Par Thomas Bizet, Juriste.
 
Guide de lecture.
 

Vers une inflation des données personnelles ?

Toute donnée délivrée par un utilisateur peut potentiellement un jour se transformer en donnée personnelle. La définition des données personnelles est donc désormais si large, si étendue, que la question se pose d’une véritable inflation de la catégorie des données personnelles qui risquerait alors de priver cette catégorie de son sens.

S’il ne faut pas confondre les données personnelles et la vie privée comme le soulignait le Conseil d’Etat [1], il existe un lien profond entre les deux notions. Les données personnelles sont toujours plus nombreuses, les technologies tendent par recoupement à faire de chaque donnée délivrée par un utilisateur une donnée potentiellement personnelle. Elles permettent de constituer un « profil utilisateur », vitrine de la vie privée. Il ne s’agit pas en effet de l’identité absolue de la personne, si ce n’est pas exactement la vie privée en elle-même c’est bien un reflet représentant la vie privée de l’utilisateur sur le réseau.

Le terme « données personnelles » est couramment utilisé, la loi utilise le terme de « données à caractère personnel ». La distinction est légère mais intéressante. Le terme employé par la loi qualifie, caractérise une donnée avec une certaine distance. Le langage courant de « données personnelles » laissent apparaître une certaine appropriation de ces données dans un raccourci sémantique.

En dehors de cette maigre distinction sémantique, le sens est le même. Les données personnelles en France ont été définies par la loi n°2004-801 du 6 août 2004 modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. En 1978, il n’avait pas été prévue de définition, c’est la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui introduit la définition de données à caractère personnel. La Directive définit en son article 2, les données à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; ».

Il a fallu attendre 2004 pour que la France transcrive dans son droit interne cette définition en modifiant l’article 2 de la loi informatique et libertés du 6 janvier 1978, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Or, en l’absence du « notamment » précisé par la Directive, la définition s’élargit. La notion de « l’identifiable » a été quelque peu modifiée de manière pédagogique notamment avec l’ajout de « l’ensemble de moyens dont dispose ou auxquels peut avoir accès le responsable du traitement ou tout autre personne ». Le contexte du Big data, en stockant puis agrégeant les masses volumineuses de données pour les enrichir en les contextualisant permet justement au responsable d’un traitement ou à n’importe quel autre personne bénéficiant des outils adéquats de disposer d’un ensemble de moyens permettant d’identifier directement ou indirectement une personne physique [2] .

En ce sens, la notion de données à caractère personnel est une notion « évolutive » permettant de protéger, tout comme la vie privée, les atteintes à l’identification. Mais si la justification d’une protection accrue de la catégorie des données personnelles était pertinente en 2004, avant l’explosion du web contributif ou 2.0, cette protection semble devoir être adaptée aux usages actuels.

L’objectif de définir la notion de donnée à caractère personnel est bien d’encadrer afin de protéger de potentielles atteintes la collecte et le traitement de telles données [3]. Or, du fait de sa définition large, c’est l’ensemble des données, devenant personnelles par destination, qui doivent être collectées et traitées dans le cadre légalement prévu des données à caractère personnel.

Il semble en effet intéressant de mesurer l’opportunité d’une utilisation de la même terminologie que les biens immeubles par destination visés par l’article 517 du Code civil. La catégorie des biens immeubles par destination rassemble les biens meubles rattachés à l’immeuble de manière fixe. Les biens sont meubles mais si rattachés à un immeuble que par leur destination ils en viennent à être considérés comme faisant partie de la catégorie des immeubles. Dans le cas des données, le caractère personnel est si attaché à l’ensemble des données délivrées par l’utilisateur de manière potentielle qu’il conviendrait dès lors de les envisager comme étant à caractère potentiellement personnel. Les données deviendraient donc des données personnelles par destination. Elles sont potentiellement destinées à devenir, directement ou indirectement, des données à caractère personnel.

Cette réflexion pourrait être très contestée par les opérateurs numériques qui exploitent les données mais elle semble pourtant correspondre autant au texte de la loi informatique et libertés du 6 janvier 1978 modifiée qu’aux usages actuels. Dès lors que n’importe quelle donnée délivrée peut directement ou indirectement permettre l’identification d’une personne elle doit être considérée comme une donnée personnelle. Dans ce sens, il convient de souligner que n’importe quelle donnée circulant sur le réseau est caractérisée par des métadonnées décrivant par exemple la localisation de l’appareil émetteur, le type d’appareil utilisé, l’heure d’émission, etc. [4]. Par recoupement avec d’autres données il est ou sera, potentiellement, tout à fait possible d’identifier la personne ayant utilisé cet appareil à cet endroit et à cette heure. Ce sont donc les traces numériques, données personnelles par destination et/ou métadonnées, qui permettent une fois reconstituées et assemblées, d’identifier un utilisateur [5] .

L’identification a évolué depuis les 12 points de références nécessaires pour identifier les empreintes digitales d’un individu [6] , les traces laissées dans le monde digital sont bien plus identifiantes. Les recherches de Latanya Sweeney du Data Privacy Lab de l’Université d’Harvard ont montré que 87% des américains pouvaient être identifiés à partir de la simple combinaison de trois informations : le code postal, la date de naissance et le genre . Plus encore, dans une base de données d’un opérateur national comprenant 1.5 millions d’abonnés, il suffit de 4 points pour identifier 95% des gens [7] . De moins en moins d’informations suffisent donc pour parvenir à une identification, les informations sont de plus en plus détaillées et liées entre elles afin de permettre le développement d’une contextualisation la plus immédiate possible.

La définition évolutive propre à la catégorie des données personnelles génère ainsi un postulat où toute donnée serait personnelle, ail conviendrait alors d’appliquer le principe de précaution en la matière. Pour éviter cet état de fait il conviendrait, et en ce sens c’est bien la demande de certains grands acteurs, de saisir l’usage généralisé et de développer des nuances dans le caractère personnel des données.

C’est dans cette perspective que Dominique Boullier analyse que « toutes les données sont relationnelles ou transactionnelles. Parler de « donnée personnelle » donne l’impression qu’il s’agit d’un attribut de la personne. Les données transactionnelles sont, quant à elles, une « entre-prise » : par exemple entre la personne d’une part et une institution d’autre part. Les données transactionnelles donnent prise aux autres. C’est ce que j’appelle l’habitèle : nous ne possédons pas des données, nous les habitons, tout comme nos habits, nos habitats, l’habitacle de notre voiture. On considère qu’on laisse des traces, mais tout cela constitue un ensemble, une enveloppe grâce à l’interopérabilité des données. [...] Les définitions des données personnelles et de la vie privée sont, quant à elles, des fictions inopérantes. »  [8]

Mais cette évolution, intéressante, n’est pas en soi une solution. Ce n’est pas en supprimant une catégorie qui est peut-être devenue une « fiction inopérante » puisque dépassée par l’usage que la problématique est réglée. Il convient pour autant de souligner que l’époque est celle d’une véritable inflation des données personnelles vécue comme une potentielle « économie », aux dépens des créateurs premiers de ces données : les utilisateurs.

Notes :

[1Le Conseil d’Etat précisait que « les données personnelles sont une partie de ce principe [la vie privée] » dans Conseil d’Etat, Internet et les réseaux numériques, Collection « Les études du Conseil d’État », La documentation Française, 1998)

[2Voir en ce sens, ERTZSCHEID, Olivier, L’homme, un document comme les autres, Hermès, La Revue, 2009/1 n° 53

[3Voir en ce sens, G29, Avis 4/2007 sur le concept de données à caractère personnel, adopté le 20 juin 2007. Disponible sur : http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_fr.pdf

[4Voir en ce sens, GUENTHER, Rebecca, RADEBAUGH, Jacqueline, Understanding Metadata, National Information Standards Organization, 2004

[5Voir en ce sens PERRIAULT, Jacques, Traces numériques personnelles, incertitude et lien social, Hermès, La Revue, 2009/1 n° 53

[6LOCARD, Edmond, Les preuves de l’identité, J. Desvigne, 1932

[7SWEENEY, Latanya, Policy and Law : Identifiability of de-identified data, Data Privacy Lab Harvard, 2009. Disponible sur http://latanyasweeney.org/work/identifiability.html

[8BOULLIER, Dominique, in Cnil, Vie Privée à l’Horizon 2020, Cahier IP n°1, Cnil, 2012 p. 32

Thomas Bizet
Juriste - Droit du numérique

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

27 votes
Commenter cet article

Vos commentaires

  • Tout d’abord, je ne comprends pas pourquoi vous vous obstinez à ne parler que "d’utilisateurs" : la Loi quant à elle ne fait pas une distinction entre "utilisateur", "usager", "clients" ou autres, mais parle des "personnes concernées", au même titre que le terme consacré en anglais est "data subjects", qui ne limite ainsi par à une catégorie.
    Par ailleurs, vous faites état de la distinction entre la Directive et la transcription en droit interne sur l’utilisation du terme "notamment". Arrêtez-moi si je me trompe, mais l’usage de ce terme permet justement de laisser le champ ouvert. L’ouverture de la définition dans le texte de la Loi Informatique et Liberté se trouve plutôt sur la phrase suivante : "Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne".
    Je traite de données personnelles chaque jour (mise en conformité, gestion de contrôles par la CNIL, déclarations et demandes d’autorisation et autres) et je vous avoue n’avoir jamais entendu parler du concept juridique de "l’atteinte à l’identification. Peut-être pourriez-vous m’aider sur ce point...
    Par ailleurs, je trouve très risqué voir juridiquement faux d’opérer un parallèle entre la catégorie des biens meubles et immeubles et le concept des données à caractère personnel. Mais peut être allez-vous révolutionner la matière, qu’en sais-je…
    Faites attention : les données de localisation doivent faire l’objet de précautions spécifiques, elles ne peuvent pas être collectées à tout va ! Allez lire la recommandation du Groupe de l’Article 29, ou encore les fiches pratiques de la CNIL. Si cela ne vous suffit pas, le CPCE, ainsi que de nombreux arrêts le rappellent (notamment, le TGI de paris le 17 juillet dernier, considérait les logs de connexions et l’adresse IP, qui permet la localisation, comme étant des données à caractères personnelles).
    S’agissant de l’application du principe de précaution et de la nécessité « de développer des nuances dans le caractère personnel des données », il me semble une fois de plus risquer d’envisager cette solution étant donnée la valeur juridique dudit principe. Par ailleurs, vous ne parlez à aucun moment des différents degrés de sensibilité des données à caractère personnel, dont fait état la Loi Informatique et Liberté. Elément qui aurait pu servir à vos propos et qui, par ailleurs, aurait été plus pertinent juridiquement.
    Enfin, faites attention, coquilles et syntaxe parfois douteuse (l’exemple du paragraphe 7 le montre bien). Les phrases qui se veulent savantes perdent tout sens lorsqu’elles ne sont pas maitrisées...
    Le sujet est d’une particulière sensibilité et technicité. Il aurait fallu le traiter avec prudence, ou au moins connaitre mieux son sujet.

    • par Pascal Alix , Le 18 octobre 2014 à 10:38

      Vous avez un contentieux avec Thomas Bizet (que je ne connais pas) ? Même si certains points de son analyse peuvent en effet être discutés, son article - de vulgarisation, je vous le rappelle - reste intéressant. S’agissant de la terminologie, je vous trouve un peu sévère. Même la CNIL et les associations de correspondants (AFCDP) utilisent, en pratique, dans leurs formations, présentations orales, etc. des formules rapides telles "données personnelles", "utilisateurs", "Correspondants Informatique et Libertés" (CIL), etc. et pas nécessairement la terminologie, parfois un peu lourde, de la loi de 1978 ou de la directive de 1995.

      Pascal Alix, avocat et CIL, membre de l’AFCDP et chargé de cours (métier de CIL) à l’EFB

  • par Alex Uper , Le 14 août 2014 à 10:59

    le sujet est plus important qu’il n’y paraît , cependant entretenir la confusion de "données personnelles" et "données à caractère personnel" n’est pas pertinent , seule la seconde à une vrai portée juridique .
    Effectivement , la nature de cette donnée est complètement indépendante de qui la possède (bases de données) ou de qui l’alimente, mentionner l’utilisateur est donc hors sujet .

    Mais comme d’habitude on cherche les arguments pour justifier les actes des apprentis sorciers que d’examiner AVANT le quoi ou le comment .

    l’exemple du BIG Data devenant une BIG Connerie est parfait !

  • par JADE , Le 13 août 2014 à 16:34

    une erreur sur les données personnelles du demandeur faussant les faits peut elle être dévoilée avant que la parole ne soit donnée au défenseur à l’origine de ce fait. Moi même sans avocat, je prépare ma défense , déroutée par cet élément que je ne retrouve pas sur Internet en exemple (vice de forme - de fond - négligence - manque de vigilence, obstruction sur les moyens de faits et de droit) - (il y a des exemples mais sur le dépassement de la remise des conclusions). En général, cela n’entraîne pas la nullité du procès déjà engagé)
    Je vous remercie de me guider, sachant toutefois que je peux ne rien recevoir si aucun renseignement d’ordre personnel n’est autorisé.
    jade

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs