Les DCP (données à caractère personnel)

Les données à caractère personnel (DCP) regroupent les données qui permettent d'identifier directement ou indirectement des individus.

Les DCP suivantes permettent d'identifier directement un individu :

Un nom ou l'empreinte d'un pouce sont des exemples clairs de DCP. Ce n'est cependant pas toujours aussi simple.

Prenons l'exemple d'un numéro de téléphone :

(408)-930-0

Pourriez-vous directement identifier quelqu'un, uniquement à partir de son numéro de téléphone ? Probablement pas. Pourtant, si vous disposez également d'un annuaire téléphonique, vous pourriez y parvenir.

Autrement dit, un numéro de téléphone, lorsqu'il est associé à un annuaire téléphonique, peut vous permettre d'identifier indirectement quelqu'un.

Cet exemple illustre une autre forme de DCP : les données collectées indirectement. Celles-ci proviennent de plusieurs sources et peuvent être associées pour identifier des individus.

Voici quelques exemples courants :

Il est difficile de déterminer quelles informations sont des DCP. Certains estiment par exemple que les adresses IP ne sont pas des DCP, puisqu'elles permettent d'identifier des ordinateurs, et non des individus. D'autres considèrent que les adresses IP sont bien des DCP, puisqu'elles permettent souvent de déduire la position géographique de quelqu'un (faisant d'elles des données collectées indirectement). Aucune classification claire n'a encore été établie.

Même si certaines données ne sont actuellement pas encore considérées comme des DCP, cela pourrait changer à l'avenir. Si un futur gouvernement venait à élaborer une loi disposant qu'un individu est propriétaire d'une série d'adresses IP, alors les adresses IP deviendraient par nature des DCP. Ce qui est considéré comme DCP ou non peut donc évoluer.

Les DCP collectées indirectement rendent cette classification encore plus difficile à établir. Vous pouvez par exemple utiliser les horodatages indiqués sur les publications des réseaux sociaux pour déduire le fuseau horaire d'une personne. Si cette dernière publie également une photo d'un restaurant où elle a mangé, vous pouvez vous servir du fuseau horaire pour déterminer où le restaurant se situe. À ce stade, vous pouvez savoir de façon plus ou moins précise où cette personne habite ou encore où elle se trouve ! Tout cela en combinant les horodatages et l'image d'un restaurant.

Dans cet exemple fictif, quelles étaient selon vous les DCP collectées indirectement : la photo du restaurant ou les horodatages ? Pensez-vous à d'autres exemples de données qui pourraient être classées comme DCP directes ou comme DCP collectées indirectement ?

Les pirates informatiques peuvent voler des DCP aux entreprises. On parle alors d'une fuite de données.

En 2017, l'agence d'évaluation de crédit Equifax a été victime d'une fuite de données. Les pirates ont ainsi eu accès aux DCP de 143 millions d'Américain·es (numéros de sécurité sociale, numéros de cartes de crédit...)${}^1$‍.

Une fois que les pirates ont eu accès à ces données, ils ont pu utiliser les numéros de sécurité sociale pour usurper l'identité de plusieurs personnes, et les numéros de cartes de crédit pour effectuer des achats non autorisés.

Mais comment savoir si vous avez été victime d'une fuite de données ? L'entreprise qui a subi la fuite doit normalement vous en informer, mais des services comme HaveIBeenPwned peuvent eux aussi vous fournir cette information.

Voici un exemple provenant du site HaveIBeenPwned, disponible en anglais, pour une adresse e-mail générique :

Lorsque des DCP tombent entre de mauvaises mains, la vie de leurs propriétaires peut s'en trouver affectée. Certaines lois ont donc pour but de réglementer le stockage et le traitement des DCP par les organisations.

Aux États-Unis par exemple, la loi HIPAA (Health Insurance Portability and Accountability Act) réglemente l'utilisation des DCP médicales, tandis que la loi COPPA (Children's Online Privacy Protection Act) réglemente l'utilisation des données personnelles des enfants. Dans l'Union européenne, la plupart des formes de DCP sont réglementées par le Règlement général sur la protection des données (RGPD). Si vous développez un jour un site Internet ou une application devant traiter les DCP d'utilisateurs dans ces juridictions, vous devrez suivre ces réglementations.

En tant qu'utilisateur·rices, il est préférable de transmettre des DCP aux services en ligne que lorsque c'est vraiment nécessaire. Notez qu'il est très rare de devoir fournir des identifiants tels qu'un numéro de sécurité sociale (ou numéro de registre national en Belgique).

Nous devons aussi être prudent·es par rapport à ce que nous publions sur les réseaux sociaux. Même si nos publications ne constituent pas directement des DCP, certaines informations dont nous ne comprenons pas encore les implications pourraient plus tard en faire des DCP collectées indirectement.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions sur ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !