Pro­tec­tion des don­nées 101

Les don­nées per­son­nel­les sont tou­tes les infor­ma­ti­ons qui se rap­portent à une per­son­ne iden­ti­fi­ée ou iden­ti­fia­ble (sach­ant que la LPD actu­el­le cou­vre éga­le­ment les infor­ma­ti­ons qui se rap­portent à une per­son­ne mora­le, con­trai­re­ment au RGPD et éga­le­ment à la LPD révisée).

Une per­son­ne est déter­mi­née lorsque son iden­ti­té res­sort de l’en­sem­ble de don­nées lui-même (p. ex. “mar­di, Mme Mül­ler est allée au restau­rant X avec M. Peters”). La que­sti­on de savoir quand et par qui une per­son­ne est iden­ti­fia­ble don­ne lieu à bien plus de dis­cus­sions. C’est en tout cas le cas lorsque quel­qu’un qui a accès à une don­née peut l’at­tri­buer à une per­son­ne par­ce qu’il dis­po­se des infor­ma­ti­ons com­plé­men­tai­res néces­saires (“col­la­bo­ra­teur 123452” est une don­née per­son­nel­le pour le ser­vice RH, mais pas for­cé­ment pour une per­son­ne extérieure.

Le débat por­te prin­ci­pa­le­ment sur la que­sti­on de savoir s’il faut con­sidé­rer que la per­son­ne est iden­ti­fia­ble uni­quement lorsqu’u­ne per­son­ne ayant accès à la don­née peut en dédui­re l’i­den­ti­té d’u­ne per­son­ne (“appro­che rela­ti­ve”) ou déjà lorsqu’un tiers quel­con­que peut le fai­re (“appro­che abso­lue”). En Sui­s­se, selon le Arrêt Logi­step du Tri­bu­nal fédé­ral l’appro­che rela­ti­ve. En Euro­pe, selon la Décis­i­on Brey­er de la CJCE la même cho­se, mais les exi­gen­ces de déter­mina­bi­li­té sont fixées assez bas.

La que­sti­on de savoir si l’i­den­ti­fi­ca­ti­on néces­si­te la con­nais­sance du nom ou d’un aut­re iden­ti­fi­ant cou­rant, ou s’il suf­fit qu’u­ne per­son­ne – même incon­nue – pui­s­se être distin­guée de tou­tes les aut­res, est éga­le­ment dis­cu­tée (“Sin­gu­la­ri­sa­ti­on”). Les auto­ri­tés euro­pé­en­nes sem­blent se tour­ner davan­ta­ge vers le con­cept de sin­gu­la­ri­sa­ti­onEn effet, l’ar­tic­le 2 de la direc­ti­ve sur la pro­tec­tion des don­nées pré­voit que les États mem­bres doi­vent prend­re les mesu­res néces­saires pour pro­té­ger les don­nées per­son­nel­les de leurs citoy­ens, et ce pour des rai­sons de pro­tec­tion et donc plus poli­ti­ques que juridiques.

Ne sont pas des don­nées per­son­nel­les les don­nées qui ont été ren­dues anonymes.

La LPD et – avec cer­tai­nes modi­fi­ca­ti­ons – la révi­si­on de la LPD con­sidè­rent cer­ta­ins types de don­nées per­son­nel­les com­me par­ti­cu­liè­re­ment sen­si­bles. Ces don­nées béné­fi­ci­ent d’u­ne pro­tec­tion par­ti­cu­liè­re à cer­ta­ins égards. Par exemp­le, la LPD actu­el­le pré­voit déjà que la coll­ec­te de tel­les don­nées doit fai­re l’ob­jet d’u­ne infor­ma­ti­on expli­ci­te. Et la com­mu­ni­ca­ti­on de don­nées per­son­nel­les sen­si­bles à des tiers doit être justi­fi­ée, c’est-à-dire qu’el­le est en prin­ci­pe con­sidé­rée com­me une vio­la­ti­on. Il y a d’aut­res con­sé­quen­ces à la qua­li­fi­ca­ti­on de don­nées per­son­nel­les sen­si­bles – si de tel­les don­nées sont trai­tées sur la base d’un con­sen­te­ment, celui-ci ne peut être don­né que de maniè­re expli­ci­te ; si le trai­te­ment est important, une ana­ly­se d’im­pact sur la pro­tec­tion des don­nées doit être effec­tuée et si de tel­les don­nées sont trai­tées à des fins non per­son­nel­les, par exemp­le sta­ti­sti­ques, des exi­gen­ces par­ti­cu­liè­res s’ap­pli­quent. Pour les orga­nes fédé­raux, le trai­te­ment de don­nées sen­si­bles requiert en out­re une base juri­di­que dans une loi au sens for­mel, sauf exception.

Les don­nées per­son­nel­les sen­si­bles sont les don­nées rela­ti­ves aux opi­ni­ons ou acti­vi­tés reli­gieu­ses, phi­lo­so­phi­ques, poli­ti­ques ou syn­di­cal­es (p. ex. pai­ements à une com­mun­au­té reli­gieu­se, indi­ca­ti­ons sur la par­ti­ci­pa­ti­on à une mani­fe­sta­ti­on syn­di­cale), à la san­té, à la sphè­re inti­me (p. ex. ori­en­ta­ti­on sexu­el­le), à l’ap­par­ten­an­ce racia­le (p. ex. indi­ca­ti­on sur l’eth­nie), aux don­nées bio­mé­tri­ques (p. ex. un scan du visa­ge pour les accès), et aux don­nées rela­ti­ves aux mesu­res d’ai­de socia­le ou aux pour­suites et sanc­tions admi­ni­stra­ti­ves ou pénales.

Le fait que cer­tai­nes caté­go­ries de don­nées soi­ent géné­ra­le­ment con­sidé­rées com­me sen­si­bles est tou­te­fois con­trai­re à l’appro­che fon­dée sur les ris­ques, qui se réfè­re au ris­que con­cret et non à un ris­que abstrait. Il ne serait pas non plus pra­ti­ca­ble de con­sidé­rer com­me sen­si­bles tou­tes les don­nées dont le con­te­nu est sup­p­ri­mé ou poten­ti­el­le­ment pro­té­gé. Ain­si, une pho­to d’un por­teur de lunet­tes n’est pas con­sidé­rée com­me une don­née rela­ti­ve à la san­té, et un nom pou­vant être attri­bué à une région n’est pas con­sidé­ré com­me une don­née rela­ti­ve à l’ethnie.

Non, en tout cas pas selon le droit sui­s­se – c’est ce qu’a pré­cisé la décis­i­on Logi­step du Tri­bu­nal fédé­ral, tou­jours en vigueur. Il exi­ste néan­mo­ins une ten­dance à con­sidé­rer les adres­ses IP et aut­res iden­ti­fi­ants uni­ques, com­me par exemp­le un iden­ti­fi­ant de coo­kie, com­me des don­nées per­son­nel­les sans véri­ta­ble justi­fi­ca­ti­on. Le PFPDT s’est lui aus­si déjà expri­mé dans ce sens. Et en Euro­pe, cet­te ten­dance est clai­re, les adres­ses IP sont en prin­ci­pe con­sidé­rées com­me des don­nées personnelles.

Que signi­fie “trai­ter” ?
Qu’est-ce qu’un “responsable” ?
Que sont les “respons­ables con­joints” ?
Les respons­ables com­muns doi­vent-ils con­clu­re un cont­rat ?
Qu’est-ce qu’un sous-traitant ?

Il con­vi­ent de par­tir de la noti­on de don­nées per­son­nel­les. Une infor­ma­ti­on est per­son­nel­le lorsqu’el­le se rap­por­te à une per­son­ne déter­mi­née ou déter­minable. Une don­née est “anony­me” lorsqu’el­le n’a aucun lien avec une per­son­ne, par­ce qu’el­le n’a jamais été liée à une per­son­ne ou par­ce que le lien avec une per­son­ne a dispa­ru par la suite. “Anony­me” est une don­née qui avait une réfé­rence per­son­nel­le, mais dont la réfé­rence per­son­nel­le a été déli­bé­ré­ment supprimée.

Cela signi­fie que les exi­gen­ces en matiè­re d’an­ony­mi­sa­ti­on ne sont pas plus éle­vées qu’à l’in­ver­se les exi­gen­ces en matiè­re de réfé­rence aux personnes.

Lorsqu’u­ne don­née est anony­mi­sée, elle n’est plus une don­née per­son­nel­le. La légis­la­ti­on sur la pro­tec­tion des don­nées ne s’ap­pli­que donc plus à cet­te date. Le trai­te­ment de cet­te don­née n’est donc plus limi­té par le droit de la pro­tec­tion des données.

Il s’en­su­it éga­le­ment que, du point de vue de la pro­tec­tion des don­nées, l’an­ony­mi­sa­ti­on a le même effet que l’effa­ce­ment. En effet, si le droit de la pro­tec­tion des don­nées ne s’ap­pli­que pas aux don­nées anony­mes, il ne peut pas non plus exi­ger leur effacement.

La pseud­ony­mi­sa­ti­on signi­fie que la réfé­rence à la per­son­ne est indi­rec­te pour une don­née per­son­nel­le – elle exi­ste, mais la réfé­rence à la per­son­ne ne résul­te pas de la don­née elle-même (donc pas “Mme Mey­er­hans”), mais uni­quement d’in­for­ma­ti­ons com­plé­men­tai­res (donc “Col­la­bora­tri­ce 68796”, un tableau sépa­ré attri­buant le numé­ro 68796 à Mme Meyerhans).

La pseud­ony­mi­sa­ti­on est réa­li­sée lorsque cet­te attri­bu­ti­on est con­ser­vée sépa­ré­ment de la don­née pseud­ony­mi­sée elle-même, c’est-à-dire, plus pré­cis­é­ment, lorsque le ser­vice, la per­son­ne ou le dépar­te­ment qui tra­vail­le avec la don­née pseud­ony­mi­sée n’a pas accès à l’at­tri­bu­ti­on cor­re­spond­an­te. Une cer­taine sépa­ra­ti­on orga­ni­sa­ti­on­nel­le et infor­ma­ti­on­nel­le est donc nécessaire.

La pseud­ony­mi­sa­ti­on est tout d’a­bord une mesu­re de sécu­ri­té. Elle n’a pas pour effet que le responsable qui a pro­cé­dé à une pseud­ony­mi­sa­ti­on dans son orga­ni­sa­ti­on ne trai­te plus de don­nées per­son­nel­les – la don­née est pseud­ony­mi­sée, pas anony­mi­sée. Mais elle ren­force la pro­tec­tion des don­nées con­cer­nées. Elle peut donc con­dui­re à ce que le prin­ci­pe de la sécu­ri­té des don­nées soit respec­té, mais aus­si à ce que l’on pui­s­se plutôt affirm­er un inté­rêt prépon­dé­rant au traitement. 

Lors de la com­mu­ni­ca­ti­on d’u­ne don­née pseud­ony­me, il con­vi­ent de gar­der à l’e­sprit l’appro­che rela­ti­ve de la déter­mi­na­ti­on du lien avec la per­son­ne. Le carac­tère per­son­nel d’u­ne don­née se déter­mi­ne du point de vue de la per­son­ne qui a accès à cet­te don­née ou qui est responsable de son trai­te­ment. Cela a l’ef­fet sui­vant : si une per­son­ne A com­mu­ni­que une don­née pseud­ony­mi­sée qui a pour elle un lien avec une per­son­ne à une per­son­ne B, qui ne peut pas mett­re cet­te don­née en rela­ti­on avec une per­son­ne (par­ce qu’il lui man­que l’at­tri­bu­ti­on dont dis­po­se la per­son­ne A, mais qu’el­le ne com­mu­ni­que pas à la per­son­ne B), cela ne con­sti­tue pas la com­mu­ni­ca­ti­on d’u­ne don­née per­son­nel­le. La per­son­ne A n’est pas sou­mi­se à la légis­la­ti­on sur la pro­tec­tion des don­nées pour cet­te com­mu­ni­ca­ti­on, pas plus que la per­son­ne B pour son uti­li­sa­ti­on des don­nées pseud­ony­mes, mais anony­mes pour elle. Il doit en être ain­si – si la per­son­ne B était sou­mi­se au droit de la pro­tec­tion des don­nées, ce n’est plus l’appro­che rela­ti­ve qui s’ap­pli­quer­ait, mais l’appro­che absolue.

Cela signi­fie par exemp­le qu’un méde­cin en Sui­s­se peut trans­mett­re un échan­til­lon de sang indi­vi­dua­li­sé uni­quement par un code-bar­res à un labo­ra­toire aux Etats-Unis, sans que les rest­ric­tions de la com­mu­ni­ca­ti­on à l’étran­ger ne s’ap­pli­quent. S’il reçoit en retour le résul­tat de l’ana­ly­se, il s’a­git pour lui d’u­ne coll­ec­te de données. 

Il va de soi que des mesu­res de sécu­ri­té doi­vent néan­mo­ins être pri­ses, ent­re aut­res un accord avec le desti­na­tai­re pour qu’il ne trai­te les don­nées reçues que dans un but pré­cis et qu’il les trai­te de maniè­re confidentielle.

Le Tri­bu­nal fédé­ral a été Arrêt Logi­step plus stric­te – le droit de la pro­tec­tion des don­nées s’ap­pli­que dans un tel cas non seu­le­ment au desti­na­tai­re, mais aus­si à l’or­ga­nis­me qui trans­met les don­nées, pour lequel les don­nées trans­mi­ses n’ont aucun lien avec la per­son­ne. Nous con­sidé­rons que cet arrêt est, sur ce point, ori­en­té vers le résul­tat et n’est pas pertinent.

Le “trai­te­ment” est une noti­on extrê­me­ment lar­ge. Tout trai­te­ment de don­nées per­son­nel­les est un trai­te­ment, même leur anony­mi­sa­ti­on ou leur effa­ce­ment. La seu­le que­sti­on qui reste ouver­te est de savoir si le simp­le fait de voir des don­nées per­son­nel­les con­sti­tue déjà un traitement.

Le droit de la pro­tec­tion des don­nées recon­naît dif­fér­ents rôles en fonc­tion de leur influence sur un trai­te­ment de don­nées don­né. La déter­mi­na­ti­on des rôles des per­son­nes con­cer­nées con­sti­tue à chaque fois le point de départ d’un examen au regard de la légis­la­ti­on sur la pro­tec­tion des données.

Le “responsable” est l’entre­pri­se (en géné­ral une ent­re­pri­se ; il peut éga­le­ment s’a­gir d’u­ne per­son­ne indi­vi­du­el­le) qui déter­mi­ne de maniè­re déter­mi­nan­te le trai­te­ment des don­nées. Cela est déter­mi­né par deux critères : Le responsable est à l’o­ri­gi­ne du trai­te­ment des don­nées, c’est-à-dire qu’il déter­mi­ne la rai­son pour laquel­le le trai­te­ment a lieu sous sa for­me con­crè­te et, par con­sé­quent, la fina­li­té de celui-ci. Et il déter­mi­ne les con­di­ti­ons-cad­res essen­ti­el­les du trai­te­ment, c’est-à-dire quel­les don­nées sont trai­tées par quel­les per­son­nes et pen­dant com­bien de temps, et à qui elles sont éven­tu­el­le­ment communiquées.

Un responsable est par exemp­le une ent­re­pri­se pour le trai­te­ment des don­nées per­son­nel­les de ses employés, ou une ent­re­pri­se pour son pro­pre mar­ke­ting direct, mais aus­si un orga­ne fédé­ral auquel est attri­buée une tâche légale.

Un responsable reste responsable même s’il sous-trai­te le trai­te­ment des don­nées à un pre­sta­tai­re de ser­vices. Il peut même arri­ver qu’il ne pos­sè­de ni ne con­naisse lui-même les don­nées trai­tées – même dans ce cas, une ent­re­pri­se peut être responsable dans la mesu­re où elle exer­ce une influence déter­mi­nan­te sur le trai­te­ment des don­nées d’un tiers.

Plu­sieurs ent­re­pri­ses peu­vent se par­ta­ger le rôle de responsable – dans ce cas, elles sont “respons­ables con­joints”. C’est le cas lorsqu’el­les déter­mi­nent ensem­ble les fina­li­tés d’un trai­te­ment, mais aus­si son cad­re essen­tiel. Les critères exacts sont tou­te­fois dif­fi­ci­les à cer­ner. Cela est dû, d’u­ne part, à des pri­ses de posi­ti­on peu clai­res de la part des auto­ri­tés euro­pé­en­nes et, d’aut­re part, à trois arrêts de la CJCE dans les­quels une responsa­bi­li­té com­mu­ne a été accep­tée au cas par cas, mais où il est dif­fi­ci­le d’i­den­ti­fier un fil conducteur.

On peut tou­te­fois distin­guer essen­ti­el­le­ment deux con­stel­la­ti­ons de responsa­bi­li­té partagée :

Il y a sou­vent responsa­bi­li­té com­mu­ne lorsque plu­sieurs ent­re­pri­ses uti­li­sent le même système pour des trai­te­ments simi­lai­res et font donc appel ensem­ble à un pre­sta­tai­re de ser­vices. C’est par­ti­cu­liè­re­ment évi­dent dans le cad­re d’un grou­pe, lorsque les ser­vices du grou­pe sont uti­li­sés en com­mun, par exemp­le dans le cas d’u­ne gesti­on com­mu­ne des don­nées des col­la­bo­ra­teurs ou d’u­ne base de don­nées CRM commune.

Il peut éga­le­ment y avoir responsa­bi­li­té con­join­te lorsqu’un responsable trai­te des don­nées et les trans­met à un aut­re responsable, ceci dans son pro­pre inté­rêt et en sach­ant à quel­les fins et com­ment il uti­li­se­ra ces données.

Dans la pra­tique, on admet de plus en plus sou­vent des responsa­bi­li­tés com­mu­nes lorsque plu­sieurs ent­re­pri­ses tra­vail­lent en par­ten­ari­at et que les deux exer­cent une influence déter­mi­nan­te sur le traitement.

Le droit sui­s­se de la pro­tec­tion des don­nées n’e­xi­ge pas expres­sé­ment que les respons­ables con­joints con­clu­ent un cont­rat, con­trai­re­ment à ce qu’e­xi­ge le RGPD dans la plu­part des cas. Une responsa­bi­li­té com­mu­ne qui pas­se inaper­çue ne con­sti­tue donc pas néces­saire­ment une infrac­tion. Il est tou­te­fois judi­cieux, en cas de mélan­ge de trai­te­ments effec­tués par plu­sieurs ent­re­pri­ses, de défi­nir qui rem­plit quel­les obli­ga­ti­ons en matiè­re de pro­tec­tion des don­nées, par exemp­le qui infor­me les per­son­nes con­cer­nées du trai­te­ment, qui garan­tit la sécu­ri­té des systè­mes infor­ma­ti­ques uti­li­sés en com­mun et qui s’oc­cupe des deman­des des per­son­nes concernées.

De tel­les dis­po­si­ti­ons ne sont d’ail­leurs pas seu­le­ment uti­les dans le cas de respons­ables com­muns, mais sou­vent aus­si lorsque plu­sieurs respons­ables tra­vail­lent ensem­ble de maniè­re indépendante.

Un sous-trai­tant est une ent­re­pri­se (ou une per­son­ne) qui trai­te cer­tes des don­nées, mais qui ne déci­de pas du trai­te­ment con­cret. Cela s’ap­pli­que en par­ti­cu­lier – mais pas uni­quement – aux four­nis­seurs de ser­vices infor­ma­ti­ques. Par exemp­le, un four­nis­seur de ser­vices d’hé­ber­ge­ment est un sous-trai­tant, de même qu’un four­nis­seur de cloud ou l’ex­plo­itant d’u­ne solu­ti­on SaaS. Plus la fina­li­té de la solu­ti­on SaaS est étroi­te, plus l’ex­plo­itant a d’in­fluence sur le type de trai­te­ment des don­nées. Il le fait tou­te­fois de maniè­re géné­ri­que par la con­cep­ti­on du système et non par rap­port à des don­nées con­crè­tes et indi­vi­du­el­les ; c’est l’uti­li­sa­teur de la solu­ti­on qui déci­de de cel­les-ci. C’est pour­quoi le four­nis­seur de SaaS reste un sous-traitant.

Tou­te­fois, tous les pre­sta­tai­res de ser­vices ne sont pas des sous-trai­tants. Cer­ta­ins pre­sta­tai­res de ser­vices trai­tent cer­tes des don­nées per­son­nel­les pour l’exé­cu­ti­on du man­dat, mais ils en déci­dent en gran­de par­tie libre­ment. C’est par exemp­le le cas d’un cabi­net d’a­vo­cats qui mène une pro­cé­du­re pour un cli­ent. Il est cer­tes un pre­sta­tai­re de ser­vices, mais il déter­mi­ne lui-même les don­nées dont il a beso­in à cet effet. Règ­le géné­ra­le : un pre­sta­tai­re de ser­vices est un sous-trai­tant si l’ob­jet de la pre­sta­ti­on est avant tout le trai­te­ment de don­nées per­son­nel­les. Il est un responsable du trai­te­ment si sa pre­sta­ti­on est d’u­ne aut­re natu­re et s’il ne trai­te des don­nées per­son­nel­les qu’en tant qu’ef­fet second­ai­re de cet­te prestation.

On trouve des exemp­les ent­re aut­res dans une Liste de l’Of­fice bava­rois pour la pro­tec­tion des don­nées.

Vous trou­verez d’aut­res indi­ca­ti­ons sur le trai­te­ment des com­man­des sous la rubri­que correspondante.