Répondre à cette question permet de savoir si vous relevez ou non du champ d’application du droit des données personnelles, avec son cortège d’obligations et d’interdictions, pénalement sanctionnées.
La Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données indique en son article 2, qu’aux fins de la présente directive, on entend par : a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale… ».
Ce texte mérite d’être mentionné car même si son champ d’application est limité à celui du droit européen (art.3 al.2), il permet, dans ce cadre, de contrer une disposition nationale incompatible.
La Cour de justice des Communautés européennes a en effet jugé que ce texte était directement invocable devant les juridictions nationales (CJCE, 20 mai 2003, C-465/00, C-138/01 et C-139/01, Österreichischer Rundfunk).
Les traitements de données personnelles réalisés par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ne sont pas concernés. Vous pouvez donc librement remplir tant votre agenda que votre carnet d’adresses, y compris sur support informatique.
Il semble que la publication de données personnelles sur un site internet suffise à ôter tout caractère privé au traitement ainsi effectué. C’est en tout cas la solution retenue par la Cour de justice des communautés européennes (CJCE, 6 novembre 2003 Aff. C-101/01, demande de décision préjudicielle, formée par le Göta hovrätt (Suède), Recueil de jurisprudence 2003 page I-12971 et s. Cons. 47).
Lorsque le droit européen n’est pas applicable, la situation est régie par les définitions du droit français des données personnelles. La loi n°78-17 dite « Informatique et Libertés » du 6 janvier 1978 indique, en son article 2, alinéa 2, que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
En conséquence, tout ensemble d’informations permettant de distinguer une personne au sein d’une population tels que, par exemple, des données de géolocalisation, l’IP, les coockies, l’historique, le modèle d’ordinateur, l’heure, le navigateur et l’adresse mail utilisée peuvent constituer des données personnelles dès lors que l’ensemble permet de cibler une personne déterminée. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier, voire de connaître ses habitudes ou ses goûts.
Edit du 27/4/2014, la CJUE indique dans son arrêt du 8 avril 2014 qui annule la directive 2006/24/CE, §.27 que les données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci« . En d’autres termes, une seule donnée de connexion n’est pas une donnée personnelle, mais un ensemble de données de connexion constitue en revanche quelque chose de personnel.
Le droit des données personnelles ne protège que les personnes physiques. Par conséquent, un fichier de noms de sociétés n’est pas concerné. En revanche, dès le moment où ce fichier d’entreprises contient des noms de personnes physiques comme le nom du dirigeant social, le cadre légal du droit des données personnelles trouve à s’appliquer.
Rappelons que les droits et obligations résultant du droit des données personnelles sont pénalement sanctionnées, et a minima, entraînent l’intervention de la CNIL ou de son homologue dans le pays européen considéré. De plus, le traitement de certaines données personnelles est strictement interdit (référence à des condamnations pénales, état de santé, opinion politique ou syndicale). Or il est fréquent que des fichiers licites dans leur principe se trouvent « complétés » par les utilisateurs, notamment à des fins de relation clientèle (affaire Acadomia). Il est également fréquent qu’un fichier soit réalisé, sans que les auteurs aient conscience de l’illégalité de leurs actes et de l’éventuelle responsabilité pénale encourue (par ex. un cadre d’une entreprise affiche en salle de pause des cadres une liste de noms de salariés mentionnant leur affinité syndicale).
