La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).
Identifiée ou identifiable : qu’entend-on par-là ?
- Directement : nom, prénom…
- Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone,
- A partir d’une seule donnée : ADN, photo
- A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel établissement
La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit. Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employés par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».
La jurisprudence de la Cour de justice de l’Union Européenne (CJUE) a permis d’établir que le lien s’entend largement. La CJUE avait statué dans son affaire Breyer que la notion d’indirectement identifiant ne nécessitait pas que les informations permettant ladite identification soient dans les mains de la même personne.
Elle s’est également prononcée sur le caractère « de moyens raisonnablement susceptibles d’être utilisés » des informations à utiliser pour identifier une personne : l’arrêt Breyer avait notamment permis de considérer qu’une identification interdite par la loi, ou irréalisable en pratique n’est pas un moyen raisonnablement susceptible d’être utilisé. En effet, le juge européen avait conclu en l’espèce qu’une adresse IP dynamique était une donnée à caractère personnel pour le fournisseur d’accès à internet dès lors que ce dernier disposait de moyens légaux lui permettant d’identifier la personne concernée en combinant cette donnée aux autres données dont il dispose sur la personne concernée.
Le 7 mars 2024, la CJUE s’est à nouveau prononcée sur le sujet du caractère indirectement identifiant concernant un communiqué de presse relatif à une fraude dans le cadre du financement d’un projet de recherche. Dès lors que le communiqué de presse mentionnait des informations concernant la personne : son genre, sa nationalité, le montant de la subvention, la localisation de l’entité l’octroyant, il est possible d’identifier indirectement la personne concernée. Dans cet arrêt, la CJUE a également pris en compte l’intérêt que pouvait susciter le communiqué de presse auprès du public, et donc le fait que le public risquait de faire des recherches afin d’identifier la personne en question pour déterminer si cette dernière était ou non identifiable.
- Article 4 du RGPD – Définitions
- CJUE, 19 Octobre 2016, Affaire Breyer, C‑582/14
- CJUE, 7 mars 2024, P – C‑479/22