Décoder les principes de la protection des données à caractère personnel
L’utilisation de nos données à caractère personnel est soumise à des conditions légales strictes. Mais de quelles informations parle-t-on exactement ? Quels sont les procédés de traitement et les supports concernés ? Nous expliquons ces notions-clés.
En matière de protection des données personnelles, le RGPD (Règlement général sur la protection des données) n’est pas le seul texte applicable. En effet, la collecte et le traitement des données à caractère personnel dans les domaines policier et pénal sont réglés dans la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données personnelles (ci-après LPD).
La notion de "donnée à caractère personnel"
En vertu des article 4.1 du RGPD et 26.1 de la LPD, on entend par donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable.
Il peut s’agir de n’importe quel type d’informations : des informations privées ou qui sont considérées comme publiques car librement accessibles sur des sites Internet ou des pages de réseaux sociaux (Facebook, Instagram, Twitter, etc.) ; des informations relatives à la vie professionnelle[1] ou à des activités commerciales ; des informations objectives telles que le numéro de plaque d’un véhicule ou encore les données cadastrales ou subjectives telles que le contenu d’une évaluation[2].
Ce n’est donc pas parce que vous partagez vos données et les publiez sur votre profil Facebook qu’elles ne bénéficient pas d’une protection[3].
La forme de l’information n’importe pas ; celle-ci peut constituer un texte écrit, un graphique, un dessin, une image ou un son, une caractéristique physique, physiologique ou comportementale.
L’information doit se rapporter à une personne physique identifiée ou identifiable directement ou indirectement sur la base d’une donnée ou d’un croisement de données.
Par conséquent les informations relatives à des personnes morales telles que les sociétés, les communes, les services de police, etc. ne constituent pas a priori[4] des données à caractère personnel. Il en va de même concernant les informations relatives à des personnes décédées et les données anonymes.
Le critère à utiliser est le suivant : si l’information au sujet d'une personne peut être reliée à cette personne directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, l’information en question constitue une donnée à caractère personnel.
Par exemple, le numéro de référence qui figure dans la convocation à la vaccination contre la COVID-19 constitue une donnée à caractère personnel parce que ce numéro correspond à une personne déterminée.
La notion de donnée à caractère personnel est donc très large et vise tant le nom d’un(e) citoyen(ne), que son adresse, sa plaque d’immatriculation, son numéro de compte bancaire, son numéro de téléphone, son adresse mail, l’adresse IP/Mac de son ordinateur, ses données cadastrales, son numéro de registre national, ses empreintes digitales. Les données pseudonymisées (pseudos, codes, numéros de matricule) sont également visées[5].
La notion de "traitement"
En vertu des articles 4.2 du RGPD et 26.2 de la LPD, on entend par traitement toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données ; {…} ».
La notion de traitement est donc elle aussi très large dans la mesure où elle vise « tout ce qui peut être fait avec des données à caractère personnel, tout type d’actions ou d’utilisations des données »[6]. Concrètement, par exemple, la collecte, l’enregistrement et la consultation de vos données à caractère personnel dans la base de données des vaccinations constituent trois opérations de traitement.
En outre, dans le domaine policier, le cycle de l’information est constitué d’une multitude d’opérations de traitement : la collecte de l’information, son enregistrement, sa consultation, son analyse, sa modification, son croisement, sa communication, son effacement, sa destruction ou sa conservation.
La notion de "fichier"
En vertu des articles 4.6 du RGPD et 26.6 de la LPD, on entend par “fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Par conséquent, quel que soit le support, qu’il soit en papier ou électronique, si les données à caractère personnel figurent sur un support non structuré tel que par exemple, un classeur reprenant des données en vrac, il ne s’agira pas d’un fichier et la protection des données à caractère personnel ne s’appliquera pas.
A contrario, un document reprenant les heures d’arrivée et de sortie du personnel ou un listing des membres du personnel constituent chacun un fichier. Il n’est en outre pas nécessaire que les données du fichier se trouvent physiquement au même endroit.
En conclusion, ce n’est que lorsqu’on est en présence de données à caractère personnel et que celles-ci sont traitées dans un fichier, que le droit à la protection des données à caractère personnel s’applique. La règlementation prévoit toutefois quelques exceptions.
Ainsi, si je traite des données uniquement à des fins privées, elles ne tombent pas sous l’application de la loi ou du Règlement. C’est le cas d’'un agenda papier ou électronique, d’un listing d’invités à un anniversaire, une caméra de surveillance dans la partie privative d’un immeuble,[7] etc.
Maude BIETTLOT
Juriste-criminologue
Maria ZACCARIA
Juriste spécialisée en droit de la protection des données
Avec la collaboration de Philippe Baeten, juriste, expert en RGPD
[1] C.E.D.H., 3 avril 2007, arrêt Copland, requête 62617/00.
[2] C.J.U.E., 20 décembre 2017, arrêt Novak, C‑434/16.
[3] C.J.C.E., 6 novembre 2003, arrêt Lindqvist, C-101-01.
[4] Sauf si on parvient à les individualiser.
[5] Degrave, E., (sous la dir. de), L'ABC du RGPD : dictionnaire pratique à destination des administrations, Namur, Union des villes et communes de Wallonie, 2018 ; De Terwangne, C., « Définitions clés et champ d’application du RGPD », in C. De Terwangne et K. Rosier (sous la dir.), Le règlement général sur la protection des données (RGPD/GDPR) : analyse approfondie, 2018, Bruxelles, Larcier.
[6] De Terwangne, C., op. cit., p. 66.
[7] La loi réglant l'installation et l'utilisation de caméras de surveillance sera quant à elle d’application.