Dans son édition du 15 août 2022, la revue Jusletter a publié un article en langue anglaise signé par Alexandre Jotterand dans lequel l’auteur analyse en détail les prin­ci­pales ques­tions juri­diques liées au concept de données person­nelles. L’article en ques­tion est dispo­nible à cette adresse.

L’auteur expose notam­ment les failles de l’approche « abso­lue versus rela­tive » régu­liè­re­ment utili­sée par les prati­ciens pour abor­der la ques­tion de l’identifiabilité. Pour rappel, selon l’approche abso­lue, il suffit qu’un seul acteur de la commu­ni­ca­tion (four­nis­seur ou desti­na­taire) soit en mesure de réiden­ti­fier la personne concer­née, quel que soit l’effort requis, pour que les données soient consi­dé­rées comme person­nelles à l’égard de tous. À l’inverse, selon l’approche rela­tive, seuls sont perti­nents le point de vue du déten­teur des données et les moyens dont il dispose. Selon l’auteur ces deux visions sont toute­fois trop « rigides » et ne tiennent pas assez compte des derniers déve­lop­pe­ments en matière de protec­tion des données. Il propose un nouveau test plus nuancé, prenant en compte le contexte dans lequel les données sont traitées.

L’article analyse ensuite le trai­te­ment et le trans­fert des données pseu­do­ny­mi­sées à la lumière des déci­sions du Tribunal fédé­ral et des tribu­naux canto­naux, ainsi que les obli­ga­tions qui en découlent pour l’exportateur et l’importateur, tant sous l’angle de la Loi fédé­rale sur la protec­tion des données, de la Loi fédé­rale rela­tive à la recherche sur l’être humain que du Règlement géné­ral sur la protec­tion des données. Il en conclut que :

• Les données pseu­do­ny­mi­sées ou codées sont toujours des données person­nelles pour tous ceux qui ont accès à la clé ou ceux qui peuvent néan­moins iden­ti­fier les personnes (sur la base des moyens suscep­tibles d’être utili­sés dans l’environnement perti­nent, ce qui peut inclure des tiers).
• Pour les desti­na­taires qui n’ont pas accès à la clé et qui ne peuvent pas autre­ment iden­ti­fier les personnes, la posi­tion majo­ri­taire sous l’angle de la Loi fédé­rale sur la protec­tion des données, laquelle doit être suivie, est que ces données ne consti­tuent pas des données person­nelles pour ces destinataires.

L’auteur précise enfin que le fait que la même donnée puisse consti­tuer une donnée person­nelle pour une personne et une donnée anonyme pour une autre peut conduire à des consé­quences inat­ten­dues, notam­ment entraî­ner des respon­sa­bi­li­tés supplé­men­taires pour celui-ci qui trans­met les données.