Quels sont les données personnelles et pourquoi les cookies le sont toujours, indépendamment des valeurs de cookie, c'est l'objet de cet article. Un lien avec une personne existe souvent plus fréquemment que beaucoup ne le croient. Les données personnelles teignent en quelque sorte d'autres données et les rendent des données liées à une personne.
Introduction
Les données personnelles sont celles qui permettent d'identifier une personne. Par exemple, le nom d'une personne, associé à son adresse (rue, numéro de maison, code postal, ville, pays, nom de planète, désignation galactique) constituent un valeur de données personnelles. On parle d'ailleurs souvent de date au lieu de valeur de données. Date est le singulier de données.
Le nom d'une personne ainsi que son adresse constituent un lien direct avec une personne. Mais les données qui laissent supposer indirectement l'existence d'une personne sont également des données personnelles. C'est ce qui ressort clairement de Art. 4, n° 1 RGPD. La RGPD ne parle pas de lien direct ou indirect avec une personne, mais plutôt de personnes identifiées ou identifiables.
Une personne est identifiable dès lors qu'il est objectivement possible de se procurer ou d'obtenir auprès de tiers un lien avec cette personne. Les tiers peuvent par exemple s'agir des prestataires de services de télécommunication, des services secrets ou des autorités. Il n'a pas d'importance que ces tiers soient actuellement susceptibles d'être sollicités pour obtenir des données personnelles. Il suffit qu'il y ait une possibilité objective prévue. Par exemple, une telle possibilité peut être ouverte par la poursuite de l'enquête. Cela a été déterminé par le CJUE dans sa décision du 19.10.2016 – C-582/14 ("Breyer", les adresses IP sont des données personnelles).
Concomitamment, le Groupe Article 29 de l'UE a déterminé qu'une personne est également considérée comme identifiable si elle peut être distinguée d'autres personnes au sein d'un groupe. Cela a été exprimé dans l'opinion 4/2007. Le Groupe Article 29 sur la protection des données était le prédécesseur du Comité européen de protection des données (EDSA) et est même mentionné à Article 94 RGPD. Il a donc une grande pertinence.
Quand une personne est-elle directement identifiable ?
Au-dessus, j'ai déjà donné l'exemple avec le nom d'une personne accompagné d'une adresse. Cette situation des données permet une identification complète et directe d'une personne. Toutes les données qui démontrent directement une personne la rendent directement identifiable.
Si dans un groupe de soutien anonyme des alcooliques une personne a les cheveux gris et les autres n'ont pas de cheveux gris, alors cette personne serait distinguable des autres par la valeur suivante: «La personne en question est dans ce groupe et a les cheveux gris».
La personne serait alors peut-être encore loin d'être identifiée directement. Car quand je vois quelqu'un devant moi, je ne sais généralement pas qui est cette personne, comment elle s'appelle et où elle réside.
Il est toutefois possible que quelqu'un subisse un préjudice parce qu'on a maltraité ses données sans que l'on sache où il habite. On se demande alors si cela ne suffit pas à avoir une relation directe avec la personne, en ayant celle-ci devant soi. Je n'aborderai pas cette question plus avant ici. Cela mériterait une étude propre qui pourrait être confiée à un juriste.
Qu'est-ce qu'un lien de personnes indirect ?
Si donc le lien direct avec la personne est refusé, il existe souvent un lien indirect. C'est toujours à admettre lorsqu'il y a une possibilité objective de pouvoir identifier complètement la personne.
L'exemple mentionné précédemment d'une personne âgée dans un groupe d'alcooliques anonymes montre qu'il existe au moins une référence indirecte à une personne. Car si la personne âgée commet une infraction, il est possible de déterminer qui exactement c'est en procédant à l'enquête. Ainsi, la date «Personne dans le groupe a les cheveux gris» est une donnée personnelle (naturellement dans ce contexte). Puisque il existe objectivement la possibilité que
- La personne âgée commettra une infraction et
- Les possibilités d'enquête en Allemagne permettent l'identification complète de la personne sur la base d'un soupçon de commettre une infraction pénale.
On pourrait identifier la personne âgée sans délit, par exemple lorsqu'elle conduit un véhicule autorisé et qu'elle est venue à la réunion de groupe d'aide en conduisant cet automobile. Selon l'ordonnance sur les voies publiques, un numéros d'immatriculation militaire doit être affiché sur un automobile (il peut s'agir de véhicules pour lesquels cela ne vaut pas, mais ce n'est pas là que nous allons nous arrêter). Ce license plate est à nouveau associé à la personne, c'est-à-dire à son nom et à son adresse. L'autorité chargée des transports connaît cette association. Si l'automobile est impliquée dans un accident, le propriétaire peut être identifié. Un accident n'est généralement pas une infraction. Il pourrait même se trouver que la conductrice âgée du groupe d'aide n'était pas coupable de cet accident. L'auteur de l'accident devait toutefois demander les données d'adresse de la personne âgée pour lui permettre de procéder à un traitement correct de l'accident. De même, il voulait éviter une fuite du conducteur et en cas de doute, il notait le numéro d'immatriculation du véhicule endommagé si elle ne se trouvait pas à proximité de son propre automobile.
Si quelqu'un peut théoriquement être impliqué dans un accident, alors chaque personne que vous rencontrez est finalement identifiable. Par conséquent, chaque valeur de données serait associée à une personne physique qui se trouve à proximité, ce qui ferait d'elle des données personnelles. Cela vaut toutefois pour les personnes qui naviguent sur Internet. Voir le paragraphe "Cookies" ci-dessous. Lorsque vous téléphonez à quelqu'un et que cette personne vous parle depuis son propre accès privé ou son propre smartphone, alors tous les données concernant votre interlocuteur sont également des données personnelles. La RGPD ne s'applique toutefois qu'à condition que les données soient au moins stockées ou traitées de manière partiellement automatisée (voir Article 2, paragraphe 1 de la RGPD). À ma connaissance, la transmission des signaux téléphoniques est en effet automatisée.
Il est probablement possible de suivre une personne dans le cadre de la légalité pour savoir où elle est allée, peut-être à son domicile. C'est juste pour l'inspiration.
Même le lieu géographique d'une personne peut la rendre identifiable. On pense seulement au signal GPS du smartphone. J'avais lu quelque part que une femme coupable avait été démasquée parce que son compte Google avait été analysé. Dans mon smartphone, le signal GPS est presque toujours éteint (mais pas parce que j'aurais l'intention de commettre un crime, mais parce qu'il me déplaît d'être suivi en raison des signaux électroniques qui indiquent où je suis ou ai été).
Cookies
Selon la directive ePrivacy, il n'a pas d'importance que les cookies contiennent des données personnelles ou non. La directive ePrivacy s'applique toutefois. En Allemagne, elle est principalement réalisée par le § 25 TTDSG. Le TTDSG est un texte spécialisé relatif à la RGPD. Lorsque le TTDSG est en vigueur, il prend effet d'un point de vue juridique par rapport à la RGPD. Il faut que la vérification légale prévue par l'article 25 du TTDSG soit positive concernant les cookies et autres accès à des équipements terminaux pour que la vérification se fasse en vertu de la RGPD. Je note ici une exception, car je dis «RGPD» correctement. Sinon, on utilise souvent le terme plus attractif sans tiret, c'est-à-dire «RGPO». La RGPD n'est d'ailleurs pas un texte législatif, mais une réglementation. Cela ne fait toutefois pas de différence pour tous les gens sauf pour les juristes.
Mise à jour mai 2024: Le TTDSG s'appelle désormais TDDDG. Puisque de nombreux lecteurs connaissent uniquement le TTDSG, on continue ici d'utiliser la dénomination originale.
La mise en cache de cookies sur votre appareil terminal (par exemple, votre smartphone ou ordinateur de bureau) et l'accès aux cookies stockés dans votre appareil terminal est seulement autorisé sans consentement, si les cookies sont absolument nécessaires. La plupart des cookies ne sont pas absolument nécessaires. Ici, il n'a aucune importance que les valeurs du cookie soient personnelles ou non. Il est indifférent quelles valeurs sont stockées dans le cookie ; la TTDSG s'applique toujours à cela.
On stocke ensuite un cookie dans l'appareil et on le lit plus tard à nouveau. Ensuite, on souhaite travailler en toute sécurité avec la valeur du cookie, car sinon on aurait pu supprimer le cookie tout de suite. Cette travail avec la valeur du cookie relève des réglementations de la RGPD. La RGPD ne s'applique cependant que aux données personnelles, dont font partie les données liées à une personne. Comme mentionné ci-dessus, il s'agit de tous les données qui peuvent faire référence directement ou indirectement à une personne.
Qu'est-ce qu'il se passe si une valeur de cookie n'est pas personnelle ? Prenez par exemple une valeur comme "xyz123". Même dans ce cas, la valeur de cookie est personnelle. Certains ne veulent pas le voir ou affirment le contraire parce que cela serait bénéfique pour leurs clients. Pour mon argumentation sur pourquoi les valeurs de cookies sont toujours personnelles, je dois faire un peu d'histoire.
Tous les données qui apparaissent en relation avec des données à caractère personnel sont personnellement liées et donc à caractère personnel.
Voir l'article pour plus de détails.
Les adresses IP sont des données personnelles. C'est ce que les juges du Tribunal de l'Union européenne et du Bundesgerichtshof ont décidé dans leurs arrêts Breyer en 2016 et 2017 (voir ci-dessus pour la référence à l'arrêt). Même les adresses IP dynamiques sont concernées.
Les cookies sont d'ailleurs toujours transmis ensemble avec l'adresse IP du visiteur d'un site web au site web. L'adresse IP est un données personnelles, donc tout autre (potentiellement chargé de sens) valeur des données qui apparaît avec l'adresse IP est également une donnée personnelle.
Les valeurs des cookies sont donc toujours personnelles. Il s'ensuit que la RGPD est applicable à tout traitement de valeurs de cookie, même si certains souhaiteraient l'exclure.
Conclusion
Les données sont personnelles si elles se réfèrent directement ou indirectement à une personne. Conformément à la définition légale, les données liées à une personne doivent être assimilées aux données personnelles.
Un valeur de données qui apparaît avec une date personnelle est automatiquement liée à un individu et donc personnelle. Cela ne vaut peut-être que si la valeur des données n'a aucune signification, ni objective ni subjective. Subjectif signifie ici que la valeur des données n'a aucune signification pour tous les possibles destinataires de données. Mais alors, pourquoi existe-t-elle ? Peut-être y a-t-il un exemple sensé ; je ne vois actuellement aucun.
Il est dans l'incertitude sans importance, pendant combien de temps un valeur de données X coexiste avec une valeur de données personnelle pour que la valeur de données X soit considérée comme personnelle. Cela avait même été établi par la Commission irlandaise de protection des données, connue pour sa non-rigueur dans l'affaire contre WhatsApp.
Il est également indifférent que les données soient stockées ou non, à condition qu'elles soient traitées partiellement ou entièrement de manière automatisée. Si les données sont personnelles au moment de leur existence, alors elles le sont. Traitement des données commence dès la connaissance objective et "voulue" possible, ce qui est désigné par Datenerhebung.
Les adresses IP sont potentiellement toujours personnelles pour Google en raison de leur lien avec une personne, et probablement partout dans le monde, quel que soit l'état des possibilités de poursuite judiciaire dans chaque pays. Puisque un utilisateur qui utilise un service Google comme Gmail ou possède un téléphone Android peut être identifié de manière objective. Un téléphone a bien sûr un numéro de téléphone. Ce numéro est (au moins dans certains pays) enregistré sur une personne. En Allemagne, il doit s'agir d'une telle situation (du moins pour les téléphones privés, et ce texte concerne des particuliers et non des entreprises). Gmail est à nouveau un service de messagerie. Il existe peut-être des personnes qui reçoivent des messages envoyés à leur adresse Gmail contenant le nom et l'adresse de la personne qui possède cette adresse Gmail.
Cette question avait jé été examinée dans le cadre des Google Fonts Abmahnungen pour montrer que l'adresse IP a un lien potentiel avec une personne en Autriche, même pour Google.
Dans le doute, les données doivent être considérées comme personnelles. Le doute naît souvent "seulement" parce que la capacité de imagination fait défaut pour imaginer qu'un valeur de donnée pourrait faire référence à une personne. Dans les applications d'intelligence artificielle, la question du caractère personnel d'une valeur de donnée n'est en tout cas pas aussi simple à répondre. Puisque 100 données peuvent ne pas avoir de lien avec une personne, il peut être tout autre chose pour 100 millions de données.
En outre, lors de l'utilisation des données personnelles, un problème ou une affaire ne se présente pas toujours pour la RGPD. Lorsque deux personnes se tiennent en conversation sur la rue, leur discussion n'est pas soumise à la RGPD, car elle n'est ni traitée automatiquement ni stockée dans un système de fichiers. L'utilisation d'informations accessibles au public est souvent possible dans le cadre du intérêt légitime. Si des données supplémentaires sont manquantes pour transformer des données personnelles en données personnelles, et si une partie X n'a pas l'objet d'obtenir ces informations supplémentaires de manière objective, alors il s'agit pour la partie X non de données personnelles ni de données personnelles. Ce cas se présente notamment lorsque les informations supplémentaires se trouvent en dehors du contexte propre à la partie X, par exemple dans des entreprises avec lesquelles la partie X n'a aucune relation et qui sont peut-être même inconnues de la partie X.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
