Différents types de données
- Données sensibles > Données à caractère personnel
- Données directement nominatives > Données à caractère personnel
- Données indirectement identifiantes (données pseudonymisées) > Données à caractère personnel
- Données anonymisées > Données anonymes
- Données anonymes ab initio > Données anonymes
Qu’est-ce qu’une donnée à caractère personnel ?
Le RGPD définit une donnée à caractère personnel comme « Toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4.1)
Les données à caractère personnel sont des données qui permettre d’identifier une personne physique, c’est-à-dire un être humain (dite « personne concernée »), ce qui exclut les informations relatives à des personnes morales (entreprises…). Peu importe que les données soient relatives à la vie privée, professionnelle ou publique, la réglementation s’applique dès lors que l’identification des personnes est permise. Cette identification peut être directe ou indirecte.
L’identification peut résulter d’une nomination (le nom, le prénom ou l’adresse mail nominative appariassent en clair), elle est alors évidente et directe. Elle peut aussi résulter d’éléments relatifs à un individu et qui, seuls ou par recoupement ou l’utilisation de moyens techniques, permettent de retrouver l’identité d’une personne donnée. Il en va ainsi, notamment :
- des identifiants relatifs à une personne (numéro de sécurité sociale (NIR), numéro d’identification renvoyant à une table de correspondance où est consignée l’identité de la personne, numéro de téléphone, relevé d’identité bancaire, données collectées via les cookies, adresse IP, …) ;
- des caractéristiques physiques (photographie, enregistrement vocal, caractéristiques physiologiques (taille, poids, âge, sexe), empreintes digitales, empreintes génétiques…) ;
- un faisceau de données qui, sans comporter le nom des personnes, permet de les identifier en raison de la taille réduite de l’échantillon, du type de population concernée, du nombre et de la nature de variables utilisées (dates, données géographiques).
Attention
Un fichier de recherche ne saurait être considéré comme anonyme au seul motif que les noms des participants n’y sont pas consignés. Pour savoir si vous traitez des données à caractère personnel, vous devez faire une analyse au cas par cas des risques d’identification en fonction du contexte et des moyens dont vous disposez ou dont d’autres utilisateurs disposent pour identifier les personnes. Vous traitez des données à caractère personnel, par exemple :
- si le jeu de données comporte la date et le lieu de naissance, la commune de résidence de patients atteints d’une pathologie rare ou s’il comporte la date et la commune de décès de personnes ;
- s’il existe un numéro d’ordre renvoyant à une table de correspondance, même si cette table est détenue par un tiers.
En cas de doute sur le caractère identifiant des données, il est recommandé de considérer les données comme identifiantes, jusqu’à la preuve du contraire.
Qu’est-ce qu’un traitement ?
Un traitement est défini comme « une opération ou un ensemble d’opérations appliquées à des données à caractère personnel, effectuées ou non à l’aide de moyens automatisés » (RGPD, art. 4.2).
Les principes de protection des données à caractère personnel s’appliquent à toute opération effectuée sur des données à caractère personnel, quel que soit le support (papier, électronique, vidéo, photographique…) et le procédé utilisé (manuel ou automatisé). Il peut s’agir d’une application informatique, de la constitution d’un fichier ou d’un questionnaire par exemple.
Les textes visent ainsi notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. La collecte constitue en elle-même un traitement, serait-elle effectuée sur support papier. Les fichiers papiers doivent être protégés dans les mêmes conditions.
Les personnes décédées
Le RGPD n’est pas applicable aux données à caractère personnel relatives aux personnes décédées, mais il laisse toute latitude aux États membres de prévoir des dispositions spécifiques (considérant 27). Il existe en droit français des dispositions qui protègent les personnes décédées et leurs données dans le code civil, le code de la santé publique, loi Informatique et libertés…
En outre, les informations relatives à une personne décédée peuvent également concerner d’autres personnes (toujours vivantes), comme des membres de la famille ou des proches. Le RGPD s’appliquera alors à ces données.
Recherche en santé et personnes décédées
Les données concernant des personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, utilisées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, doivent être traitées dans le respect des exigences des dispositions de la loi Informatique et libertés relatives aux traitements de données personnelles mis en œuvre à ces fins (Sous-section 2 de la Section 3 du Chapitre II du Titre II).
Sous réserve de ces garanties, elles peuvent faire l’objet d’un traitement à des fins de recherche, d’étude ou d’évaluation dès lors que les personnes décédées ne s’y sont pas opposées par écrit de leur vivant (LIL, art. 86).
Il en va de même en cas d’utilisation secondaire d’échantillons biologiques dans le cadre de recherches qui nécessitent l’examen des caractéristiques génétiques d’une personne (LIL, art. 75), dans des conditions très encadrées fixées par l’article L. 1130 – 5 du code de la santé publique.
Ce texte dispense les chercheurs de requérir le consentement exprès d’une personne pour examiner ses caractéristiques génétiques à partir d’un échantillon biologique prélevé à d’autres fins si les conditions suivantes sont respectées :
- les examens poursuivent « des fins de recherches scientifiques » ;
- les personnes concernées (ou leurs représentants légaux) ont été dûment informées au préalable du projet de recherche et n’ont pas formulé d’opposition ;
- il est possible de déroger à l’obligation d’information, sous réserve de l’avis favorable d’un comité de protection des personnes (CPP) lorsque les personnes concernées ne peuvent pas être retrouvées (sujets décédés). Il appartiendra au CPP d’évaluer les éléments justifiant de l’impossibilité de procéder à l’information de la personne et de se prononcer sur l’opportunité de l’examen de ses caractéristiques génétiques au regard de cette situation ainsi que de la pertinence éthique et scientifique de la recherche.
Ce texte n’est pas applicable aux recherches dont les résultats sont susceptibles de permettre la levée de l’anonymat des personnes concernées.
Précision : Il n’est pas nécessaire d’effectuer une demande de dérogation à l’obligation d’information auprès de la Cnil pour traiter les données relatives à des personnes décédées à condition que le professionnel participant à la recherche ait connaissance du statut vital de la personne concernée. Les recherches portant sur des personnes dont on connait le décès sont susceptibles de relever des méthodologies de référence homologuées par la Cnil.