La genèse de la notion de donnée personnelle

À l’heure où le gouvernement français étudie le projet de loi relatif à la protection des données qui a vocation à adapter le droit français à l’entrée en vigueur le 25 mai 2018 du Règlement général de protection données, y a-t-il encore débat sur la question de savoir ce qu’est une donnée à caractère personnel ?

Selon 27% des étudiants d’un cours de protection des données en licence d’informatique à l’Université de technologie de Budapest [1]Ce terrain fera l’objet d’un compte-rendu à part ces données ne recouvrent que les informations que les personnes auxquelles elles se réfèrent ne partageraient pas volontiers. Certes, cela est bien loin d’être suffisant pour conclure, comme le font certains auteurs, que les informaticiens ne considèrent comme des données personnelles que les données relevant de l’intime, au contraire des juristes pour qui par définition toutes les données relatives à une personne, quelles qu’elles soient, sont des données personnelles.

Outre la proportion malgré tout non négligeable de ces étudiants et étudiantes à qui il ne semblait pas, spontanément, que la notion juridique de donnée à caractère personnel ne couvrait que les données sensibles, un autre exemple qui montre la pertinence de la réflexion autour de la définition de ce qu’est une donnée à caractère personnel sont les débats qui ont eu lieu autour de la notion de « tracking » au sein du Tracking Protection Working Group du W3C.

Ce groupe, mis en place en 2011, édite une spécification technique permettant à un navigateur de communiquer à un site web la volonté de l’internaute de ne pas être tracé. Un débat, par ailleurs tout à fait nécessaire, a considérablement ralenti les travaux de ce groupe : qu’est-ce qui constitue une action de « tracking » ? La simple collecte par un algorithme de données est-il du traçage ? Ou bien faut-il que les données collectées par le site web effectuant une telle action soient affichées à un être humain ? Faut-il qu’il y ait préjudice pour qu’il y ait traçage ?

En Europe, la CJUE nous dit clairement qu’il ne faut pas confondre donnée personnelle avec information relative à la vie privée :

« les notions de «données à caractère personnel», au sens de l’article 2, sous a), du règlement nº 45/2001, et de «données relatives à la vie privée» ne se confondent pas » [2]CJUE 16 juillet 2015 « ClienthEarth» Aff. C-615/13 P pt. 32

 

Mais une fois que nous avons précisé que les données à caractère personnel, en droit européen, concernent tant les informations sur l’intimité d’une personne que toute autre donnée se référant à elle [3]Par exemple son CV son LinkedIn est une donnée à caractère personnel même si les informations qui y sont mises à la disposition du public ne relèvent en aucun cas de son intimité, il faut s’interroger sur la nature de ce lien.

En effet, Paul Ohm, dans un article de 2010 dénonçant le « mythe de l’anonymat robuste » rappelle que même en supprimant certains identifiants comme le nom ou le numéro de téléphone d’une personne, il est bien souvent possible, par croisement entre jeux de données, de retrouver la personne concernée. Par exemple, selon une étude de Latanya Sweeney, 87% de la population des Etats-Unis est identifiable à partir du code postal, du sexe et de l’âge de la personne, même sans connaître son nom.

L’article 4 du Règlement général de protection des données dit qu’est une donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement […] ».

 

D’où vient une définition aussi large, qui semble aller au-delà de la simple protection de la vie privée ? [4]Et ce n’est d’ailleurs pas une simple illusion d’optique puisque, depuis l’adoption de la Charte des droits fondamentaux de l’Union européenne, il existe un droit à la … Continue reading

 

La définition la plus ancienne de la notion de « donnée à caractère personnel » remonte au projet de loi fédérale allemande de protection des données de 1972, qui proposait la définition suivante :

« By « personal data » are meant particulars concerning the personal or material condition of an identified or identifiable natural or juristic person in private law or of an identified or identifiable association of persons (hereinafter termed « the person concerned »). Public undertakings, services or administrative bodies exercising similar functions, which are or belong to public-law corporations, shall be considered equivalent to the persons referred to in sentence 1. » [5]Bill on protection against the misuse of personal in data protection (translation of : Referentenentwurf Bundes-Datenschutzgesetz). Conseil de l’Europe. EPX/Prot.Priv./EDB (73) 2

Dans cette première version, la protection des données se serait aussi appliquée à des groupes de personnes, comme les personnes morales. Si les termes « identifiée ou identifiable » apparaissent déjà, un article de cette proposition excluait du champ d’application de la protection des données les informations publiquement accessibles :

« Section 3 (2) : Nothing in this Act shall be construed as protecting personal data which can be directly obtained from generally accessible sources » [6]Bill on protection against the misuse of personal in data protection (translation of : Referentenentwurf Bundes-Datenschutzgesetz). Conseil de l’Europe. EPX/Prot.Priv./EDB (73) 2

Quelques mois plus tard, en novembre 1972, Jean-Paul COSTA proposa la définition suivante :

«data […] as relates to the private life or privacy of individuals whom it concerns, and particularly information concerning their race, religion, political opinions, morals, health or past judicial record» [7]Appendix V Convention on transnational data banks in the private sector. Preleminary draft proposed by Mr. J.P. COSTA, French expert. EXP/Prot.Priv./EDB (72) 17 Council of Europe

Cette définition, qui ne précise pas si elle couvre les données indirectement identifiantes, exclue les données relatives aux personnes morales mais aussi toutes les informations ne portant pas sur la vie privée ou l’intimité des personnes du champ de la protection.

D’une certaine façon, la loi suédoise de protection des données, adoptée en 1973, résout la question par le choix de la simplicité. Une donnée personnelle, c’est, tout simplement :

« Information relating to an individual » [8]Proposition nr. 33 år 1973, devenue Datalag 1973:289 après adoption

Définition reprise ensuite par les recommandations de 1973 et de 1974 du Conseil de l’Europe, pour qui une donnée personnelle est :

« information relating to individuals (physical persons) » [9]Council of Europe Resolution 73 (22) On the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector et Council of Europe Resolution 74 (29) On the protection … Continue reading

Le Privacy Act de 1974, aux Etats-Unis, ne remettra pas cela en cause mais limitera la protection aux seuls citoyens des Etats-Unis et aux résidents.

L’article 4 de la loi informatique et libertés française, adoptée en 1978, est une étape entre la définition minimaliste de la loi suédoise et la définition que nous connaissons aujourd’hui dans le RGPD. En effet, elle réintroduit la notion d’identification directe ou indirecte :

« les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale » [10]Art. 4 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version d’origine

Cette définition est reprise par les lignes directrices de l’OCDE de 1980 :

« toute information relative à une personne physique identifiée ou identifiable (personne concernée) » [11]RECOMMANDATION DU CONSEIL CONCERNANT LES LIGNES DIRECTRICES REGISSANT LA PROTECTION DE LA VIE PRIVEE ET LES FLUX TRANSFRONTIERES DE DONNEES DE CARACTERE PERSONNEL

Ces mêmes lignes directrices précisent cependant qu’elles ne sont applicables que lorsque la collecte de données personnelles porte atteinte aux droits et libertés des personnes :

« Les présentes lignes directrices s’appliquent aux données de caractère personnel, dans les secteurs public et privé, qui, compte tenu de leur mode de traitement, de leur nature ou du contexte dans lequel elles sont utilisées, comportent un danger pour la vie privée et les libertés individuelles. »

Ceci permit un compromis obtenu pendant les négociations sur ce texte par le président australien du groupe d’experts de l’OCDE l’ayant rédigé. Perçu comme neutre dans un débat opposant la position américaine, défavorable à un droit à la protection des données général, et la position française, défendant le consensus qui s’était dégagé au cours des discussions au sein du Conseil de l’Europe, il avait été élu à la tête de ce groupe.

Tout est donc question d’interprétation. Si dans la jurisprudence de la CJUE la collecte de données personnelles constitue en soi une ingérence dans le droit à la vie privée, ce n’est pas nécessairement le cas aux Etats-Unis, où la nécessité de démontrer un préjudice, remontant à la catégorisation des «privacy torts» de William Prosser, est plus forte (ce qui explique en partie les débats au W3C sur la notion de « tracking » mentionnés plus haut, d’ailleurs).

Quoi qu’il en soit, si l’on se situe uniquement en Europe – ce qui exclue donc le texte de l’OCDE – nous voyons une confirmation dans le temps et au fil des multiples rédactions (dans la convention 108 du Conseil de l’Europe, la directive de 1995, puis dans le RGPD) de la définition qui s’est cristallisée à partir de la définition française de 1978. Cette définition exclue les personnes morales (sauf au Liechtenstein), le droit des données personnelles s’étant rattaché au droit de la personnalité.

A partir des années 1990, cette définition s’imposa même comme un standard assez répandu. Cela est vrai même dans l’univers de la standardisation technique. Ainsi, selon la RFC 6973 éditée par l’IETF, une donnée personnelle est :

« information relating to an identified or identifiable individual » [12]RFC 6973

Elle s’est aussi répandue via des instruments légaux hors de l’Union européenne, comme l’Acte additionnel de la CEDEAO sur la protection des données.

Et même la AmCham EU, chambre de commerce transatlantique faisant du lobbying auprès des institutions de l’Union, n’a cherché, durant les débats sur le RGPD, qu’à limiter la possibilité qu’une donnée indirectement identifiante ne soit une donnée personnelle qu’aux cas où cela est faisable par la personne détenant la donnée :

« information relating to a data subject that makes identification by the controller reasonably possible » [13]AmCham EU Proposed Amendments on the General Data Protection Regulation

Bien entendu, adopter cet amendement aurait considérablement compliqué la tâche des autorités de supervision, puisqu’il aurait été à leur charge de démontrer qu’une entreprise est bel et bien capable d’identifier les individus sur lesquels elle détient des données sans avoir nécessairement leurs noms (mais par exemple : leur code postal, leur sexe et leur date de naissance, ce qui selon l’étude précédemment évoquée revient au même dans près de 90% des cas).

Mais il n’a pas été adopté et, de fait, la définition de ce qu’est une donnée personnelle n’a, dans la loi, pas changé en Europe depuis les années 1970.

L’on peut alors se demander : pourquoi une définition aussi large ? À quoi cela sert-il d’imposer des contraintes sur la façon de collecter et de traiter des données disponibles publiquement et qui ne portent pas sur l’intimité des gens ?

Une piste de réponse est de se rappeler l’influence de la philosophie libérale utilitariste de John Stuart Mill sur les personnes ayant débattu de ces questions dans les années 1960 et 1970. Pour ce philosophe, chaque être humain a le droit à une sphère de liberté individuelle, dans laquelle il est libre de se défaire des contraintes sociales pour vivre selon son utilité, que lui seul est en mesure de définir. L’Etat ne peut se substituer à l’individu pour déterminer ce qui fait son bonheur. De la même façon, ce n’est pas à l’Etat de définir à l’avance ce qu’un individu souhaite garder pour soi ou pas. Et le bonus dans l’histoire est alors de créer du droit qui puisse résister aux évolutions sociales en matière de frontière public / privé.

Une autre piste est l’influence de Foucault et de Deleuze, et de leurs réflexions sur la surveillance panoptique et la société de contrôle sur la coalition de cause des militants et militantes de la protection des données. L’idée est que la collecte massive et informatisée de données, et leur traitement algorithmique, produit une rétroaction sur la société capable instaurant une nouvelle forme de pouvoir qu’Antoinette Rouvroy nomme la gouvernementalité algorithmique. Ainsi, que les données collectées relèvent de l’intime ou non, si leur collecte aboutit à terme à une rétroaction limitant l’autonomie et la capacité d’action (agency) de l’individu, cela limite sa liberté.

Une question en guise de conclusion : cette limitation est-elle une atteinte à la vie privée en tant que le droit à la vie privée comprend notamment une dimension d’autonomie individuelle ? Ou bien s’agit-il plutôt d’une atteinte à un nouveau type de droit constitué par l’article 8 de la Charte des droits fondamentaux de l’UE, qui garantit en plus d’un droit à la vie privée décrit à l’article 7 un droit autonome à la protection des données ?

A noter

Si les grandes lignes de la définition de ce qu’est une donnée à caractère personnel, et donc de ce qui est protégé par le droit fondamental à la protection des données, est stable en Europe depuis le milieu des années 1970, cela ne veut pas dire qu’il n’a pas connu des évolutions à la marge, notamment sur l’interprétation des mots « identifiée ou identifiable » « directement ou indirectement ». S’agit-il de données identifiables par la personne qui collecte et traite ces données, en fonction des moyens à sa disposition ? Ou bien parle-t-on dans l’absolu ? L’arrêt Patrick Breyer de la CJUE concerne notamment cette question [14]CJUE 19 octobre 2016 « Patrick Breyer contre Allemagne » Aff. C-582/14.

Enfin, notons la proposition de la fédération d’ONG européennes Digital Rights Europe qui souhaitait, pendant les débats sur le RGPD, étendre la définition de ce qu’est une donnée personnelle à tout jeu de données dont il était possible de dire qu’il se référait à la même personne, même si cette personne restait impossible à identifier. Cette proposition n’a pas été retenue. Il s’agit cependant de la définition adoptée par l’agence américaine USAID en 2016 :

« Personally Identifiable Information (PII) means information which can be used to distinguish or trace an individual’s identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother’s maiden name, etc. The definition of PII is not anchored to any single category of information or technology. Rather, it requires a case-by-case assessment of the specific risk that an individual can be identified. In performing this assessment, it is important for an agency to recognize that non-PII can become PII whenever additional information is made publicly available — in any medium and from any source — that, when combined with other available information, could be used to identify an individual » [15]USAID Privacy Threshold Analysis Template

Signe d’une future évolution ?

 

Tableau des évolutions (non-exhaustif)

Date Nom de la notion dans le texte Texte Emplacement dans le texte Contenu de la définition
19720815 personal data Bill on protection against the misuse of personal in data protection (translation of : Referentenentwurf Bundes-Datenschutzgesetz). Conseil de l’Europe. EPX/Prot.Priv./EDB (73) 2 Section 2 By « personal data » are meant particulars concerning the personal or material condition of an identified or identifiable natural or juristic person in private law or of an identified or identifiable association of persons (hereinafter termed « the person concerned »). Public undertakings, services or administrative bodies exercising similar functions, which are or belong to public-law corporations, shall be considered equivalent to the persons referred to in sentence 1.
19721122 information processed by data banks as relates to the private life or privacy of the individuals whom it concerns Appendix V Convention on transnational data banks in the private sector. Preleminary draft proposed by Mr. J.P. COSTA, French expert. EXP/Prot.Priv./EDB (72) 17 Council of Europe Art. 2 data […] as relates to the private life or privacy of individuals whom it concerns, and particularly information concerning their race, religion, political opinions, morals, health or past judicial record
19730216 personuppgift Proposition nr. 33 år 1973, devenue Datalag 1973:289 après adoption Art. 1 upplysning som avser enskild person
19730216 personal data Proposition nr. 33 år 1973, devenue Datalag 1973:289 après adoption Art. 1 information relating to individual
19730926 personal information Council of Europe Resolution 73 (22) On the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector Annex information relating to individuals (physical persons)
19740920 personal information Council of Europe Resolution 74 (29) On the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector Annex information relating to individuals (physical persons)
19741231 record 5 USC 552a. Privacy Act 1974 section (a) any item, collection, or grouping of information about an individual that is maintained by an agency, including, but not limited to. his education, financial transactions, medical history, and criminal or employment history and that contains his name, or the identifying number, symbol, or other identifying particular assigned to the individual such as a finger or voice print or a photograph
19780106 données nominatives Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés Art. 4 les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale
19800923 données de caractère personnel RECOMMANDATION DU CONSEIL CONCERNANT LES LIGNES DIRECTRICES REGISSANT LA PROTECTION DE LA VIE PRIVEE ET LES FLUX TRANSFRONTIERES DE DONNEES DE CARACTERE PERSONNEL Art. 1 sous b) toute information relative à une personne physique identifiée ou identifiable (personne concernée)
19800923 personal data RECOMMANDATION DU CONSEIL CONCERNANT LES LIGNES DIRECTRICES REGISSANT LA PROTECTION DE LA VIE PRIVEE ET LES FLUX TRANSFRONTIERES DE DONNEES DE CARACTERE PERSONNEL Art. 1 sous b) any information relating to an identified or identifiable individual (data subject)
19810128 données à caractère personnel Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention 108 du Conseil de l’Europe) Art. 2 sous a) toute information concernant une personne physique identifiée ou identifiable («personne concernée»)
19810128 automatic processing Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention 108 du Conseil de l’Europe) Art. 2 sous a) any information relating to an identified or identifiable individual (“data subject”)
19900727 données à caractère personnel COM 90 314 FINAL FR Art. 2 sous a) toute information concernant une personne physique identifiée ou identifiable («personne concernée») ; est notamment réputée identifiable une personne qui peut être identifiée par une référence à un numéro d’identification ou à une information similaire
19900727 personal data COM 90 314 FINAL EN Art. 2 sous a) any information relating to an identified or identifiable individual (“data subject”) ; an identifiable individual is notably an individual who can be identified by reference to an identification number or a similar identifying particular
19951024 données à caractère personnel Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Art. 2 sous a) toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
19951024 personal data Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Art. 2 sous a) any information relating to an identified or identifiable natural person (‘data subject’); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity
19961007 données personnelles Protection des données personnelles des travailleurs. Recueil des directives pratiques au BIT (1997) Paragraphe 3.1. L’expression données personnelles s’applique à toute information relative à un travailleur identifié ou identifiable
20040806 donnée à caractère personnel Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Version consolidée au 07 août 2004 Art. 2 toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
20100407 Personally Identifiable Information NIST – SP 800-122 – Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) Section 2.1 PII is ―any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.
20120125 données à caractère personnel Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) Art. 4 sous 2) toute information se rapportant à une personne concernée
20120125 personal data Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) Art. 4 sous 2) any information relating to a data subject
20120501 personal data Privacy Terminology – draft-hansen-privacy-terminology-03.txt Page 2 information about an individual stored and/or transmitted electronically in Internet protocols
20120622 personal data Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) – Revised by the DAPIX meetings of 23-24 February and 14-15 March 2012 Art. 4 sous 1) any information relating to an identified or identifiable natural person (‘data subject’); an identifiable person is one who can be identified, directly or indirectly, by means likely to be used by the controller or by any other natural or legal person, in particular by reference to a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person. If identification requires a disproportionate amount of time, effort or material resources the natural living person shall not be considered identifiable
20120713 personal data Privacy Terminology – draft-iab-privacy-terminology-00.txt Page 2 any information relating to a data subject
20121112 personal data British Telecom’s amendments to the proposed Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data Art. 4 sous 1) any information relating to an identified or identifiable living natural person (‘data subject’); an identifiable person is one who can be identified, directly or indirectly, by the data controller in particular by reference to an identification number or to one or more factors specific to his physical, psychological, mental, economic, cultural or social identity
20130724 personal data RFC6973 Section 3.2 information relating to an identified or identifiable individual
20140123 Personally Identifiable Information PRIVACY THRESHOLD AN ALYSIS (PTA). Version number 01-2014. Department of Homeland Security Note de bas de page 2, page 3 any information that permits the identity of an individual to be directly or indirectly inferred, including any information that is linked or linkable to that individual, regardless of whether the individual is a U.S. citizen, lawful permanent resident, visitor to the U.S., or employee or contractor to the Department
20140306 personal data AmCham EU Proposed Amendments on the General Data Protection Regulation Art. 4 sous 1) information relating to a data subject that makes identification by the controller reasonably possible
20140306 personal data Amendments to the draft data protection regulation proposed by Bits of Freedom Art. 1 sous 2) any information relating to a data subject
20140626 personal data W3C Privacy Considerations Any information relating to an individual who can be identified, directly or indirectly.
20140703 Personally Identifiable Information USAID Privacy Threshold Analysis Template Page 9 Personally Identifiable Information (PII) means information which can be used to distinguish or trace an individual’s identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother’s maiden name, etc. The definition of PII is not anchored to any single category of information or technology. Rather, it requires a case-by-case assessment of the specific risk that an individual can be identified. In performing this assessment, it is important for an agency to recognize that non-PII can become PII whenever additional information is made publicly available — in any medium and from any source — that, when combined with other available information, could be used to identify an individual
20160111 personal data/personal information Privacy by Design Documentation for Software Engineers Version 1.0 – DRAFT Committee Specification 02 Working Draft 08 Section 1.5 any data/information about an individual including (1) any data/information that can be used to distinguish or trace an individual‘s identity, and (2) any other data/information that is linked or linkable to an individual or an individual’s device
20160427 données à caractère personnel RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) Art. 4 sous 1) toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
20160427 personal data RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) Art. 4 sous 1) any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person

1 Ce terrain fera l’objet d’un compte-rendu à part
2 CJUE 16 juillet 2015 « ClienthEarth» Aff. C-615/13 P pt. 32
3 Par exemple son CV son LinkedIn est une donnée à caractère personnel même si les informations qui y sont mises à la disposition du public ne relèvent en aucun cas de son intimité
4 Et ce n’est d’ailleurs pas une simple illusion d’optique puisque, depuis l’adoption de la Charte des droits fondamentaux de l’Union européenne, il existe un droit à la protection des données personnelles (art. 8 Charte) séparé du droit à la protection de la vie privée et familiale (art. 7 Charte).
5, 6 Bill on protection against the misuse of personal in data protection (translation of : Referentenentwurf Bundes-Datenschutzgesetz). Conseil de l’Europe. EPX/Prot.Priv./EDB (73) 2
7 Appendix V Convention on transnational data banks in the private sector. Preleminary draft proposed by Mr. J.P. COSTA, French expert. EXP/Prot.Priv./EDB (72) 17 Council of Europe
8 Proposition nr. 33 år 1973, devenue Datalag 1973:289 après adoption
9 Council of Europe Resolution 73 (22) On the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector et Council of Europe Resolution 74 (29) On the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector
10 Art. 4 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version d’origine
11 RECOMMANDATION DU CONSEIL CONCERNANT LES LIGNES DIRECTRICES REGISSANT LA PROTECTION DE LA VIE PRIVEE ET LES FLUX TRANSFRONTIERES DE DONNEES DE CARACTERE PERSONNEL
12 RFC 6973
13 AmCham EU Proposed Amendments on the General Data Protection Regulation
14 CJUE 19 octobre 2016 « Patrick Breyer contre Allemagne » Aff. C-582/14
15 USAID Privacy Threshold Analysis Template

Laisser un commentaire