978 : « Une donnée personnelle, c’est une information qui permet de vous identifier directement ou indirectement ».

On aimerait tellement enfin entendre « Une donnée personnelle, c’est une donnée qui vous concerne »…

… Internet propage cette même définition …

Oui, hélas, trois fois hélas. De nombreux sites “de référence” utilisent cette même mauvaise vieille définition.

Recherche DuckDuckGo &laquo;&nbsp;Définition données personnelles&nbsp;&raquo;

Recherche DuckDuckGo « Définition données personnelles »

Mais ouf, la définition de Wikipedia est juste – même si elle ne facilite pas la lecture, en polluant le texte avec cette satanée mention “identifiée ou qui peut être identifiée”.

Chez Cilex…

Nous savons depuis longtemps qu’il faut protéger toutes les données des personnes. Nous nous efforçons de faire passer ce message à tous nos clients.

Pour documenter votre conformité et tenir votre Registre, notre solution Provacy propose en standard une grande liste de 64 catégories de données – plus des jeux de catégories de données “Métier” pour les secteurs de la banque, de l’assurance, de la santé… Et si cette liste ne vous convient pas, vous pouvez toujours l’adapter !

Nous avons regroupé ces catégories de données dans des classes de données, et fournissons des exemples concrets de champs pour vos utilisateurs – qui n’ont donc juste plus qu’à “piocher” dans les listes existantes.

Quelques Catégories de données de la classe Identité

Quelques Catégories de données de la classe Identité

Le Registre peut ainsi documenter toutes les véritables catégories de données utilisées par le traitement :

Extrait de Registre pour un traitement &laquo;&nbsp;Gestion des procurations pour les élections à l&rsquo;Université&nbsp;&raquo;

Extrait de Registre pour un traitement « Gestion des procurations pour les élections à l’Université »

Ces catégories de données comportent également une notion de risque pour les personnes – un risque élevé étant susceptible de déclencher une analyse d’impact relative à la protection des données. Un prochain billet portera sur cette notion de risque.

Nous comptons sur vous

Merci de nous avoir lu jusqu’au bout de ce très long texte. Si ce billet a éclairci votre vision de la protection des données, n’hésitez pas à le partager !

Et si vous avez des réactions ou des questions, n’hésitez pas à laisser un commentaire ci-dessous (l’interface en français arrivera prochainement).