La nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD ; FF 2020 7397) reprend pour l’essentiel les fonda­men­taux de l’actuelle LPD (défi­ni­tions, prin­cipes, droits des personnes concer­nées, surveillance par une auto­rité indé­pen­dante), mais y ajoute de nouvelles obli­ga­tions pour les respon­sables du trai­te­ment et les sous-trai­tants (cf. http ://www.swissprivacy.law/12 et www​.swiss​pri​vacy​.law/13). L’application concrète de ces nouvelles règles repré­sen­tera un défi impor­tant pour les respon­sables du trai­te­ment néces­si­tant beau­coup d’efforts, de moyens et d’apprentissage. Une des premières phases de cet appren­tis­sage consis­tera à se montrer capable d’évaluer quand la nLPD s’applique et quand elle ne s’applique pas.

La nLPD régit le trai­te­ment de données person­nelles concer­nant des personnes physiques effec­tué par des personnes privées et des organes fédé­raux (art. 2 al. 1 nLPD). Les notions de « trai­te­ment » et de « données person­nelles » se défi­nissent ainsi :

• Un trai­te­ment corres­pond à toute opéra­tion rela­tive à des données person­nelles, quels que soient les moyens et procé­dés utili­sés, notam­ment la collecte, l’enregistrement, la conser­va­tion, l’utilisation, la modi­fi­ca­tion, la commu­ni­ca­tion, l’archivage, l’effacement ou la destruc­tion de données ( art. 5 let. d nLPD). Il s’agit d’une défi­ni­tion extrê­me­ment large qui, en raison de l’usage du terme « notam­ment », se révèle plus exem­pla­tive que norma­tive. Il n’y a en soi pas grand-chose à en tirer sur le plan pratique.
• Une donnée person­nelle corres­pond à toutes les infor­ma­tions concer­nant une personne physique iden­ti­fiée ou iden­ti­fiable (art. 5 let. a nLPD). Il s’agit à nouveau d’une défi­ni­tion extrê­me­ment large. Contrairement à la défi­ni­tion d’un trai­te­ment, son contenu est néan­moins norma­tif même s’il ne se laisse pas faci­le­ment inter­pré­ter. C’est donc à partir de cette défi­ni­tion qu’il sera en partie possible de déter­mi­ner si la nLPD s’applique ou non.

Une infor­ma­tion concerne une personne lorsqu’elle peut lui être ratta­chée de manière à la rendre iden­ti­fiable. Cette condi­tion est remplie quand le lien entre une infor­ma­tion et une personne est expli­cite (p. ex. les infor­ma­tions conte­nues sur une carte d’assurance-maladie nomi­na­tive), mais égale­ment quand ce lien découle d’une corré­la­tion d’informations tenant au contexte.

Certaines lois canto­nales, à l’instar de la Loi fribour­geoise du 25 novembre 1994 sur la protec­tion des données (LPrD ; RSF 17.1), défi­nissent dans ce sens une donnée person­nelle comme toute infor­ma­tion « qui se rapporte » à une personne iden­ti­fiée ou iden­ti­fiable (art. 3 al. 1 let. a LPrD). Intuitivement, on se rend compte qu’il ne peut s’agir que d’un concept dyna­mique, qui doit être évalué au cas par cas. Savoir si une donnée peut être rappor­tée à une personne ne peut ainsi pas toujours être établi de manière caté­go­rique ex ante mais peut dépendre de toute une série de circons­tances qui sont suscep­tibles d’apparaître seule­ment lors d’un examen in concreto d’une certaine situation.

Ainsi, il est certes notoire que l’augmentation expo­nen­tielle des perfor­mances des tech­no­lo­gies numé­riques peut abou­tir au résul­tat que des données a priori sans lien avec une personne puissent grâce à des tech­niques de croi­se­ment deve­nir des données person­nelles. Cela ne veut pas dire pour autant que toutes ces données doivent dès le départ être consi­dé­rées comme des données person­nelles et être trai­tées comme telles.

Il ressort de la juris­pru­dence du Tribunal fédé­ral que toute possi­bi­lité théo­rique de ratta­cher des données à un indi­vidu n’entraîne pas systé­ma­ti­que­ment l’application des dispo­si­tions rela­tives à la protec­tion des données. Il faut en plus qu’on puisse raison­na­ble­ment admettre qu’une personne aura un inté­rêt à procé­der à cette iden­ti­fi­ca­tion et que cette iden­ti­fi­ca­tion ne néces­site pas des moyens dispro­por­tion­nés (ATF 138 II 346, consid. 6.1 ; arrêt du TF 4A_​588/​2018 du 27 juin 2019, consid. 4).

Cette approche prag­ma­tique s’insère parfai­te­ment dans le nouveau para­digme de la protec­tion des données qui s’appuie sur une approche « fondée sur les risques ». Elle implique qu’une infor­ma­tion pouvant éven­tuel­le­ment concer­ner une personne ne devrait être quali­fiée comme une donnée person­nelle que dans la mesure où, compte tenu des circons­tances, il existe une proba­bi­lité raison­nable qu’elle puisse lui être ratta­chée et qu’elle puisse être utili­sée pour déter­mi­ner ou influen­cer la façon dont elle sera trai­tée ou évaluée. À l’inverse, la seule possi­bi­lité qu’une infor­ma­tion sans lien direct avec une personne puisse concer­ner cette dernière dans des circons­tances incon­nues et pour des fina­li­tés indé­ter­mi­nées ne devrait pas conduire à appli­quer à cette infor­ma­tion les règles plus contrai­gnantes de la légis­la­tion sur la protec­tion des données, même si un risque rési­duel d’identification existe.

Dans cette approche, le verbe « concer­ner » qu’on retrouve dans la défi­ni­tion de ce qu’est une donnée person­nelle acquiert un sens et une portée renou­ve­lés. Ce n’est plus un élément passif de la défi­ni­tion mais un élément consti­tu­tif de celle-ci, néces­si­tant un examen dyna­mique et contex­tuel. Dans la plupart des cas, le résul­tat d’un tel examen sera assez clair et permet­tra d’aboutir sans grand effort à la conclu­sion qu’une infor­ma­tion corres­pond ou non à une donnée person­nelle, quel que soit le contexte. Dans d’autres cas, la proba­bi­lité qu’une infor­ma­tion puisse réel­le­ment concer­ner une personne (c’est-à-dire lui être ratta­chée) dépen­dra en revanche des circons­tances. Il est donc tout à fait possible qu’une infor­ma­tion puisse dans un certain contexte être quali­fiée de donnée person­nelle sans que cette quali­fi­ca­tion ne s’applique néces­sai­re­ment à n’importe quel autre contexte.

Un arrêt du Tribunal canto­nal fribour­geois de 2019 illustre parfai­te­ment cette approche. Dans un litige qui oppo­sait deux frères, l’un d’eux a demandé à obte­nir le résul­tat d’une exper­tise immo­bi­lière au sujet d’un bien qu’ils se querel­laient et dont l’autre frère était inscrit comme proprié­taire. Le Tribunal canto­nal a dans ce cas estimé qu’« une exper­tise immo­bi­lière contient des infor­ma­tions rela­tives au bien exper­tisé mais aussi, indi­rec­te­ment, au sujet du proprié­taire dudit bien, qu’il soit nommé­ment cité dans l’ex­per­tise ou non ». Il est parvenu à ce résul­tat car :

« [e]n l’es­pèce, [l’un des prota­go­nistes] fait valoir qu’il est proprié­taire d’un bien en Albanie et que son frère, dans les procès-verbaux qu’il solli­cite, a fait des décla­ra­tions le concer­nant en lien avec la propriété dudit bien. De par cet élément de contexte et la corré­la­tion entre les ques­tions posées par le juge d’ins­truc­tion et les réponses du prévenu, ces infor­ma­tions se rapportent, au moins indi­rec­te­ment, à la personne du recou­rant, en ce qu’elles concernent sa qualité de proprié­taire, respec­ti­ve­ment le fait qu’il soit seul proprié­taire ou non, du bien immo­bi­lier liti­gieux ». (cf. arrêt du TC/​FR 601 2018 76, consid. 4.2 et 5, in : RFJ 2019. P. 161 ss).

À la lecture de cet arrêt, on comprend que ça n’est pas l’expertise immo­bi­lière en elle-même qui a conduit à appli­quer la LPrD (appa­rem­ment elle ne mention­nait même pas le nom du proprié­taire) mais bien les circons­tances du cas d’espèce. Il n’est dès lors pas impos­sible qu’en d’autres circons­tances, cette exper­tise n’eût pas été trai­tée sous l’angle de la LPrD.

Le Tribunal fédé­ral est parvenu à un résul­tat simi­laire dans un tout autre contexte. Comme des données pseu­do­ny­mi­sées permettent toujours d’identifier les personnes concer­nées, elles sont géné­ra­le­ment toujours consi­dé­rées comme des données person­nelles et restent donc soumises aux légis­la­tions rela­tives à la protec­tion des données.

Toutefois, en cas de trans­mis­sion de données pseu­do­ny­mi­sées à des tiers, le Tribunal fédé­ral a jugé que ces données ne sont plus simple­ment pseu­do­ny­mi­sées mais qu’elles sont anony­mi­sées si les tiers en ques­tion ne disposent pas de la table de concor­dance néces­saire à une réiden­ti­fi­ca­tion. À condi­tion que des mesures suffi­santes soient prises pour garan­tir le main­tien de cet anony­mat, la trans­mis­sion peut ainsi échap­per aux règles de la protec­tion des données, car, pour le desti­na­taire, les données ne concernent pas une personne iden­ti­fiée ou même iden­ti­fiable (cf. arrêt du TF 4A_​365/​2017 du 26 février 2018, consid. 5, Emilie Jacot-Guillarmod in : www​.lawin​side​.ch/​660).

Dans cet arrêt, le Tribunal fédé­ral a fait une distinc­tion selon que les mêmes données sont en posses­sion d’une personne capable de les ratta­cher à une personne ou pas. Dans le premier cas, il a consi­déré qu’il s’agissait de données person­nelles, mais pas dans le second. Conformément à l’approche fondée sur les risques, il a accepté l’existence d’un risque rési­duel de réiden­ti­fi­ca­tion consi­dé­rant que ces données n’avaient pas voca­tion à être ratta­chées à une personne déterminée.

Il est certain qu’avec l’usage toujours plus répandu des tech­no­lo­gies numé­riques dans tous les secteurs d’activité le droit de la protec­tion des données prend une dimen­sion et une impor­tance toujours plus grandes dans notre société. Cela néces­site toute­fois une approche nuan­cée et prag­ma­tique des lois sur la protec­tion des données. Si l’on n’accepte pas l’existence d’un risque rési­duel, aucune infor­ma­tion ne pourra au bout du compte jamais plus sortir du champ d’application des lois sur la protec­tion des données. Loin d’améliorer la situa­tion des personnes dont les données sont trai­tées, cette situa­tion risque plutôt de l’affaiblir.

Le but des lois sur la protec­tion des données est la protec­tion de la person­na­lité et des droits fonda­men­taux des personnes concer­nées dont les données font l’objet d’un trai­te­ment. Il n’est pas souhai­table que les règles prévues s’appliquent en défi­ni­tive à des situa­tions dans lesquelles ni la person­na­lité, ni les droits fonda­men­taux des personnes concer­nées ne sont réel­le­ment concer­nés. Tant du point de vue des personnes concer­nées que des auto­ri­tés de contrôle de la protec­tion des données, il vaut en effet mieux une protec­tion effi­cace mais ciblée qu’une protec­tion préten­du­ment tous azimuts mais impos­sible à mettre en œuvre.