Les données personnelles désignent toute information permettant directement ou indirectement de rendre une personne physique identifiable. Par conséquent, il peut s’agir d’un nom, d’un numéro d’identification, de données de localisation, d’un identifiant en ligne. Mais aussi d’un ou plusieurs éléments spécifiques propres à l’identité d’une personne.
En France, la loi énonce que :
« Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
Le règlement européen RGPD a modifié le droit interne par la loi du 20 juin 2018.
Pseudonymisation & anonymisation
Des données ayant été l’objet d’un procédé de pseudonymisation ou d’anonymisation ne sont pas considérées comme des données à caractère personnel. Vous n’avez aucun droit sur ces données !
Un exemple simple : Julie Dumartin – Femme – Née le 4 mars 1981 à Carhaix (29) – +336 75 45 65 XX – N° de passeport – AD16543XX. Les informations en gras, qui permettent d’identifier Julie, sont considérées comme des données personnelles.
Après pseudonymisation, on obtient « Femme – Née le 4 mars 1981 à Carhaix ». Pensez-vous qu’en recoupant les registres de naissance de la ville de Carhaix, 8 591 hab en 1982, environ 100 naissances chaque année, on puisse retrouver de qui il s’agit ? Probablement qu’un enfant en serait capable…Avec cette technique, Latanya Sweeney (MIT) à pu montrer que ces 3 informations (date de naissance, sexe et code postal) permettaient de ré-identifier avec certitude 87% des Américains dans n’importe quelle base de données (cela fonctionne aussi en France)
En utilisant leur modèle de prédiction, les chercheurs de l’UCLouvain et de l’Imperial College London (source [fr]) ont démontré qu’avec seulement 15 informations on identifiait 99,98% des Américains. Aujourd’hui, certains collecteurs de données conservent plusieurs dizaines de milliers d’informations sur chacun d’entre nous.
Métadonnées
Une métadonnée est une donnée servant à définir ou décrire une autre donnée. Par exemple, associer à une photo les coordonnées GPS du lieu où elle a été prise. Une photo que vous diffusez sur Facebook, Whatsapp ou ailleurs en dit beaucoup plus que vous ne le pensez sur vous : position, date et heure, marque et modèle d’appareil photo utilisé et ses réglages…
Une étude de chercheurs du MIT (source [en]) a montré que 4 points géolocalisés étaient suffisants pour identifier 95 % des individus (dans la base d’un opérateur de téléphonie). A titre d’information, il faut entre 10 et 20 points de correspondance pour identifier quelqu’un par son empreinte digitale…
Comment se protéger ?
Les seules données sécurisées sont celles que l’on ne divulgue pas !
A chaque fois que quelqu’un vous demandera une information (considérée comme personnelle ou pas), demandez : Pourquoi ? Dans quelle finalité ? Le RGPD vous donne le droit d’avoir une réponse. La plupart du temps, votre interlocuteur.trice n’insistera pas car elle sont inutiles. De la même façon, en ligne, ne remplissez que les champs obligatoires (les autres resteront vides). Ainsi, si vous estimez qu’ils ne sont pas nécessaires, laissez libre cours à votre créativité pour les compléter !
Des questions ? D’accord ou pas d’accord ? Dites le moi !
Dernière mise à jour : Juillet 2019