Quelles sont les données visées par le nouveau Règlement européen sur la protection des données qui sera applicable dès le 25 mai 2018 ?

Le nouveau Règlement européen général sur la protection des données (RGPD) sera applicable dès le 25 mai 2018. Afin d’appréhender sa portée, il est nécessaire de comprendre quel type de données est concerné.

Le RGPD protège les données à caractère personnel, qu’il définit à son article 4 RGPD comme toute information relative à une personne physique identifiée ou est identifiable, dénommée la personne concernée.

La donnée doit être relative à une personne physique. A contrario, les données des personnes morales ne tombent pas dans le champ d’application du RGPD. Ce critère diffère du droit suisse. L’art. 3 let. a LPD dispose en effet que la personne concernée est une personne physique ou morale.

Le second critère est également posé par l’art. 4 RGPD. La personne physique concernée doit être soit identifiée, soit pouvoir être identifiée. Elle est « identifiée » par exemple lorsque son nom apparaît dans un fichier. Elle est « identifiable » lorsqu’une ou plusieurs informations permettent, par recoupement, de l’identifier directement ou indirectement. Il peut s’agir par exemple de son adresse IP, de sa date de naissance, de son numéro d’immatriculation, de son numéro de téléphone, de sa photo, de ses empreintes digitales, de ses données de localisation, d’un identifiant en ligne. Ceci signifie que des données qui, a priori, seraient anonymes peuvent être considérées comme ayant un caractère personnel.

A l’instar du droit suisse qui prévoit la notion de « données sensibles » (art. 3 let. c LPD), l’art. 9 RGPD stipule qu’il existe, parmi les données à caractère personnel, des données « particulières ». Il s’agit de données dont le traitement révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques (art. 4 ch. 13 RGPD), biométriques (art. 4 ch. 14 RGPD), médicales (art. 4 ch. 15 RGPD), les données concernant la vie ou l’orientation sexuelle d’une personne physique.

Le traitement de ces données particulières est en principe interdit, sous réserve de cas énumérés exhaustivement à l’art. 9 al. 2 RGPD, comme par exemple le consentement explicite et éclairé de la personne concernée ou le fait que cette dernière les ait manifestement rendues publiques.

En ce qui concerne les données relatives aux condamnations pénales et aux infractions, l’art. 10 RGPD exige que leur traitement ne soit effectué que sous le contrôle de l’autorité publique ou qu’il soit autorisé par la loi de l’Union ou nationale d’un Etat membre, qui doit protéger adéquatement les droits et libertés de la personne concernée.

En conclusion, les seules informations relatives à une personne physique qui ne sont pas concernées par le RGPD sont les informations anonymes ou rendues irréversiblement anonymes de sorte que la personne concernée n’est plus identifiée ou identifiable.

Parfaitement au courant des dispositions du RGDP, le département de propriété intellectuelle et de droit de la personnalité de WILHELM Avocats SA est à même de conseiller utilement toute entreprise suisse dans la mise en place des mesures permettant de s’acquitter de ses obligations dans ce cadre.