1

L’évolution de la définition des données protégées

< Rapport d'information >

La notion de données à caractère personnel dans le règlement du 27 avril 2016

L’article 4, paragraphe 1, définit les données à caractère personnel comme : « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Le règlement reprend ainsi le socle de la définition des données personnelles par la directive de 1995 et le complète par des éléments nouveaux, adaptés à l’évolution du numérique. Le considérant 30 précise que les « identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence [...] peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier [l] es personnes. »

Ainsi que le précise le considérant 27 du règlement, celui-ci ne s’applique en revanche pas aux données à caractère personnel des personnes décédées, dont les règles de traitement relèvent des États membres.

La définition des données sensibles , dont le traitement est en principe interdit, a également été complétée par rapport à la directive de 1995 : les données biométriques et génétiques, ainsi que les données relatives à l’orientation sexuelle, ont été ajoutées à la liste en vigueur (article 9 du règlement).

< Rapport d'information >