La donnée personnelle n'est pas toujours celle que l'on croit

Avec l’entrée en application largement médiatisée du RGPD en 2018, chacun croit savoir savoir ce qu’est une donnée personnelle ou à caractère personnel.

Il est vrai que la donnée personnelle est précisément définie depuis la première loi de 1978 relative à l'informatique, aux fichiers et aux libertés qui a institué la CNIL.

Cette définition est désormais reprise et détaillée à l’article 4 du RGPD.

On peut la résumer par la formule suivante : toute information susceptible d’identifier, directement ou indirectement, une personne physique .

Pourtant la définition est trompeuse.

Dire par exemple qu’un nom patronymique est une donnée personnelle est faux.

Ce qui rend une information "donnée personnelle", c’est en premier lieu son contexte qui aboutit à identifier, directement ou indirectement une personne physique.

En 2008 déjà, dans une ordonnance de référé du 22 septembre de cette année, le Président du Tribunal de Paris avait jugé que dans le contexte du cas jugé, le nom patronymique n’était pas une donnée personnelle.

En l’occurrence, un site de généalogie vendait l’histoire de noms patronymiques, leur localisation sur une carte de France telle que recensée par l’INSEE.
Un service classique pour ce genre de site.

Seulement, un particulier n’était pas d’accord.

Il attaquait alors le site faisant valoir que l’usage de son nom était utilisé sans son consentement préalable.

Le juge a considéré que dans ce cas « le patronyme (en question) à lui seul n’identifie d’évidence pas le demandeur, qui ne disconvient pas qu’il n’est pas le seul à le porter ».

Dès lors, dans ce cas, le nom de famille, pourtant toujours présenté comme donnée personnelle, s'est révélé ne pas être une donnée personnelle.

Un rappel salutaire qu'il faut avoir en tête aujourd'hui.