La notion de traitement de données à caractère personnel

L’article 2 de la loi informatique et libertés définit le traitement de données à caractère personnel comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Il ressort de cette définition, qui est formulée dans les mêmes termes que celle retenue dans le RGPD, qu’un traitement de données à caractère personnel englobe toute opération effectuée sur une donnée à caractère personnel.

Peu importe la complexité du traitement ou ses modalités, dès lors qu’il porte sur une donnée à caractère personnel il entre dans le champ d’application de la loi informatique et libertés.

À cet égard, le texte prévoit qu’il est indifférent que le traitement soit automatisé ou manuel. Cette précision vise à éviter de créer un risque grave de contournement.

Selon le RGPD, la mesure où la protection des personnes physiques doit, en effet, être neutre sur le plan technologique et ne doit pas dépendre des techniques utilisées.

La définition, qui reprend celle figurant à l’article 2 actuel de la loi du 6 janvier 1978, la confirme par référence à l’apparition de procédés techniques liés au développement des technologies de l’information, comme ceux de « communication par transmission », de « consultation » ou de « diffusion » des données à caractère personnel.

Ainsi, le RGPD s’applique à toutes les formes de traitements automatisés, qu’ils se rapportent ou non à l’exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ».

La seule référence à la notion de traitement doit permettre d’appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en œuvre d’une seule des opérations énoncées par l’article 4, 2) du RGPD suffit à caractériser le traitement de données.

Exemples :

==> Enregistrement d’adresses électroniques

Dans un arrêt du 14 mars 2006, la Cour de cassation a considéré que « constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques » (Cass. crim., 14 mars 2006, n° 05-83.423).

==> L’activité de référencement d’un moteur de recherche

Dans un arrêt du 19 juillet 2017, le Conseil d’État a rappelé que « le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société Google Inc., compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France » (CE, 19 juill 2017, GOOGLE INC, n°399922).

Il en déduit que « l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant. »

Dans le même sens, la CJUE avait considéré, dans un arrêt du 13 mai 2014 que « en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche «collecte» de telles données qu’il «extrait», «enregistre» et «organise» par la suite dans le cadre de ses programmes d’indexation, «conserve» sur ses serveurs et, le cas échéant, «communique à» et «met à disposition de» ses utilisateurs sous forme de listes des résultats de leurs recherches. Ces opérations étant visées de manière explicite et inconditionnelle à l’article 2, sous b), de la directive 95/46, elles doivent être qualifiées de «traitement» au sens de cette disposition, sans qu’il importe que l’exploitant du moteur de recherche applique les mêmes opérations également à d’autres types d’information et ne distingue pas entre celles-ci et les données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, pt 88).

==> Identification de personnes sur des pages web

Dans un arrêt du 6 novembre 2003, la CJUE a considéré que constituait un traitement de données à caractère personnel « l’opération consistant à faire référence sur une page internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple à leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps » (CJCE, 6 nov. 2003, aff. C-101/01, Linqvist, pt 27).

==> Publicité ciblée

Dans une communication présentée en séance plénière le 5 février 2009, la CNIL a considéré que « dès lors que la publicité ciblée en ligne repose par exemple sur des goûts et comportements qui peuvent être rattachés à un individu identifié ou identifiable, elle doit être opérée dans le respect des principes de la protection des données ».

Il en résulte, selon elle, que « l’analyse des comportements d’achats dans le but de personnaliser la publicité adressée aux internautes, n’est possible que si l’internaute en a été préalablement informé, et mis en mesure de s’y opposer voire même d’y consentir si la publicité est adressée par voie électronique ».

==> Enregistrement dans un répertoire informatique de notes relatives à l’appréciation d’un salarié

Dans un arrêt du 8 septembre 2015, la Cour de cassation a estimé que le fait pour une responsable de service d’enregistrer dans un répertoire informatique identifié deux notes qu’il a rédigées faisant état d’appréciations portées sur le travail de l’un de ses subordonnés dans l’objectif de procéder à son évaluation constituait un traitement de données à caractère personnel (Cass. crim. 8 sept. 2015, n° 13-85587).

Au soutien de sa décision, la chambre criminelle relève que « des notes faisant état d’appréciations personnelles sur la manière de servir de M. X…, responsable du pôle « études » au centre d’études européennes, devenu, en 2006, une direction de l’Ecole nationale d’administration, et rédigées par M. Y…, responsable de cette direction, ont été enregistrées au nom de la secrétaire de ce dernier sur un répertoire informatique qui était accessible à tous les personnels du service ».

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.