Les données subjectives dont les commentaires sont aussi des données à caractère personnel…

Récemment la Cour de Justice de l’Union Européenne a fourni dans son jugement « Nowak » une nouvelle interprétation de ce qui doit être considéré comme étant des données à caractère personnel et inclus tous les commentaires, analyses et  évaluations qui de par leur contenu, leur but, ou leurs effets peuvent être rattachés à des personnes identifiées ou identifiables

I Données à caractère personnel…

La directive 95/46 du 24 octobre 1995 qui est toujours le cadre législatif en vigueur en matière de protection des données personnelles (jusqu’à l’entrée en vigueur le 25 mai 2018 du règlement 2016/679 aussi connu sous son abréviation « RGPD » ou « GDPR » en Anglais) définit de manière très large et générique ce qu’il faut considérer comme étant des données à caractère personnel à savoir : « toute information concernant une personne physique identifiée ou identifiable »;

La directive fournit ensuite une série d’exemples de données qui peuvent permettre d’identifier une personne de manière directe ou indirecte « notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »

Le RGPD ajoute quelques exemples de données à caractère personnel en tenant compte des évolutions de la technologie et de la science depuis 1995 (année pendant laquelle la directive 95/46 est entrée en vigueur) : « des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique […] génétique »

Dans ses considérants, le RGPD explique également que les responsables du traitement doivent eux-mêmes pouvoir évaluer si des données peuvent mener à l’identification d’une personne concernée en considérant « l’ensemble des moyens raisonnablement susceptibles d’être utilisés […] pour identifier la personne physique concernée directement ou indirectement. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. »

Cette définition extrêmement large et englobante de ce que sont des données à caractère personnel rend la tâche des responsables des traitements lourde et parfois complexe au niveau de l’identification de tous les éléments d’information qui doivent être considérés comme étant des données personnelles (notamment lors de la collecte d’informations dans le cadre de nouvelles technologies ) surtout en l’absence de critères plus précis.

Récemment (le 20 décembre 2017) la Cour de Justice de l’Union européenne a rendu son jugement dans l’affaire (C‑434/16 – Affaire Nowak)  sur base d’un renvoi préjudiciel de la « Cour Suprême d’Irlande » et se penche sur cette question en donnant des critères plus précis à prendre en compte pour qu’une information puisse être considérée comme étant une donnée à caractère personnel.

II L’arrêt C-434/16 du 20 décembre 2017 : Le jugement « Nowak »

M. Nowak est un expert-comptable stagiaire qui a demandé l’accès à ses données personnelles dont sa copie d’examen à l’Institute of Chartered Accountants of Ireland (ordre irlandais des experts-comptables, ci-après l’Institut). Suite à cette demande, il a obtenu 17 documents, mais l’Institut a refusé de lui remettre sa copie d’examen.

Après avoir introduit une réclamation auprès du Commissaire à la protection des données Irlandais qui a été rejetée, M. Nowak a contesté cette décision d’abord devant la « Circuit Court » et ensuite devant la « High Court » et finalement en appel devant la « Court of Appeal » (Cour d’appel). (Qui ont toutes considéré que la demande de M.Nowak était non fondéedès lors qu’une copie d’examen ne contient pas de  données à caractère personnel.)

La « Supreme Court » (Cour suprême, Irlande), a autorisé le pourvoi contre l’arrêt de la Court of Appeal (Cour d’appel) mais a décidé de sursoir à statuer et pose des questions préjudicielles  à la Cour de Justice de l’Union européenne afin de déterminer si une copie d’examen contient des données personnelles et dans l’affirmative sur base de quels critères. »

La cour de justice de l’Union européenne a jugé que les réponses écrites fournies par un candidat lors d’un examen professionnel ainsi que les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel et a fourni une série de critères qui permettent de justifier son raisonnement.

III Comment identifier des données à caractère personnel selon « Nowak ».

Une donnée de caractère personnel est toute information objective ou subjective…

La Cour considère que l’emploi de l’expression « toute information » dans le cadre de la définition de la notion de « donnée à caractère personnel », figurant à l’article 2, sous a), de la directive 95/46, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause. Cette analyse vaut aussi pour le RGPD.

…..qui concerne une personne.

  • La condition pour que toute information soit considérée comme donnée personnelle est qu’elle concerne une personne physique. Selon la Cour, cela signifie que «du fait de son contenu, de son but ou de son effet, il est lié à une personne en particulier» (§35).Il est important de noter ici que le respect d’un seul des trois critères (contenu, but, effets) dans l’énumération faite au § 35 est suffisant pour qualifier l’information de «relative à» un individu, même si la Cour a jugé dans ce cas particulier que tous les critères sont respectés.(Pas cumulatif un de ces critères est suffisant). La Cour applique donc le critère développé par le groupe de travail «Article 29» dans son avis de 2007 sur la notion de données personnelles.
  • La Cour précise que ces critères s’appliquent, peu importe si la personne concernée peut demander de rectifier ou non ses données ou si les données relatives au candidat ou à la personne concernée ont été pseudonymisées.(C’est-à-dire si le nom de la personne est remplacé par un pseudonyme).

IV Impact de jugement « Nowak » pour les responsables de traitements de données personnelles (organisations/entreprises)

Après ce jugement, il est important que tous les responsables de traitements réalisent que les commentaires sur les médias sociaux, les critiques, les évaluations et toute autre évaluation subjective sont potentiellement des données personnelles, dans la mesure où elles concernent une personne identifiée ou identifiable. Ceci reste également vrai pour toute sorte d’information objective (par exemple à un numéro de pointure), qu’elle soit sensible ou privée, tant qu’elle concerne une personne identifiée ou identifiable.

La Cour renvoie donc au principe phare du RGPD à savoir le principe de responsabilité des responsables du traitement et considère la protection des données comme un réseau de responsabilité et de garanties (information et droits conférés aux individus.)