Les données cryptées sont-elles des données à caractère personnel ? Ou, dans le cas de données cryptées, la législation sur la protection des données peut-elle être ignorée ?
Situation juridique antérieure sous la BDSG
Sous l'empire de la loi fédérale sur la protection des données (BDSG), qui sera toutefois abrogée le 25 mai 2018, une partie des autorités allemandes de surveillance de la protection des données partait du principe que les données à caractère personnel cryptées de manière sécurisée à l'aide d'un procédé cryptographique puissant conforme à l'état actuel de la technique n'étaient pas personnelles, car les données étaient "illisibles". Il s'agit là d'un résultat réjouissant, car les données cryptées ne relèvent alors en aucune manière de la législation sur la protection des données et ses restrictions importantes, par exemple en cas de transmission à des tiers, ne doivent pas être respectées.
Nouvelle situation juridique sous l'empire du RGPD
Les données cryptées sont considérées - selon l'opinion probablement dominante - comme des données pseudonymisées sous le Règlement général sur la protection des données (RGPD) de l'UE et non comme des données anonymisées. En effet, les données cryptées peuvent être décryptées à l'aide de la clé. Cette situation est comparable à celle où seuls des mots de code sont transmis et où ces mots de code peuvent être "décodés" si la table de correspondance entre le mot de code et le texte en clair est connue. Si, par exemple, Alice convient avec Bob que le mot "arbre" (mot de code) doit signifier le mot "Max Mustermann" (texte en clair), un décryptage peut être effectué par n'importe qui si cette correspondance est connue. Il n'y a donc qu'une pseudonymisation.
Même les données cryptées devront donc être considérées au départ comme des données à caractère personnel (sous une forme pseudonymisée). Le fait que les clés ne soient accessibles qu'aux personnes autorisées, à savoir l'expéditeur et le destinataire, et non au tiers qui ne connaît que les données cryptées, ne change rien à cette classification dans un premier temps.
Toutefois, sur la base d'un arrêt de la CJUE rendu en 2016 concernant la directive européenne sur la protection des données, il est possible de se demander si les données cryptées peuvent constituer des données anonymisées lorsque, dans la pratique, un décryptage est peu probable compte tenu des moyens possibles. Il s'agit de la décision de la CJUE concernant les adresses IP dynamiques :
La directive européenne sur la protection des données "[...] doit être interprétée en ce sens qu'une adresse dynamique de protocole Internet, enregistrée par un fournisseur de services de médias en ligne lors de l'accès d'une personne à un site Internet que ce fournisseur rend accessible à tous, constitue pour ce fournisseur une donnée à caractère personnel au sens de ladite disposition, lorsqu'il dispose de moyens juridiques lui permettant de faire identifier cette personne sur la base des informations complémentaires dont dispose le fournisseur d'accès à Internet de cette personne".
(CJUE, arrêt du 19 octobre 2016, affaire C-582/14).
La CJUE laisse ainsi entendre que des données cryptées peuvent être anonymisées (et donc ne plus être soumises au droit de la protection des données) si les possibilités de décryptage font défaut.
Un considérant du RGPD, certes non contraignant sur le plan juridique et servant uniquement d'explication, indique également que des données en soi pseudonymisées peuvent constituer des données anonymisées si un décryptage est improbable :
"Les principes de protection des données devraient s'appliquer à toute information se rapportant à une personne physique identifiée ou identifiable. Les données à caractère personnel pseudonymisées qui pourraient être attribuées à une personne physique par l'utilisation d'informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de tenir compte de tous les moyens susceptibles d'être raisonnablement utilisés par le responsable du traitement ou par toute autre personne pour identifier directement ou indirectement cette personne physique, comme par exemple la mise à l'écart".
(Considérant 26 du RGPD)
Pour que le droit de la protection des données intervienne, il doit exister une donnée sur une personne déterminée et identifiable. Selon le considérant cité, une telle identifiabilité doit faire défaut si, compte tenu de tous les moyens disponibles, l'identifiabilité est improbable.
Conclusion sur le RGPD
Les données cryptées sont au départ des données à caractère personnel et sont donc soumises à la législation sur la protection des données. Une évaluation complète du cas d'espèce peut toutefois révéler que le décryptage est improbable et qu'il n'y a donc plus de données à caractère personnel. Il ne suffit pas que le tiers ne connaisse pas la clé. Il convient plutôt d'évaluer les possibilités matérielles et juridiques (par exemple, le droit d'accès) de décryptage. Le regard ne doit pas se limiter au tiers concerné. En effet, le ministère public pourrait par exemple avoir accès aux données du tiers par le biais d'une perquisition. Il faudrait donc également réfléchir aux possibilités matérielles et juridiques dont dispose le ministère public et à la probabilité d'un décryptage.
Il faut en outre tenir compte de l'état de la technique, qui rend le décryptage des cryptages actuels de plus en plus facile. Au départ, il convient donc de traiter également les données cryptées comme des données à caractère personnel et d'examiner ensuite au cas par cas si les données doivent exceptionnellement être considérées comme des données anonymisées qui ne sont pas soumises à la législation sur la protection des données.
La distinction entre données à caractère personnel et données anonymisées représente une valeur économique considérable, dont dépend même la légalité de certains modèles commerciaux. Si vous avez besoin d'une évaluation pour votre situation concrète, nous examinerons volontiers la situation juridique de manière ciblée pour votre situation et en tenant compte des exigences économiques et pratiques.