Data Protection : points clefs

Cette page dresse la liste des différents points clefs du projet de Règlement général sur la protection des données publié par la Commission européenne. Son objectif est de montrer les problématiques soulevées par chacun de ces points (tels qu’analysés par European Digital Rights ), puis d'identifier la position qu'en prennent les différents comités, parties politiques et lobby européens.

=La définition des personnes concernées et des données personnelles=

Considérants
(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion («cookies») par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d’identification, des données de localisation, des identifiants en ligne ou d’autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure.

Article
Article 4 - Definitions

(1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(2) «données à caractère personnel»: toute information se rapportant à une personne concernée;

La position d'EDRi
L'article 4(1) défini le concept de "personne concernée". En faisant de toute donnée liée à une personne concernée une "donnée personnelle", les critères définissant une "personne concernée" en deviennent déterminants. La définition proposée par le projet est très proche de celle que l'on retrouve actuellement dans la section 2(a) de la Directive 95/46/CE, sauf qu'elle vient clairement préciser qu'une personne doit être considérée comme identifiable dès que le responsable du traitement ou tout autre personne physique ou morale peut l'identifier. Les termes "ou toute autre personne physique ou morale" garantissent la parfaite application du concept d'identifiabilité, permettant la protection des données personnelles que celles-ci soient traitées par le responsable du traitement ou par toute autre personne. Afin de s'assurer que nos données soient correctement protégées au cours de leur traitement, la formule "par des moyens raisonnablement susceptibles d'être utilisés"doit être interprétée suffisamment largement, le responsable du traitement ou des tiers pouvant mettre en oeuvre divers et multiples moyens afin d'identifier une personne concernée. De plus, les avancées techniques étant difficilement prévisibles en cette matière, l'application d'un principe de précaution apparaît comme essentiel. La divulgation par AOL de résultats de recherche "anonymes" devrait être le point référence pour la prise de décision en ce domaine.

Que fait-il considérer comme étant identifiable ?

EDRi défend une conception claire du terme "identifiable". Souvent, une donnée est considérée comme étant non-identifiable ou anonymes alors que, en réalité, elle permet encore de remonter jusqu'à un individi. Une donnée personnelle de devrait pas être considérée comme anonyme tant qu'elle peut encore être désanonymisée. Le "masquage" et la dépersonnalisation des données personnelles, bien qu'efficaces étant que mesures de sécurité, ne devraient pas être utilisés pour déterminée si une donnée est personnelle ou non. Les Considérants 23 et 24 devraient reprendre ce point de vue plus clairement.

Les identifiants en ligne

En relation au concept de donnée personnelle, EDRi considère que le Considérant 24, traitant des identifiants en ligne, est trop souple et ne permettra pas une protection effective des données dans l'environnement en ligne. Cela sèmerait très probablement la confusion quant au statut des identifiants en ligne. Tout comme le démontre la cas AOL mentionné plus haut, les identifiants en ligne, même le simple enregistrement d'adresses IP sans qu'aucun cookie ne soit utilisé, entraîne la création de (nouvelles) données personnelles. Ces données peuvent être combinées avec d'autres données liées à des individus afin d'élaborer des profils d'utilisateurs ainsi que, souvent, d'identifier ces utilisateurs ou de s'octroyer la possibilité de les identifier. De tels identifiants en ligne doivent ainsi être considérés comme des données personnelles dans la majorité des cas, ce qui devrait être clairement mis en lumière tant par le Considérant 24 que par la définition des données personnelles.

Identifiabilité et individualisation Les identifiants en ligne peuvent permettre d'individualiser les individus sans avoir à les identifier. Quand les individu sont individualisés, il devient possible de traiter chacun d'eux différemment, selon son comportement et le profile qui lui est associé. Les données permettant cette individualisation devraient aussi être protégées par le Règlement, ne serait-ce que car la possibilité d'individualiser porte en elle une forte probabilité d'identifiabilité, comme nous l'a montré l'exemple d'AOL.