Données à caractère personnel, personnelles et relatives aux personnes

von Katrin Nebermann

Il n’est pas toujours facile de distinguer les notions liées à la protection des données, et encore moins de bien cerner les problèmes qui en découlent.

Conformément au RGPD, le terme "données à caractère personnel" doit être interprété de la manière la plus large possible. Elle englobe donc toutes les données qui sont ou peuvent être attribuées à une personne de quelque manière que ce soit. Dans ce dernier cas, on parle également de "données à caractère personnel".

Dans le cadre de l’analyse web au sens large, il est en fait impossible d’éviter le traitement de données à caractère personnel au sens du RGPD. Cela n’est pas critique en soi, cela signifie simplement que le RGPD s’applique.

Par exemple, pour déterminer le nombre de visiteurs sur l’ensemble des sessions, il faut utiliser des identifiants de visiteurs. Pour cela, aucune donnée personnelle telle que le nom ou l’adresse e-mail n’est nécessaire. Des combinaisons de caractères générées de manière aléatoire et stockées dans des cookies suffisent. Il n’est donc pas possible d’identifier une personne.

L’important dans l’évaluation de la protection des données n’est donc pas de savoir si des données à caractère personnel sont traitées, mais si, conformément à l’article 6 f du RGPD, le traitement est conçu de manière à ne pas prévaloir sur les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel.

Lors de l’évaluation du degré d’intrusion dans la vie privée – c’est-à-dire de la prédominance des droits de protection – les questions suivantes sont déterminantes :

• Les données personnelles sont-elles traitées en clair, voire des données particulièrement sensibles telles que le sexe, l’origine ethnique, l’appartenance religieuse, etc.
• La nature et la quantité des données permettent-elles d’identifier directement ou indirectement l’utilisateur ?
• Le chiffrement est-il effectué (a) avec une force suffisante, (b) le plus tôt possible avant le traitement réel et (c) par défaut ou "by design" ?
• Les données personnelles sont-elles transmises à des tiers, fusionnées avec des données d’autres fournisseurs, dotées d’identifiants inter-fournisseurs ou enrichies d’autres données personnelles provenant d’autres systèmes ?
• Les données personnelles sont-elles transmises de manière sécurisée, traitées si possible uniquement au sein de l’UE et protégées contre l’accès non autorisé de tiers par des mesures techniques et organisationnelles suffisantes ?
• Les données sont-elles utilisées d’une manière et à des fins qui (a) n’ont aucun effet juridique sur les personnes concernées, (b) sont typiques et raisonnablement prévisibles pour les personnes concernées et dont les informations sont fournies de manière claire et compréhensible dans les avis de confidentialité ?
• Les utilisateurs ont-ils un moyen simple de s’opposer au traitement de leurs données personnelles sur tous les terminaux ?
• Les paramètres du navigateur et du système d’exploitation qui expriment clairement la volonté des personnes concernées (tels que les paramètres Do Not Track) sont-ils respectés ?