L’intelligence artificielle, la réparation du dommage corporel et l’assurance

Interface homme-machine.- Qui consomme des biens et des services sur le web a dû, à un moment ou un autre, avoir été prié par un système d’informations d’attester qu’il n’était pas une machine… Voilà une bien singulière révolution. C’est dire combien la fameuse IHM – interface homme-machine – est pleine de virtualités potentielles qui échappent encore à beaucoup de gens, juristes compris dont la production de droit est encore (et pour l’essentiel) artisanale tandis qu’elle aspire pourtant ici et là à l’industrialisation.

Algorithmisation.- La question des rapports qu’entretiennent intelligence artificielle, réparation du dommage corporel et assurance se pose plus particulièrement depuis que la nouvelle économie (celle de la  startup nation, du big data,de l’open data, de la data science et des legaltechs) rend possible l’algorithmisation du droit. En résumé, il se pourrait fort bien que les affaires des hommes puissent être gouvernées par une intelligence artificielle et que, pour ce qui nous concerne plus particulièrement, la liquidation des chefs de préjudices corporels puisse être plutôt bien dite à l’aide d’outils de modélisation scientifique et ce par anticipation.

Clef de voûte.- Anticipation. Voilà la clef de voûte, qui ne saurait exclusivement avoir partie liée avec la cinématographie, la météorologie ou bien encore la cartomancie. C’est que le désir de connaître est irrépressible, toutes les parties intéressées recherchant le montant des dommages et intérêts compensatoires en jeu. Quant à l’assureur du risque de responsabilité civile, le calcul de la provision technique ne souffre pas le doute (pas plus que le calcul de la dotation générale de fonctionnement des fonds d’indemnisation et de garantie). Seulement voilà, la variance du risque de responsabilité est telle que son assurabilité est structurellement précaire. Aussi, et à titre très conservatoire à ce stade, peut-on inférer de l’intelligence artificielle une baisse significative de ladite variance pour les uns et une augmentation remarquable de la prévoyance pour les autres.

Ternaire.- À la question posée de savoir quel apport au singulier est-on en droit d’attendre de l’intelligence artificielle à la réparation du dommage corporel, toute une série de mots peut être convoquée, lesquels mots, une fois regroupés, forment un ternaire : prévisibilité, facilité, sécurité et qui participent, plus fondamentalement de l’égalité de tout un chacun devant la connaissance.

C’est ce qui sera montré en premier lieu, à savoir combien, et c’est heureux au fond, l’égalité apportée par l’algorithmisation du droit de la réparation du dommage corporel est profitable I). Chose faite, une fois le projecteur braqué sur les tenants de l’intelligence artificielle, il importera, en second lieu, d’attirer l’attention sur les zones d’ombres et les aboutissants de l’algorithmisation de la matière pour dire combien ladite égalité est trompeuse en ce sens qu’elle n’est que nominale (II).

I.- Heureuse et profitable égalité apportée par l’algorithmisation de la réparation du dommage corporel

La connaissance par toutes les parties intéressées du quantum des dommages et intérêts susceptibles d’être grosso modo alloués dans un cas particulier participe d’une heureuse et profitable égalité. La data science et l’algorithmisation de la réparation du dommage corporel autorisent à croire, d’une part, que l’égalité sous étude est faisable techniquement et donnent à penser, d’autre part, qu’elle est opportune politiquement.

A.- Faisabilité technique

Réservation.- Le recours à l’intelligence artificielle dans le dessein de garantir à tout un chacun un égal accès à la connaissance est faisable techniquement bien que la liquidation des chefs de préjudices corporels soit un exercice relativement complexe, qui est l’affaire de personnes sachantes qui ne sont pas très nombreuses ni pas toujours très faciles à identifier.

Rares sont les justiciables qui savent que la maîtrise du droit du dommage corporel est une spécialité que peuvent renseigner quelques avocats-conseils[1] et un contentieux exclusivement confié aux tribunaux judiciaires à défaut de transaction[2]. Rares sont encore les juristes ou les personnes instruites qui peuvent sans trop de difficultés s’aventurer. Ce n’est pas à dire qu’aucune formation ne soit proposée ni qu’aucune source doctrinale ou jurisprudentielle ne soit accessible en la matière. Bien au contraire. Seulement voilà, la connaissance élémentaire du droit de la réparation du dommage corporel se monnaye (formation, abonnement, honoraires) tandis que, dans le même temps, toutes les règles qui organisent le paiement des dommages et intérêts compensatoires sont désormais en libre accès. Cela a été bien vu par les faiseurs de systèmes algorithmiques qui sont très désireux de proposer à la vente quelques nouveaux services, considérant à raison que la connaissance pure est à présent libre de droits. Nous y reviendrons.

Invention.- Pour l’heure, faute de traitement automatisé des données ni de référentiel indicatif d’indemnisation des préjudices corporels 2.0, toutes les personnes intéressées sont laissées à leur imagination fertile et leurs ressources techniques respectives pour gagner en efficacité. Il faut bien voir que le dommage causé est irréversible et le retour au statu quo ante illusoire. Aussi bien les opérateurs économiques ont-ils toujours recherché un moyen de procéder méthodiquement tantôt pour informer, tantôt pour conseiller, tantôt pour transiger, tantôt pour juger : toujours, et invariablement, pour économiser du temps (à tout le moins)[3]. L’élaboration d’étalonnages s’est donc nécessairement faite de façon manuelle mais confidentielle pour l’essentiel par chacun des acteurs de la réparation : maximisation de l’allocation des ressources oblige.

Disruption.- Les algorithmiciens ont trouvé dans le droit un terrain fructueux d’expérimentation. Les juristes ont d’abord résisté. Ils sont nombreux à continuer du reste en repoussant l’algorithmisation. Et de soutenir que le droit est affaire des seuls femmes et hommes passés grands maîtres dans l’art de liquider les chefs de préjudices corporels et de garantir le principe de la réparation intégrale. Mais aussi vertueuse soit la démarche, qui est animée par le désir de protéger au mieux les victimes, n’est-il pas douteux qu’on puisse continuer de s’opposer à toute invention qui participerait d’un égal accès à la connaissance ? Car, c’est ce dont il semble bien être question en vérité.

D’ingénieux informaticiens accompagnés par d’audacieux juristes ont fait le pari que l’algorithmisation du droit n’était pas une lubie de chercheurs désœuvrés et par trop aventureux mais une remarquable innovation de rupture. Innovation qui se caractérise précisément par la modification d’un marché en l’ouvrant au plus grand nombre.

Il faut bien voir que le droit aspire (naturellement pourrait-on dire) à l’algorithmisation. On l’a montré ailleurs[4]. La structuration de la règle juridique est de type binaire (qualification juridique/régime, conditions/effets, principe/exception…). Quant à sa révélation, elle est mathématique (ou presque) en ce sens qu’elle suppose employées quelques méthodes éprouvées d’exploration et de résolution des problèmes. Ainsi présenté, le droit ressemble assez au langage des microprocesseurs des ordinateurs, au code qui est utilisé dans les technologies de l’information et de la communication. Le juriste et l’informaticien, le législateur et l’ingénieur, ne parleraient-ils pas le même langage en fin de compte ou, à tout le moins, un langage plus commun qu’il n’y paraît de prime abord ?

En résumé, l’algorithmisation sous étude participe très certainement d’un égal accès à la connaissance. Non seulement, il est techniquement faisable de le garantir mais, plus encore, il est politiquement opportun de procéder.

B.- Opportunité politique

Open data.- Les industriels n’ont pas manqué de relever le caractère assez artisanal de nombreux pans ou chaînes de production du droit. Dans le même temps, jamais le volume de données disponibles en France et mises à disposition pour une utilisation gratuite n’a été si grand[5]. Tout Legifrance, tous les arrêts de la Cour de cassation, toutes les décisions du Conseil d’État sont en open data (https://www.data.gouv.fr). Il en sera de même sous peu de tous les arrêts rendus par les cours judiciaires d’appel.

Datajust.- Sur cette pente, le Gouvernement a publié un décret n° 2020-356 du 27 mars 2020 Datajust ayant pour finalité le développement d’un algorithme destiné précisément à permettre l’élaboration d’un référentiel indicatif d’indemnisation des préjudices corporels. Peu important les critiques qui ont pu être formulées quant au déploiement du dispositif, l’intention était des plus intéressantes[6]. Saisi, le Conseil d’État considérait du reste le 30 décembre dernier qu’il n’y avait aucune raison d’annuler ledit décret[7]. Le 13 janvier dernier, le ministère de la justice faisait pourtant machine arrière et renonçait (pour l’instant) à l’expérimentation.

Justice algorithmique.- Que l’algorithmisation de la réparation du dommage corporel fasse naître quelques craintes, et que la méthode employée soit critiquable, personne n’en disconviendra. Il faut bien voir que pratiquer une intelligence artificielle dans notre cas particulier, c’est une sacrée entreprise, à savoir : renseigner la créance de réparation de la victime et la dette de dommages et intérêts du responsable. En bref, c’est dire du droit assisté par ordinateur et possiblement faire justice. Que l’IA participe du règlement amiable des différends, chacun étant peu ou prou avisé de ses droits et obligations respectifs, que, partant, le référentiel indicatif d’indemnisation des préjudices corporels désengorge les tribunaux, c’est chose. Seulement voilà, toute cette ingénierie n’est acceptable que pour autant que l’algorithmisation de la réparation n’est pas l’affaire des seuls opérateurs économiques, privés s’entend[8].

Service public.- Il serait des plus opportuns que l’État s’applique à développer un algorithme et/ou à réguler les modèles mathématiques existants : service public du droit et de la  justice oblige. La nature est ainsi faite qu’elle exècre le vide. Les systèmes algorithmiques à visée indemnitaire ne sont plus du tout underground pendant qu’ils sont autrement plus fructueux que les publications (sans préjudice de leur qualité naturellement) qui consistent à renseigner les pratiques des juridictions (pour l’essentiel), des barémisations, des nomenclatures, des référentiels.  Seulement, en l’état, lesdits systèmes ne sont pas régulés du tout. Or c’est d’aide à la décision juridique et juridictionnelle dont il est question. Sous couvert de participer à la défense d’un égal accès à la connaissance de tout un chacun, ces legal startups pourraient donner à penser aux victimes et à celles et ceux qui pratiquent leurs algorithmes que le droit serait une suite sans discontinuité ni rupture de données élémentaires que rien ne ferait plus mentir. Chose faite, seul le fort, à savoir celui qui a la connaissance du droit et la puissance rhétorique de se disputer, saurait déjouer la vérité algorithmique. La prudence est donc de mise.

C’est ce qu’il importe à présent d’aborder à savoir qu’à la différence de l’ordre juridique, l’ordre numérique ne promeut qu’une bien trompeuse égalité nominale.

II.- Trompeuse et nominale égalité apportée par l’algorithmisation de la réparation du dommage corporel

L’égalité nominale d’accès à la connaissance est trompeuse pour deux séries de raisons. D’une part, l’accaparement de l’algorithmisation par les juristes et plus généralement par toutes les personnes intéressées est vraisemblablement tronquée (A). D’autre part, le chiffrement des règles de droit réalisé par les algorithmiciens est possiblement biaisé (B).

A.- Accaparement tronqué

Efficience.- L’accaparement par tout un chacun des référentiels indicatifs d’indemnisation des préjudices corporels peut être tronqué en ce sens que si la réparation algorithmique lève l’asymétrie d’information et facilite la liquidation des chefs de préjudices réparables, le trait qui sépare simplification et simplisme n’est pas épais. Prenons garde à ce que sous couvert de facilitation, il ne s’agisse pas bien plutôt de supplantation.

La réparation algorithmique a un mérite : elle simplifie très notablement la recherche de la vérité pendant qu’elle réduit les coûts de production. Mais à la manière d’un code juridique imprimé par un éditeur dont le maniement des notes sous articles est des plus commodes pour le spécialiste mais se révèle être un faux ami pour celui qui s’y aventure à l’occasion, le code informatique pourrait tromper ses utilisateurs les moins avertis, qu’ils soient juristes ou bien profanes.

Performativité.- On écrit, comme pour nous rassurer, que les référentiels d’indemnisation quels qu’ils soient ne sont qu’indicatifs, qu’ils ne seraient tout au plus que des vade-mecum. Seulement, il est bien su que le savoir algorithmique est performatif (normatif)[9]. Qu’on le veuille ou non, et les faits sont têtus, l’utilisation de ces outils finit toujours par être mécanique. L’expérience de l’évaluation barémisée du dommage corporel prouve trop. Les experts médicaux se départissent mal des gradations des atteintes renseignées dans leurs livres de travail. Aussi le juriste expert pourrait-il ne pas faire bien mieux à l’heure de monétiser les chefs de préjudices objectivés à l’aide de l’algorithme. Et la personnalisation nécessaire des dommages et intérêts d’être alors reléguée.

Mais il y a plus fâcheux encore car ce premier risque est connu. C’est que le chiffrement des règles juridiques est possiblement biaisé tandis que les intelligences artificielles destinées à suggérer le droit sont des systèmes à haut risque au sens de la proposition de règlement du 21 avril 2021 de la commission européenne sur l’usage de l’IA. Un pareil effet ciseau est aussi remarquable qu’il prête à discussion.

B.- Chiffrement biaisé

Implémentation.- Tant que les machines ne penseront pas par elles-mêmes (machine learning), l’implémentation des données sera encore la responsabilité de femmes et d’hommes rompus à l’exercice. L’interface homme-machine suppose donc l’association de professionnels avisés des systèmes complexes qu’ils soient juridiques ou numériques. Il importe donc que leur qualité respective soit connue de tous les utilisateurs, que la représentativité (qui des avocats de victimes de dommages corporels, qui des fonds d’indemnisation et de garantie, qui des assureurs) ne souffre pas la discussion. C’est d’explicabilité dont il est question ou, pour le dire autrement, d’éthique de la décision.

Pourquoi cela ? Eh bien parce qu’il faut avoir à l’esprit que les informations renseignées par un système d’information quel qu’il soit (output) sont nécessairement corrélées aux données qui sont entrées (input). C’est très précisément là que réside le biais méthodologique et le risque que représente la réparation algorithmique du dommage corporel, biais et risque qui font dire que l’égalité d’accès à la connaissance n’est que nominale ou apparente, c’est selon.

Indexation.- En bref, il importe de toujours rechercher qui a la responsabilité de sélectionner puis de rentrer la donnée pertinente et aux termes de quel protocole. C’est d’indexation dont il est question techniquement. Les données primitives exploitées par l’algorithme doivent être connues des utilisateurs, une révision des contenus doit être programmée, des évaluations et crash-tests doivent être faits…entre autres conditions. C’est ce qu’il est désormais courant d’appeler « gouvernance des algorithmes »[10]. Il ne faut jamais perdre de vue la puissance normative de la modélisation mathématico-juridique ainsi que les biais algorithmiques.

En bref, la logique mathématique ne saurait jamais être complètement neutre. C’est le sens des théorèmes d’incomplétude formulés par Kurt Gödel (1931).

En guise de conclusion, à la question de savoir quel est l’apport de l’IA en droit de la réparation du dommage corporel, l’égalité d’accès à la connaissance est une première réponse qui confine à une quasi certitude. En revanche, à la question de savoir si l’algorithmisation est de nature à faciliter le travail des sachants ou bien à les supplanter, le doute est de mise.

Certains soutiendront qu’il n’appartient pas à la raison mathématique de gouverner les affaires humaines ; que le droit est un art subtil qui échappe encore à la machine qui consiste à concilier deux impératifs antagonistes : la sécurité (pour permettre une prévisibilité suffisante de la solution) et la souplesse (pour permettre son adaptation à l’évolution sociale) ; que, partant, la mathématisation du droit est illusoire.  

D’autres défendront que l’algorithmisation, aussi imparfaite soit-elle en droit, n’est pas praticable en économie car elle est inflationniste : les parties intéressées considérant la donnée non pas comme un indicateur en-deçà duquel on peut raisonnablement travailler mais une jauge au-delà de laquelle on ne saurait que toujours aller.

Les arguments des uns et des autres renferment une part de vérité. Ceci étant, si l’on considère qu’il n’est pas déraisonnable du tout d’imaginer que le mouvement d’algorithmisation de la réparation des dommages continue de s’amplifier, une nouvelle question ne manquera pas alors de se poser. La voici : veut-on que du droit soit suggéré par des algorithmes (privés) faiseurs de loi ou bien par un législateur faiseur d’algorithmes (publics) ?


[1] Règlement intérieur national de la profession d’avocat, art. 11-2.

[2] Art. L. 211-4-1 c. org. jud.

[3] Voy. not. en ce sens, S. Merabet, La digitalisation pour une meilleure justice. A propos du plan d’action 2022-25 de la Commission européenne pour l’efficacité de la justice, Jcp G. 2022.5.

[4] La réparation algorithmique du dommage corporel : binaire ou ternaire ?, Resp civ. et assur. mai 2021, étude 7 ; Intelligence artificielle et réparation des dommages in La responsabilité civile et l’intelligence artificielle, Bruylant 2022, à paraître.

[5] Arr. du 24 juin 2014 rel. à la gratuité de la réutilisation des bases de données juridiques de la direction de l’information légale et administrative.

[6] Voy. not. J. Bourdoiseau, Datajust ou la réforme du droit de la responsabilité à la découpe, Lexbase 23 avr. 2020, n° 821 ; R. Bigot, Datajust alias Themis IA, Lexbase 07 mai 2020.

[7] CE, 10e et 9e ch. réunies, 30 déc. 2021, n° 440376.

[8] Voy. par ex. J. Horn, Exemple d’utilisation d’une solution IA développée par une legaltech dans des contentieux PI – Utilisation de LitiMark, Dalloz IP/IT 2021.263.

[9] Voy. not. L. Viaut, L’évaluation des préjudices corporels par les algorithmes, Petites affiches 31 mai 2021, p. 10.

[10] Voy. not. L. Huttner et D. Merigoux, Traduire la loi en code grâce au langage de programmation Catala, Dr. fiscal févr. 2021.121. Voy. aussi Autorité de contrôle prudentiel et de résolution, La transformation numérique dans le secteur français de l’assurance, analyses et synthèses n° 132, 2018 ; Institut Montaigne, Algorithmes : contrôle des biais, rapport, mars 2020 (https://www.institutmontaigne.org/publications/algorithmes-controle-des-biais-svp)

Article à paraître Dalloz IP/IT 2022

La notion de donnée à caractère personnel

L’article 2, al. 2 de la loi informatique et libertés prévoit que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Il ressort de cette disposition que la notion de données à caractère personnel est définie de manière relativement large.

À titre de remarquer liminaire, il convient d’observer que la notion de « données à caractère personnel » a été substituée à celle « d’informations nominatives » par la loi du 6 août 2004.

Initialement, la loi du 6 janvier 1978 prévoyait, en son article 4 (ancien), que « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »

Désormais, on ne parle plus d’informations nominatives, mais de données à caractère personnel.

Ce glissement sémantique résulte de la prise en compte des progrès des techniques d’identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion « d’information nominative » suggérait qu’elle ne recouvrait que les éléments d’identification entretenant une proximité avec le nom de la personne visée.

Or son périmètre était, en réalité, bien plus large, notamment en raison du développement des mesures d’identification indirect.

La notion de « donnée à caractère personnel » est donc apparue plus pertinente, en ce qu’elle permet de couvrir des informations permettant tant l’identification, tant directe, qu’indirecte de la personne.

En pratique d’ailleurs, la CNIL avait adopté une conception large des informations nominatives, en incluant, par exemple, les numéros de téléphone, les plaques d’immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d’identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, permet ainsi d’éviter l’obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d’État entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public, qui a pour effet de restreindre la liberté d’accès aux documents administratifs.

En toute hypothèse, il apparaît que la définition retenue par le législateur comporte plusieurs éléments :

I) Toute information

L’expression « toute information » que l’on retrouve dans la définition, tant de la loi informatique et libertés, que dans le RGPD manifeste clairement la volonté du législateur d’élaborer un concept large des données à caractère personnel.

==> Sur la nature des informations

Le concept de données à caractère personnel englobe toutes sortes de renseignements à propos d’une personne. Il peut s’agir d’informations «objectives» telles qu’une particularité sanguine de la personne concernée, comme il peut aussi s’agir d’informations «subjectives» sous forme d’avis ou d’appréciations.

Ce dernier type de renseignements représente une grande partie du traitement des données à caractère personnel dans des secteurs tels que celui des banques, pour l’évaluation de la fiabilité des emprunteurs («X est un emprunteur fiable»), des assurances («X ne devrait pas mourir dans un proche avenir») ou de l’emploi («X est un bon travailleur et mérite d’être promu»).

Pour être considérées comme des « données à caractère personnel », il n’est pas nécessaire que ces informations soient vraies ou prouvées.

En réalité, les règles de protection des données envisagent déjà que des informations puissent être incorrectes et prévoient pour la personne concernée le droit d’accéder à ces informations et de les contester par des voies de recours adéquates.

==> Sur le contenu des informations

On entend par «données à caractère personnel» toutes sortes d’informations.

Cela couvre évidemment les informations à caractère personnel considérées comme «données sensibles», au sens de la loi informatique et libertés, en raison du fort potentiel de risque qu’elles présentent, mais également des informations plus générales.

L’expression «données à caractère personnel» englobe les informations touchant à la vie privée et familiale d’une personne physique, stricto sensu, mais également les informations relatives à ses activités, quelles qu’elles soient, tout comme celles concernant ses relations de travail ainsi que son comportement économique ou social.

Il s’agit donc d’informations concernant des personnes physiques, indépendamment de leur situation ou de leur qualité (en tant que consommateurs, patients, employés, clients, etc.).

==> Sur le format des informations ou du support utilisé

Le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques.

Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo.

C’est une conséquence logique de l’intégration du traitement automatisé des données à caractère personnel dans son champ d’application. Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique.

Par ailleurs, il n’est pas nécessaire, pour que ces informations soient considérées comme données à caractère personnel, qu’elles soient contenues dans une base de données ou un fichier structuré. Les informations contenues sous forme de texte libre dans un document électronique peuvent également être reconnues comme des données à caractère personnel, pour autant que les autres critères énoncés dans la définition des données à caractère personnel soient remplis.

Les courriers électroniques contiennent par exemple des « données à caractère personnel ».

II) Des données portant sur une personne physique

Une donnée ne peut être regardée comme revêtant un caractère personnel, qu’à la condition qu’elle porte sur une personne physique.

Le concept de «personne physique» est évoqué à l’article 6 de la Déclaration universelle des droits de l’homme qui se lit comme suit: « chacun a le droit à la reconnaissance en tous lieux de sa personnalité juridique. »

La personnalité juridique n’est autre que la capacité à être sujet de droit, de la naissance de l’individu jusqu’à son décès.

Les données personnelles sont dès lors, par principe, des données qui concernent des personnes vivantes identifiées ou identifiables.

Il s’ensuit plusieurs conséquences :

==> Exclusion des données portant sur une personne décédée

Les informations relatives à des personnes décédées ne sauraient, en principe, être considérées comme des données à caractère personnel soumises aux règles du RGPD, dans la mesure où, conformément au droit des personnes, elles ne sont plus des personnes physiques.

Telle est la solution retenue par le RGPD. Dans son considérant 27, il prévoit en ce sens qu’il n’a pas vocation à s’appliquer aux données à caractère personnel des personnes décédées.

Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

À cet égard, l’article 57 de loi informatique et libertés dispose que « les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit ».

==> Exclusion des données portant une personne morale

Des informations qui seraient collectées sur une personne morale ne relèveraient pas du champ d’application de la loi informatique et libertés.

 Dans son considérant n°14, le RGPD prévoit, à cet égard, que la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Aussi, ce texte n’a pas vocation à couvrir le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Toutefois, comme l’a précisé la Cour de justice des Communautés européennes, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle[1].

Ainsi, certains États membres, tels que l’Italie, l’Autriche et le Luxembourg, ont étendu l’application de certaines dispositions de leur législation nationale transposant la directive (comme celles sur les mesures de sécurité) au traitement de données concernant des personnes morales.

Comme dans le cas des informations relatives aux personnes décédées, il peut arriver, en outre, qu’en vertu des modalités pratiques mises en place par le responsable du traitement des données, des données relatives à des personnes morales soient soumises de facto aux règles sur la protection des données.

Tel sera le cas lorsque des données concernant les dirigeants d’une personne morale seront collectées.

Aussi, dans une délibération n° 85-45, du 15 octobre  1985 la CNIL est venue préciser que « sont indirectement nominatives, quelle que soit la forme de l’entreprise, les informations relatives à la situation et à l’activité de l’entreprise, notamment les informations économiques et financières, dès lors qu’elles permettent l’identification des dirigeants ».

Il en résulte que les informations qui concernent les dirigeants de personnes morales doivent, quant à elles, être considérées comme des données à caractère personnel.

III) Des données permettant d’identifier directement ou indirectement une personne physique

L’article 2 de la loi informatique et libertés prévoit, en substance, qu’une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par référence à un identifiant qui consiste :

  • soit à un numéro d’identification
  • soit à un ou plusieurs éléments qui lui sont propres.

Le RGPD précise que l’identifiant peut prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel, dès lors qu’il permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.

Autant dire que toute information qui porte sur les caractéristiques d’une personne est susceptible d’être qualifiée de donnée à caractère personnel.

À cet égard, l’examen des textes révèle que pour déterminer si une personne est identifiable, deux éléments doivent être pris en compte :

  • L’identifiant attaché à la personne
  • Les moyens d’identification de la personne

Il s’en déduit que les informations anonymes ne peuvent, par nature, pas être qualifiées de données à caractère personnel.

A) Sur l’identifiant attaché à la personne

Pour être qualifiée de donnée à caractère personnel, l’information collectée doit permettre l’identification, directe ou indirecte de la personne visée.

D’une manière générale, on peut considérer une personne physique comme « identifiée » lorsque, au sein d’un groupe de personnes, elle se « distingue » de tous les autres membres de ce groupe.

La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). Cette seconde option constitue donc en pratique la condition de base qui détermine si les informations entrent dans le champ d’application du troisième élément.

L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler «identifiants» et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée.

Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc.

Ainsi peut-on considérer que des informations rendent identifiable une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données « concernant » la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations « concernent » une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes.

Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets

Ainsi, l’identification d’une personne directe peut être directe ou indirecte

1) L’identification directe

S’agissant des personnes «directement» identifiées ou identifiables, le nom de la personne est évidemment l’identifiant le plus courant et, dans la pratique, la notion de «personne identifiée» implique le plus souvent une référence au nom de cette personne.

Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin d’éviter toute confusion entre cette personne et d’éventuels homonymes.

À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent peut être considérée comme concernant une personne identifiée, car elle est liée au nom de cette personne.

Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres personnes avec lesquelles elle établit des relations.

Le nom peut également être le point de départ conduisant à des informations sur le domicile de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales associées à ce nom (scolarité/études, dossier médical, comptes bancaires).

Il est même possible de connaître l’apparence d’une personne si sa photographie est associée à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément d’information initial est alors associé à une personne physique que l’on peut distinguer d’autres personnes.

2) L’identification indirecte

S’agissant des personnes « indirectement » identifiées ou identifiables, cette catégorie relève en général du phénomène des « combinaisons uniques », à quelque degré que ce soit.

Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d’autres éléments d’information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres personnes.

C’est pourquoi la directive précise « un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Certaines caractéristiques, de par leur spécificité, permettent d’identifier quelqu’un sans difficulté («actuel premier ministre espagnol»), mais une combinaison de détails à un niveau catégoriel (tranche d’âge, origine régionale, etc.) peut également s’avérer assez concluante dans certaines circonstances, notamment si l’on a accès à des informations supplémentaires.

Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de ne pas commettre de violation de la confidentialité.

À cet égard, il convient de relever que si l’identification par le nom constitue, dans la pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une personne, notamment lorsque d’autres «identifiants» sont utilisés pour distinguer quelqu’un.

En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et, derrière celle-ci, de son utilisateur.

On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme.

En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité. La définition des données à caractère personnel reflète ce constat.

La Cour de justice des Communautés européennes a statué dans ce sens, considérant que la « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel »[2].

==> Cas de l’adresse IP

La question s’est posée de savoir si l’adresse IP d’un utilisateur pouvait être qualifiée de donnée à caractère personnel.

Techniquement, une adresse IP est attachée, non pas à une personne mais à une machine. Reste, que cette machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire.

La jurisprudence

Sur cette question la jurisprudence a été fluctuante.

Dans un arrêt du 14 décembre 2006, le Tribunal correctionnel de Bobigny a jugé que l’adresse IP constituait bien une donnée à caractère personnel (T. corr. Bobigny, 14 déc. 2006).

À l’inverse, d’un arrêt du 24 août 2006, la Cour d’appel de Pau a retenu une solution radicalement opposée (CA Pau, 24 août 2006, n° 06/593).

La Cour d’appel de Paris a statué dans le même sens dans un arrêt du 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP).

  • Les faits
    • Un prévenu était poursuivi du chef de contrefaçon pour des faits de téléchargement illégal et de mise à disposition des internautes de fichiers musicaux.
    • L’infraction avait été constatée par un agent assermenté d’une société de gestion collective de droits qui a procédé au recueil de l’adresse IP de l’ordinateur du prévenu.
    • Ce dernier prétendait alors que cette opération nécessitait l’obtention d’une autorisation de la CNIL et que le mode de preuve est donc illicite.
    • Cet argument a été écarté par les juges du fond
  • Solution
    • La Cour d’appel de Paris considère arguments le simple constat probatoire de l’élément matériel d’une infraction commise sur Internet par un individu utilisant un pseudonyme, dressé par l’agent, conformément à la législation sur la propriété intellectuelle, ne constitue pas un traitement de données personnelles.
    • Pour elle, seule la plainte auprès des autorités judiciaires a conduit à l’identification de la personne, dans le cadre des règles de procédure pénale.
    • Le relevé de l’adresse IP de l’ordinateur servant à commettre les faits entre dans le constat de la matérialité du délit et non dans l’identification de son auteur.
    • En effet, cette série de chiffres ne constitue pas une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à la personne l’utilisant. Les opérations de traitement de données visant à “la mise en place d’une surveillance automatisée des réseaux peer to peer”, auxquelles la CNIL a refusé l’autorisation à la société de gestion des droits par une décision de 2005, sont très différentes du simple procès-verbal d’un agent assermenté transmis aux autorités judiciaires aux fins d’identification et de poursuite.
    • Par conséquent, le procédé utilisé ne nécessitait nullement l’agrément de la CNIL.

Finalement, la Cour de cassation est intervenue dans un arrêt du 13 janvier 2009. Elle ne s’est toutefois pas prononcée en faveur de la qualification de l’adresse IP en donnée à caractère personnel (Cass. crim., 13 janv. 2009, n° 08-84.088).

À cet égard, elle a considéré que « les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée »

La chambre criminelle a réitéré cette solution dans un arrêt du 23 mars 2010 (Cass. crim., 23 mars 2010, n° 09-80.787).

Alors que la position de la Cour de cassation était pour le moins critiquée, elle a, dans un arrêt du 3 novembre 2016, opéré un revirement de jurisprudence en considérant, sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (Cass, 1ère civ., 3 novembre 2016, n°15-22595).

La haute juridiction s’est ainsi ralliée à la position de la CNIL et de la CJUE.

Cass. 1ère civ. 3 nov. 2016
Attendu, selon l’arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet logisneuf.com ; qu’elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ;

La position de la CNIL

Dans un avis du 2 août 2007, la CNIL avait fait part de son inquiétude s’agissant de l’absence de reconnaissance, par la jurisprudence, de la qualification de données à caractère personnel de l’adresse IP.

Pour la gardienne de la loi informatique et libertés, cette position remet profondément en cause la notion de donnée à caractère personnel qui est très large.

En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

L’ensemble des autorités de protection des données des États membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.

Surtout, la CNIL s’inquiète des répercussions qu’une telle jurisprudence pourrait avoir sur la protection de la vie privée et des libertés individuelles sur internet, de plus en plus largement utilisé par tous, dans notre société

La position du G29

Le groupe de travail de l’article 29 a considéré les adresses IP comme des données concernant une personne identifiable.

Le G29 justifie sa position en relevant que les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet.

Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a), de la directive».

Il apparaît notamment que lorsque le traitement d’adresses IP a été effectué pour identifier les utilisateurs de l’ordinateur (par exemple, par des titulaires de droits d’auteur afin de poursuivre ces utilisateurs d’ordinateurs pour violation de droits de la propriété intellectuelle), le responsable du traitement part du principe que les « moyens susceptibles d’être raisonnablement mis en œuvre » pour identifier les personnes seront disponibles, par exemple par l’intermédiaire des tribunaux saisis (sinon la collecte d’informations serait inutile), de sorte qu’il convient de considérer ces informations comme des données à caractère personnel.

La position de la CJUE

Dans un arrêt du 24 novembre 2011, la CJUE s’est prononcée pour la première fois sur la question de savoir si l’adresse IP pouvait être qualifiée de donnée à caractère personnel (CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended).

Elle a considéré que les adresses IP étaient bien des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs.

Dans un autre arrêt du 19 octobre 2016 elle a confirmé sa jurisprudence en considérant que « une adresse IP (protocole Internet) dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur » (CJUE, 19 oct. 2016, aff. C-582/14).

Ce qui importe, c’est donc que l’information collectée rende la personne identifiable. Or pour qu’une personne soit considérée comme identifiable, il n’est pas nécessaire que tous les moyens d’identification de cette personne se trouvent entre les mains d’une seule entité.

Ainsi, une adresse IP peut constituer une donnée à caractère personnel si un tiers (par exemple, le fournisseur d’accès à Internet) dispose des moyens nécessaires à l’identification du titulaire de cette adresse sans déployer d’efforts démesurés.

Le RGPD

Le considérant 30 du RGPD prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Il se déduit ainsi de ce texte que l’adresse IP constitue bien une donnée à caractère personnel. Le débat semble désormais clos.

Au total, il importe peu qu’une personne puisse être directement ou indirectement identifiée, toute la difficulté étant, au fond, de déterminer, si l’information collectée se rapporte à une personne physique identifiable.

Pour ce faire, il convient de se tourner, soit vers les textes, soit vers la jurisprudence lesquels fournissent plusieurs critères d’appréciations.

B) Sur les moyens d’identification de la personne

L’article 2 de la loi informatique et libertés dispose que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Cela signifie que la simple possibilité hypothétique de distinguer une personne n’est pas suffisante pour considérer cette personne comme «identifiable».

Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas ou qu’elle est négligeable, la personne ne saurait être considérée comme «identifiable» et les informations ne seraient pas des «données à caractère personnel».

Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit notamment prendre en compte tous les facteurs en jeu.

Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.

Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut raisonnablement recourir.

Si les données doivent être conservées pendant une durée d’un mois, il est probable que l’identification ne pourra intervenir pendant la «durée de vie» des informations, et elles ne sauraient dès lors être considérées comme des données à caractère personnel.

Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer alors les mesures techniques et organisationnelles appropriées en temps utile.

En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité visée par le responsable du traitement dans le cadre du traitement des données.

Lorsque la finalité du traitement implique l’identification de personnes physiques, il est permis de penser que le responsable du traitement ou toute autre personne concernée dispose ou disposera de moyen «susceptibles d’être raisonnablement mis en œuvre» pour identifier la personne concernée.

En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.

[1] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 98

[2] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 27.