Les données personnelles sont définies, au niveau européen, par le Règlement général sur la protection des données (RGPD), auquel renvoie, au niveau national, la Loi informatique et libertés.

Pour qualifier des données personnelles, il faut qu’il existe un lien direct ou indirect avec la personne physique : 

« les données concernent une personne si elles ont trait à l’identité, aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ». – Groupe de travail 29, « Document de travail sur les questions de protection des données liées à la technologie RFID (radio-identification) », WP 105, 19 janvier 2005, p. 9

Une donnée à caractère personnel désigne : 

• « toute information »
• « se rapportant à »
• « une personne physique » 
• « identifiée ou identifiable »

La notion de données à caractère personnel est très large et ne se limite pas à un type spécifique d’information ou à un contexte particulier. Plusieurs caractéristiques permettent de mieux comprendre ce concept : 

• Peu importe l’objet de l’information : les données personnelles incluent toute information relative à une personne physique identifiée ou identifiable. Cela signifie qu’il n’est pas nécessaire que l’information concerne la vie privée de cette personne.

Par exemple, des informations collectées dans un cadre professionnel, comme le numéro de téléphone professionnel, les données d’un employé ou d’un travailleur indépendant, ou encore une liste de participants à une réunion, sont également considérées comme des données personnelles.

Sont indifférents :

• la nature de l’information : l’information peut être objective (comme un nom ou une date de naissance) ou subjective (comme une opinion ou une évaluation).
• le support de l’information : qu’elle soit stockée sur un support physique (papier) ou numérique, l’information reste une donnée personnelle.
• la date de l’information : l’ancienneté d’une information n’a pas d’incidence sur son statut de donnée personnelle, bien que son traitement doive être limité dans le temps.
• la véracité ou l’accessibilité de l’information :  une information reste une donnée personnelle, qu’elle soit vraie ou non, accessible au public ou confidentielle.
• l’origine de l’information : les données personnelles peuvent être brutes, c’est-à-dire collectées directement, ou inférées à partir d’autres données, comme une note de crédit. L’essentiel est qu’elles permettent d’identifier directement ou indirectement une personne physique.

La définition des données à caractère personnel repose donc sur une logique simple : dès lors qu’une information peut être reliée à une personne physique identifiable, elle entre dans le champ des données personnelles, quel que soit son contexte de collecte, sa nature ou son usage.

Pour qu’une donnée soit qualifiée de personnelle, elle doit être rattachée à une personne physique. Ce rattachement peut être direct ou indirect. 

a) Identification directe

Les données directement identifiantes permettent d’identifier immédiatement une personne physique. 

Ces données peuvent être :

• des identifiants classiques : prénom, nom, coordonnées postales, numéros de téléphone (y compris professionnels) ;
• des caractéristiques personnelles : âge, sexe, date et lieu de naissance, nationalité ;
• des données spécifiques : revenus, informations issues de documents professionnels (ex. : registres de temps de travail, frais de déplacement, indemnités) ;
• des médias : voix (dans le cadre d’enregistrements pour des enquêtes ou des corpus linguistiques), photographies ou vidéos reconnaissables.

Les informations sensibles comme les données sur la santé, la vie sexuelle, les opinions politiques, les croyances religieuses ou l’appartenance syndicale sont également directement identifiantes, et leur traitement est soumis à des règles encore plus strictes.

b) Identification indirecte

Certaines données ne permettent pas une identification immédiate, mais elles peuvent être reliées à une personne grâce à des recoupements ou des traitements spécifiques. 

Ces données incluent :

• les numéros spécifiques : numéro de sécurité sociale, identifiants bancaires, immatriculation d’un véhicule ;
• les données comportementales : habitudes de consommation, loisirs, comportements de conduite ;
• les données techniques : adresse IP, cookies, coordonnées géographiques, ou encore les puces RFID.

Le Groupe de travail de l’article 29 (G29) propose trois critères pour évaluer si une donnée est indirectement identifiante :

- selon son contenu, l’information elle-même se rapporte à une personne ; 

- selon sa finalité, la donnée est utilisée pour identifier une personne ;

- selon son résultat, un traitement permet d’aboutir à l’identification.

– Avis 4/2007 sur le concept de données à caractère personnel, WP136, p. 11 et 12

Même si une donnée ne permet pas d’identifier directement une personne, elle est malgré tout considérée comme personnelle si elle peut contribuer à une identification.

Les données à caractère personnel concernent exclusivement les personnes physiques, ce qui exclut de la protection :

• les personnes morales,
• les personnes décédées.

a) Exclusion des personnes morales

Même si les personnes morales ne sont pas couvertes par le droit des données à caractère personnel, les données concernant les personnes physiques impliquées dans leur fonctionnement ou leur activité bénéficient toujours de la protection. 

De plus, il faut relever un tempérament au sujet de la dénomination d’une personne morale. Lorsque cette dénomination permet d’identifier une ou plusieurs personnes physiques (par exemple, le nom d’un associé dans le nom de l’entreprise), ces informations relèvent du cadre des données personnelles. 

b) Exclusion des personnes décédées

En principe, les droits liés à la protection des données personnelles s’éteignent au décès de la personne concernée. 

Toutefois, certaines exceptions permettent de limiter la liberté de traitement des données des personnes décédées : 

• directives anticipées : la personne concernée a exprimé ses volontés avant son décès (par exemple, en précisant comment ses données doivent être gérées)
• intervention des héritiers : les héritiers peuvent exercer les droits de la personne décédée pour organiser la succession ou informer les responsables du traitement de son décès.

Les données à caractère personnel concernent une personne physique identifiée ou identifiable. 

Une personne physique est identifiée lorsque son identité est clairement établie, par exemple par son nom, un numéro d’identification ou des caractéristiques spécifiques comme son ADN.  

La personne physique est identifiable si des éléments permettent de l’isoler, directement ou indirectement, parmi d’autres individus, en tenant compte des moyens raisonnablement accessibles pour y parvenir.

La pseudonymisation consiste à transformer les données personnelles de sorte qu’elles ne puissent plus être directement associées à une personne sans utiliser des informations complémentaires, lesquelles doivent être stockées séparément et faire l'objet d'une sécurisation. 

La pseudonymisation est une opération réversible. En effet, il est possible de revenir à l’identité de la personne en croisant les informations.  

Les données pseudonymisées concernent donc des personnes physiques indirectement identifiables, et restent à ce titre soumises au régime de protection des données à caractère personnel – Article 4, 5° du Règlement général sur la protection des données

La pseudonymisation est une simple « mesure de sécurité » puisqu’elle limite les risques de traitement pour les droits et libertés des personnes concernées et contribue à assurer la confidentialité des données. 

Pour garantir l’efficacité de la pseudonymisation, le responsable du traitement doit respecter certaines conditions : 

• les informations complémentaires permettant d’identifier une personne doivent impérativement être conservées séparément ;
• les informations complémentaires doivent être protégées par des mesures techniques et organisationnelles spécifiques.

L’objectif est d’empêcher que ces informations complémentaires puissent être associées à une personne physique identifiée ou identifiable. Ainsi, un tiers ne doit pas pouvoir recouper directement ou indirectement les données pseudonymisées avec d’autres informations.

L’évaluation de l’identification doit tenir compte de « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». – Considérant 26 du règlement général sur la protection des données

Des facteurs objectifs permettent de déterminer si ces moyens techniques sont raisonnablement susceptibles d’être utilisés : 

• le coût et le temps nécessaires à l’identification,
• les technologies disponibles à la date du traitement et leur évolution.

Ces éléments doivent être pris en compte pour évaluer le potentiel d’identification des personnes concernées, et donc le statut des données traitées. – Considérant 26 du règlement général sur la protection des données

L’identification dépend non seulement des outils techniques disponibles mais aussi des contraintes juridiques.

L’anonymisation consiste à rendre impossible, de façon irréversible, l’identification de la personne concernée. Une fois les données anonymisées, elles perdent leur caractère personnel et ne sont plus soumises au cadre légal régissant les données à caractère personnel. – Considérant 26 du règlement général sur la protection des données

Ces données deviennent alors des données non personnelles.

Le responsable de traitement doit déterminer la finalité de l’opération d’anonymisation ainsi que la base juridique qui la justifie. En effet, l’anonymisation constitue un traitement ultérieur de données personnelles déjà collectées et utilisées. Par conséquent, cette opération doit être compatible avec les finalités initiales pour lesquelles les données ont été recueillies, sauf si la personne concernée a donné son consentement. 

Dans le cadre de traitements réalisés à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, la compatibilité avec les finalités initiales est présumée. 

Si une telle compatibilité ne peut être démontrée, une nouvelle base juridique devra être définie pour légitimer l’anonymisation. 

Le responsable de traitement est tenu de prendre en compte les droits de la personne concernée tout au long du processus. Toutefois, l’anonymisation ne crée pas d’obligation pour le responsable de collecter des données supplémentaires afin de réidentifier la personne concernée. – Article 11, 1° du Règlement général sur la protection des données

Si, malgré tout, la personne concernée souhaite exercer ses droits après anonymisation, le responsable du traitement devra l’informer qu’il n’est plus en mesure de l’identifier, rendant impossible l’exercice de ces droits. – Article 11, 2° du Règlement général sur la protection des données

Une fois que l’anonymisation est réalisée, les obligations découlant du RGPD cessent, car les données anonymes ne relèvent plus de son champ d’application. Cependant, il est impératif que les finalités initiales soient respectées ou qu’une base juridique spécifique soit mise en place si les finalités venaient à être modifiées.

Dans certains cas, l’anonymisation est obligatoire. Par exemple, les documents administratifs diffusés par l’administration doivent être anonymisés. – Article L. 312-1-2, alinéa 2 du Code des relations entre le public et l’administration (Documents administratifs).

De plus, le RGPD encourage l’anonymisation pour les traitements effectués dans l’intérêt public, à des fins de recherche scientifique ou historique ou encore à des fins statistiques. – Article 89, 1° du Règlement général sur la protection des données

L’anonymisation peut être mise en œuvre selon plusieurs méthodes :

• la randomisation, qui altère les données en perturbant leur exactitude. Cela peut inclure l’ajout de bruit statistique ou la permutation de valeurs pour réduire leur précision.
• la généralisation, qui consiste à diluer les données en les regroupant dans des catégories plus larges. Par exemple, les données géographiques précises peuvent être remplacées par des informations régionales.

Pour évaluer l’efficacité d’une technique d’anonymisation, trois critères doivent être examinés : 

• individualisation : est-il toujours possible d’isoler un individu ? 
• corrélation : est-il toujours possible de relier entre eux les enregistrements relatifs à un individu ? 
• inférence : peut-on déduire des informations concernant un individu ?

– G29, avis 05/2014 sur les techniques d’anonymisation p. 3, 12 et s.

Malgré les précautions prises par le responsable du traitement, l’anonymisation présente des limites liées aux risques de réidentification. Ces risques augmentent avec les avancées technologiques et la disponibilité croissante de grandes quantités de données, qui permettent de corréler des informations issues de multiples sources. 

Avant de considérer que les données sont véritablement anonymes, le responsable de traitement doit évaluer soigneusement ces risques et s’assurer que les mesures mises en place garantissent un anonymat effectif.