Péchés dans mon herbier, quelques exemples suisse et européen de donnée et de données sensibles en matière de protection des données :

Selon l’article 5 let. a de la LPD, les données personnelles regroupent « toutes les informations concernant une personne physique identifiée ou identifiable ». Une personne est identifiable si elle peut être reconnue directement ou indirectement, par le biais de différentes informations combinées (numéro d’identification, données de localisation, caractéristiques physiques, génétiques, psychologiques, économiques, culturelles ou sociales).

L’identification peut se faire par un seul élément (ex. numéro de téléphone, numéro AVS, empreintes digitales) ou par un recoupement d’informations (adresse, date de naissance, état civil). Toutefois, la possibilité purement théorique d’identifier une personne n’est pas suffisante. Il faut considérer les moyens raisonnablement utilisables pour l’identification en fonction des technologies disponibles et de leur évolution.

Exemples de données personnelles :

Exemple 1 : Un drone volant à plus de 30 mètres sans enregistrer d’images en direct ne collecte pas de données personnelles, car les personnes au sol ne sont ni reconnaissables ni identifiables. (Arrêt OG-ZH UE200430-O/U/MUL du 26 novembre 2021).

Exemple 2 : Les journaux d’activité technique d’un système de surveillance domestique sont des données personnelles si le dispositif inclut un identifiant permettant d’identifier une personne. (Agencia Española de Protección de Datos, décision PS/00281/2022 du 21 avril 2023)

Exemple 3 : Une adresse e-mail professionnelle ne comportant pas d’identifiant direct mais utilisée exclusivement par une personne est considérée comme une donnée personnelle. (Gegevensbeschermingsautoriteit, décision 40/2023 du 03.04.2023)

Exemple 4 : Un numéro de matricule est une donnée personnelle. (Garante per la protezione dei dati personali, décision no 9815665 du 15.09.2022)

Exemple 5 : Une photographie d’un client sur le site d’une agence immobilière n’est pas une donnée personnelle si la personne porte un masque la rendant non identifiable. (Agencija za zaštitu osobnih podataka, décision du 16.11.2021)

Exemple 6 : Les données d’un compteur d’eau sont des données personnelles si elles permettent d’inférer des informations sur la consommation des occupants. (Bayerischer Verwaltungsgerichtshof, arrêt VGH München – 4 BV 21.2328 du 27.09.2022)

L’article 5 let. c LPD identifie certaines données comme « sensibles » en raison de leur nature particulièrement protégée (données sensibles) :

Opinions ou activités religieuses, philosophiques, politiques ou syndicales

Données de santé, de la sphère intime, origine raciale ou ethnique

Données génétiques (ex. profils ADN)

Données biométriques identifiant une personne de manière unique (ex. empreintes digitales, reconnaissance faciale, iris, voix)

Données sur des poursuites ou sanctions pénales et administratives

Données sur des mesures d’aide sociale

Exemples de données sensibles :

Exemple 1 : La publication sur un site officiel de données susceptibles de révéler indirectement l’orientation sexuelle d’une personne est un traitement de données sensibles. (CJUE, affaire C-184/20, arrêt du 1er août 2022 [§128])

Exemple 2 : Les données produites par un logiciel d’analyse des communications téléphoniques, y compris les caractéristiques comportementales de la voix, constituent des données biométriques. (Nemzeti Adatvédelmi és Információszabadság Hatóság, décision NAIH-85-3/2022 du 08.02.2022 ; CR LPD – MEYER/Tschumy, art. 5 LPD N 66)

Exemple 3 : L’analyse des émotions via le traitement de la voix, des mouvements des yeux et de la pression sanguine est controversée et peu fiable. (Information Commissioner’s Office [UK], prise de position du 26.10.2022 et Biometrics : Insight, version 1.0, 26.10.2022, p. 18) Interdit par le Règlement sur l’intelligence artificielle dès aujourd’hui si en lien avec l’exécution du travail et non justifié par des motifs de sécurité

Exemple 4 : La création d’un indice de proximité avec des partis politiques basé sur des données publiques constitue un traitement de données sensibles. (Oberlandesgericht Wien [AT], arrêt 6Ob35/21x du 15.04.2021)

Me Philippe Ehrenström, avocat, LLM