Les données à caractère personnel [Guide juridique pour les données localisées des autorités publiques]

Les données à caractère personnel

Définition : Données à caractère personnel

La définition des données à caractère personnel est fournie dans l'article 4 du RGPD^[1]. Il s'agit de :

toute information se rapportant à une personne physique identifiée ou identifiable [...] ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

Remarque :

Comme l'indique cette définition, la notion de données à caractère personnel s'applique aux personnes physiques, et non aux personnes morales.

Certaines information permettent une identification directe de la personne : ses nom et prénom, sa photographie ou encore un e-mail nominatif.
D'autres informations permettent une identification indirecte des personnes : NIR^[2], empreinte digitale, plaque d'immatriculation, adresse IP...
Et enfin le rapprochement de plusieurs informations, individuellement anonymes, peuvent aussi permettre une identification : « le fils du notaire habitant au 11 bd Raspail à Paris »

Remarque :

Informations de localisation et données à caractère personnel

Certaines informations localisées contenues dans des systèmes d'informations géographique peuvent être des données à caractère personnel (nom, prénom, NIR, date et lieu de naissance...), mais comme l'indique la définition précédente, les données de localisation sont elles-mêmes des données à caractère personnel si elles permettent d'identifier directement ou indirectement une personne physique.

Ainsi, et comme indiqué notamment dans l'article 2 de la délibération CNIL relative à l'autorisation unique AU-001^[3], les références cadastrales , le dessin des parcelles ou leur adresse, ainsi que l'adresse du domicile des propriétaires, des occupants ou des exploitants sont des données à caractère personnel. La conformité à cette autorisation unique AU-001 était une condition nécessaire et suffisante pour qu'un bénéficiaire, listé à l'article 1 de la délibération, puisse utiliser des informations ainsi localisées dans le cadre de ses activités, dès lors qu'elles relevaient des traitements listés dans ce même article 1.

Ces données de localisation relatives au découpage parcellaire ou aux adresses des parcelles sont également caractérisées de données à caractère personnel par les articles L127-10^[4] et R127-10^[5] du Code de l'Environnement. Ces articles précisent cependant que la diffusion d'informations ainsi localisées est autorisée ; à conditions bien sur que ces informations ne soient pas elles-mêmes des données à caractère personnel.

Attention :

Comme le précise le site de la CNIL dans son article relatif à l'AU-001^[6], cette dernière n'a plus de valeur juridique depuis l'entrée en application du RGPD, mais elle reste un cadre de référence sur lequel ses anciens bénéficiaires doivent s'appuyer pour initier leurs premières actions de mise en conformité au RGPD en attendant la production d'un référentiel RGPD dédié.

Pour en savoir plus : téléchargez notre fiche thématique : Usages de l'autorisation unique AU-001 [pdf]

Notes

Règlement Général sur la Protection des Données
Règlement Général sur la Protection des Données (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) - CNIL - https://www.cnil.fr/fr/reglement-europeen-protection-donnees/
NIR : Numéro d'Inscription au Répertoire national d'identification des personnes physiques, usuellement dénommé "numéro de sécurité sociale"
Délibération CNIL du 29 mars 2012 relative à l'AU-001
Délibération n° 2012-087 du 29 mars 2012 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre d'un système d'information géographique (SIG) et abrogeant la délibération n° 2006-257 du 5 décembre 2006 (décision d'autorisation unique AU-001) - Secrétariat général du gouvernement - https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000025684534
Articles L127-10 du code de l'environnement
Articles L127-10 du code de l'environnement - Secrétariat général du gouvernement - https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000022963968&cidTexte=LEGITEXT000006074220
Articles R127-8 à R-127-10 du code de l'environnement
Articles R127-8 à R-127-10 du code de l'environnement - Secrétariat général du gouvernement - https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000023651407&cidTexte=LEGITEXT000006074220
Autorisation unique AU-001
Autorisation unique AU-001 : Système d'information géographique - SIG - CNIL - https://www.cnil.fr/fr/declaration/au-001-systeme-dinformation-geographique-sig