Lorsque le comité de gouvernance de la data des professionnel(le)s de PRO BTP réfléchit à la notion de données personnelles, de pseudonymisation et d’anonymisation, je réponds présent, en direct live ce jeudi 3 décembre 2020.
comprendre la notion de "données personnelles"
Que nous dit l’article 4 du RGPD (Règlement UE n°2016/679 du 27 avril 2016) :
« «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable« .
Faisons simple : des « personnes physiques identifiées », ce sont de « vraies » personnes, qu’elles soient salarié(e)s, client(e)s, fournisseurs, prospects, internautes naviguant sur un site web (des clients ou des prospects, donc), etc.
Et les « informations » en question ? Ce sont les noms, prénoms, adresse (postale, électronique, etc.).
Jusque là, c’est assez facile à comprendre.
Plus complexe (en apparence), les personnes physiques « identifiables ».
En fait, là aussi, c’est assez simple : si vous identifiez un « terminal » avec un grande certitude technique, vous identifiez aussi la « vraie » personne qui utilise ce terminal.
Bref, si vous savez que vous traitez des données personnelles, il faudrait les pseudonymiser, surtout lorsque vous les mettez à disposition d’un prestataire pour traitement…
« terminal » ? Il faut aller chercher dans la Directive n°2008/63/CE du 20 juin 2008 :
« tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations… »
Et comment on identifie un terminal ? Il faut utiliser des « métadonnées », ces fameuses données techniques permettant de transférer des données de contenu d’un terminal vers un autre terminal.
Une définition des « métadonnées » ? Rien de figé à ce jour, il faut allez chercher dans le projet de Règlement UE « e-Privacy » (toujours en discussion depuis janvier 2017) :
[article 4.3] « métadonnées de communications électroniques » [désigne] les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication« .
Une jurisprudence récente ?
La Cour de cassation vient de nous rappeler que l’adresse IP est bien une données à caractère personnel (arrêt n°1119 du 25 novembre 2020).
Si vous souhaitez approfondir ces différents aspects, vous pouvez consulter (gratuitement et en ligne) ma présentation en BD « données personnelles et jurisprudence 2011-2020« .
[méta]données personnelles et pseudonymisation ? dans le slider ci-dessous
données personnelles pseudonymisation anonymisation ?
Pourquoi la pseudonymisation ?
Tout simplement parce que le RGPD l’impose comme un des moyens d’assurer la sécurité d’un traitement de données personnelle !
Evidemment, la définition RGPD de la « pseudonymisation » est particulièrement pénible à lire…
Alors, voyons le « concept » en une slide.
données personnelles pseudonymisation et anonymisation ?
Une fois que vous avez intégré la mécanique intellectuelle permettant d’isoler les données « directement identifiantes » d’une personne et les « autres » données qui peuvent se rapporter à elle, l’anonymisation se comprend beaucoup plus facilement.
les slides expliquant données personnelles pseudonymisation anonymisation ? c'est ici !
données personnelles pseudonymisation anonymisation et droit des bases de données ?
Si vous opérez une base de données, que cette base de données contienne des données personnelles ou des données d’une autre nature (y compris des données anonymisées) ?
Etes vous le « producteur » du contenu de cette base de données ?
Disposez vous du droit d’extraire tout ou partie du contenu d’une base de données dont vous n’êtes pas le « producteur » ?
« producteur » du contenu d’une base de données ?
quelle protection pour le contenu d’une base de données ?
le « droit d’extraction » ?
Bienvenue dans le régime juridique (souvent oublié) de la Directive n°96/9/CE du 11 mars 1996.
Je vous rappelle juste que le on-respect des droit du producteur du contenu d’une base de données est sanctionné pénalement par l’article L.343-4 du Code de la propriété intellectuelle.
vous avez aimé les BD illustrant ces explications juridiques et techniques autours des données personnelles ?
Merci aux éditions Delcourt Soleil !!!
