Données personnelles : ne pas confondre pseudonymisation et anonymisation

Enjeu encore réaffirmé par le RGPD du 27 avril 2016, applicable en mai 2018, le Conseil d’Etat s’est récemment prononcé suite au refus de la CNIL d’accorder à la société JC DECAUX une autorisation de capter les données personnelles de passants s’approchant de panneaux publicitaires.

 

Destinées à analyser certains comportements, ces données devaient être recueillies par un système de traitement automatisé, mais où le titulaire des données se serait vu attribuer un pseudonyme numérique, et non préservé par un anonymat renforcé.

 

Ce faisant, le juge administratif a estimé la protection de l’individu insuffisante, estimant que le pseudonyme ne valait pas l’anonymat, dès lors que « le gestionnaire du traitement [est] en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’intégrer des informations le concernant » https://www.legalis.net/jurisprudences/conseil-detat-10eme-9eme-ch-reunies-decision-du-8-fevrier-2017/

 

CE, 10ème – 9ème ch. Réunies, décision du 8 février 2017

 

Données personnelles : florilège de jurisprudences et règlementations restrictives

En attendant de voir sanctuariser la protection légitime des données de l’entreprise (notre tribune : https://www.lesechos.fr/idees-debats/cercle/0211566959200-le-secret-des-affaires-une-legitime-defense-pour-les-entreprises-2050940.php ), les données personnelles font l’objet d’une attention toute particulière par les autorités.

 

Avec cependant quelques tempéraments et atténuations :

 

-          Le décret n°2017-154 du 8 février 2017 ajoute une nouvelle dispense de publication d’un acte d’autorisation d’un fichier de traitement de données personnelles pour Sûreté de l’Eta https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=184247C5E7D37B9405AD5439E451EBEC.tpdila15v_2?cidTexte=JORFTEXT000000649189&idArticle=LEGIARTI000034022434&dateTexte=20170331&categorieLien=id#LEGIARTI000034022434.

 

-          Le décret n°2017-349 du 20 mars relatif à la procédure d’accès sécurisé aux bases de données publiques, soumise à l’avis préalable du comité du secret statistique (comme limite à l’open data) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000034228129&fastPos=1&fastReqId=2079592799&categorieLien=cid&oldAction=rechTexte

 

-          Où une personne inscrite dans les registres d’une société commerciale ne peut invoquer le « droit à l’oubli » https://www.legalis.net/actualite/pas-de-droit-a-loubli-pour-des-donnees-personnelles-dans-un-registre-des-societes/ CJUE 9 mars 2017

 

-          Où le consentement d’un abonné pour figurer dans un annuaire téléphonique vaut également également dans d’autres états membres https://www.legalis.net/jurisprudences/cour-de-justice-de-lunion-europeenne-2eme-ch-arret-du-15-mars-2017/ CJUE 15 mars 2017

 

-          Où Free s’est vue imposer le déblocage des adresses de courrier électronique xx@free.fr au titre de sa politique anti spamming, au motif que « la société Free n’était nullement chargée » de se substituer à la CNIL https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-1-ch-8-arret-du-10-mars-2017/ CA Paris, référé, 10 mars 2017

 

Utilisation des données personnelles et respect de la vie privée

A l’heure du big data et du data mining, où la donnée est devenue le pétrole du 21ème siècle pour les opérateurs économiques prédictifs, la limite de l’exercice, en Europe, est fixée par la finalité de la collecte des données personnelles, même si mes GAFA ne s’embarrassent pas de telles pudeurs, régulièrement rappelés à l’ordre par les autorités européennes.

 

En France, la CNIL issue de la Loi informatique et libertés a étalonné sa doctrine et inspiré les tribunaux français comme les instances européennes G29) dont le modèle a été repris en 1995 (directive sur les données personnelles).

 

A ce titre, la Cour de Justice de l’Union Européenne (CJUE) a eu à se prononcer sur la qualification de donnée personnelle, dès lors soumise à contrôle et autorisation préalable de l’autorité numérique de tutelle. En l’espèce, l’adresse IP d’un internaute, conservée par un hébergeur, a été considérée comme étant une donnée personnelle soumise à déclaration.

 

CJUE, 19 octobre 2016

 

Sur le même principe du respect fondamental de la vie privée, alors même que la finalité exposée était le suivi de la flotte de véhicule et le souci d’alléger les tâches des salariés, l’utilisation de boîtiers électroniques embarqués sur les véhicules de l’opérateur téléphonique (Fleet Performance) a été invalidée, suite à un recours du CNHSCT.

La Cour d’appel de Paris a estimé qu’un tel « mouchard » procédant par géolocalisation était trop intrusif, portant une atteinte disproportionné aux droits des personnes.

 

CA Paris, 29 septembre 2016

https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-6-ch-2-arret-du-29-septembre-2016/

 

Et encore, l’emploi de détectives privés (ARP) pour s’assurer que l’assuré n’avait pas fraudé l’organisme de prise en charge, quand bien même les éléments recueillis auraient été obtenus sur la voie publique, porte atteinte à la vie privée.

 

CEDH, 18 octobre 2016, n°61838/10