Les données à caractère personnel
Définition : Données à caractère personnel
La définition des données à caractère personnel est fournie dans l'article 4 du RGPD[1]. Il s'agit de :
toute information se rapportant à une personne physique identifiée ou identifiable [...] ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
Remarque :
Comme l'indique cette définition, la notion de données à caractère personnel s'applique aux personnes physiques, et non aux personnes morales.
Certaines information permettent une identification directe de la personne : ses nom et prénom, sa photographie ou encore un e-mail nominatif.
D'autres informations permettent une identification indirecte des personnes : NIR[2], empreinte digitale, plaque d'immatriculation, adresse IP...
Et enfin le rapprochement de plusieurs informations, individuellement anonymes, peuvent aussi permettre une identification :
« le fils du notaire habitant au 11 bd Raspail à Paris »
Remarque :
Informations de localisation et données à caractère personnel
Certaines informations localisées contenues dans des systèmes d'informations géographique peuvent être des données à caractère personnel (nom, prénom, NIR, date et lieu de naissance...), mais comme l'indique la définition précédente, les données de localisation sont elles-mêmes des données à caractère personnel si elles permettent d'identifier directement ou indirectement une personne physique.
Ainsi, et comme indiqué notamment dans l'article 2 de la délibération CNIL relative à l'autorisation unique AU-001[3], les références cadastrales , le dessin des parcelles ou leur adresse, ainsi que l'adresse du domicile des propriétaires, des occupants ou des exploitants sont des données à caractère personnel. La conformité à cette autorisation unique AU-001 était une condition nécessaire et suffisante pour qu'un bénéficiaire, listé à l'article 1 de la délibération, puisse utiliser des informations ainsi localisées dans le cadre de ses activités, dès lors qu'elles relevaient des traitements listés dans ce même article 1.
Ces données de localisation relatives au découpage parcellaire ou aux adresses des parcelles sont également caractérisées de données à caractère personnel par les articles L127-10[4] et R127-10[5] du Code de l'Environnement. Ces articles précisent cependant que la diffusion d'informations ainsi localisées est autorisée ; à conditions bien sur que ces informations ne soient pas elles-mêmes des données à caractère personnel.
Attention :
Comme le précise le site de la CNIL dans son article relatif à l'AU-001[6], cette dernière n'a plus de valeur juridique depuis l'entrée en application du RGPD, mais elle reste un cadre de référence sur lequel ses anciens bénéficiaires doivent s'appuyer pour initier leurs premières actions de mise en conformité au RGPD en attendant la production d'un référentiel RGPD dédié.
Pour en savoir plus : téléchargez notre fiche thématique : Usages de l'autorisation unique AU-001 [pdf]