Rosen­thal, Don­nées per­son­nel­les sans iden­ti­fia­bi­li­té ?, dig­ma 4/2017

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • L’appro­che rela­ti­ve reste déter­mi­nan­te : il y a don­nées per­son­nel­les lorsque le responsable du trai­te­ment des don­nées peut éta­b­lir une iden­ti­fi­ca­ti­on à l’ai­de de don­nées de réfé­rence accessibles.
  • La sin­gu­la­ri­sa­ti­on (ensem­bles de don­nées uni­ques) ne suf­fit pas en soi ; les don­nées géné­ti­ques et les adres­ses IP ne sont pas en soi des don­nées per­son­nel­les sans com­pa­rai­son de don­nées de référence.

David Rosen­thal a publié dans l’é­di­ti­on 4/2017 de la dig­ma [Swiss­lexDans le cad­re de son tra­vail, le CEPD a rédi­gé un artic­le sur la “sin­gu­la­ri­sa­ti­on”, c’est-à-dire sur la que­sti­on de savoir s’il suf­fit, pour qu’u­ne per­son­ne soit iden­ti­fia­ble, qu’el­le ne soit pas iden­ti­fi­ée, mais qu’el­le pui­s­se être distin­guée de tou­tes les aut­res per­son­nes par une don­née uni­vo­que. Cet­te que­sti­on s’in­scrit dans le con­tex­te de l’ar­tic­le 4, point 1, du RGPD, selon lequel est con­sidé­rée com­me “don­née per­son­nel­le” tou­te infor­ma­ti­on qui

notam­ment au moy­en de Attri­bu­ti­on à un iden­ti­fi­ant com­me […] un numé­ro d’i­den­ti­fi­ca­ti­on […] ou à un ou plu­sieurs élé­ments par­ti­cu­liers qui con­sti­tu­ent l’ex­pres­si­on de l’identité […].

Le con­sidé­rant 26 pré­cise à cet égard que, lors de l’éva­lua­ti­on du lien avec les personnes

alle Mittel berücksichtigt werden [sol­len], die von dem Verantwortlichen […] wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, com­me par exemp­le le tria­ge.

La que­sti­on se pose donc de savoir si la mise à part – pré­cis­é­ment la sin­gu­la­ri­sa­ti­on – suf­fit à éta­b­lir la réfé­rence à la per­son­ne. En résu­mé, Rosen­thal par­vi­ent à la con­clu­si­on suivante :

Le RGPD n’a rien chan­gé à la noti­on de don­nées per­son­nel­les. L’appro­che “rela­ti­ve”, qui con­si­ste à déter­mi­ner si la per­son­ne qui a accès à cer­tai­nes don­nées peut ou non iden­ti­fier les per­son­nes con­cer­nées, reste valable. Cela vaut éga­le­ment dans l’UE, où la CJCE l’a récem­ment con­fir­mé dans sa décis­i­on con­cer­nant les adres­ses IP. La noti­on de “sin­gu­la­ri­sa­ti­on” n’y chan­ge rien. Un ensem­ble de don­nées sin­gu­la­ri­se une per­son­ne lorsqu’il est si spé­ci­fi­que, com­me une emprein­te digi­ta­le, qu’il ne peut se rap­por­ter qu’à elle, même si l’on ne sait pas de qui il s’a­git. C’est le cas des don­nées géné­ti­ques, par exemp­le. Le RGPD men­ti­on­ne cer­tes la sin­gu­la­ri­sa­ti­on com­me un indi­ce d’i­den­ti­fia­bi­li­té, mais elle ne suf­fit pas à elle seu­le. L’ar­tic­le pré­sen­te à ce sujet le “Test des don­nées de réfé­rence” : Selon cet­te dis­po­si­ti­on, on est en pré­sence de don­nées per­son­nel­les lorsqu’il y a un lien ent­re les deux par­ties. une cor­re­spond­ance peut être éta­b­lie ent­re les don­nées en que­sti­on et les enre­gi­stre­ments d’u­ne seu­le per­son­ne réel­le dont dis­po­se déjà le responsable du trai­te­ment ou aux­quels il a accès. Les don­nées géné­ti­ques et les adres­ses IP ne sont donc jamais des don­nées per­son­nel­les en soi.