La notion de personne concernée par un traitement de données à caractère personnel

L’article 2 de la loi informatique et libertés prévoit que « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

De son côté, le RGPD, pris en son article 4, prévoit qu’une personne concernée est « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

D’une manière générale, on peut considérer que les informations «concernent» une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données «concernant» la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations «concernent» une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes. Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets.

Ce principe vaut également pour les données concernant en premier lieu des processus ou des événements, par exemple des informations sur le fonctionnement d’une machine nécessitant une intervention humaine. Il est, dès lors, possible de considérer ce type d’informations comme «concernant» une personne physique

Le G29 a pu relever que « les données concernent une personne si elles ont trait à l’identité, aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ».

Celui-ci ajoute que « pour considérer que les données «concernent» une personne physique, la présence d’un élément de «contenu» OU de «finalité» OU de «résultat» est indispensable ».

  • L’élément de «contenu»
    • Celui-ci est présent lorsque − conformément à la perception la plus évidente et la plus commune dans une société du mot «concerner» − des informations ayant trait à une personne particulière sont communiquées, indépendamment de toute finalité de la part du responsable du traitement des données ou du tiers, ou de l’impact de ces informations sur la personne concernée.
    • Les informations «concernent» une personne lorsqu’elles ont «trait» à cette personne, et une évaluation s’impose à la lumière de l’ensemble des circonstances du cas d’espèce.
    • Par exemple, les résultats d’une analyse médicale concernent manifestement le patient, tout comme les informations contenues dans le dossier au nom d’un certain client concernent celui-ci.
  • L’élément de «finalité»
    • Il peut lui aussi jouer un rôle pour déterminer si des informations «concernent» une certaine personne.
    • Cet élément de «finalité» sera considéré comme présent lorsque les données sont utilisées ou susceptibles d’être utilisées, compte tenu de l’ensemble des circonstances du cas d’espèce, afin d’évaluer, de traiter d’une certaine manière ou d’influer sur le statut ou le comportement d’une personne physique.
  • L’élément « résultat »
    • Même en l’absence de tout élément de «contenu» ou de «finalité», on peut considérer que des données «concernent» une personne physique lorsque leur utilisation est susceptible d’avoir un impact sur certains des droits et intérêts d’une personne, compte tenu de l’ensemble des circonstances du cas d’espèce. Il convient de relever qu’il n’est pas nécessaire que le résultat potentiel ait un impact majeur. Il suffit qu’une personne physique puisse être traitée différemment par rapport à d’autres personnes à la suite du traitement de ces données.

Pour le G29, ces trois éléments (contenu, finalité, résultat) sont à considérer comme des conditions alternatives, et non cumulatives.

Lorsque l’élément de contenu est présent, il n’est pas nécessaire que les autres éléments le soient pour considérer que ces informations concernent la personne. Le corollaire de ce constat est que la même information peut concerner simultanément différentes personnes, selon l’élément en présence pour chacune d’entre elles.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.