Qu’est-ce qu’une donnée personnelle ?

Qu’est-ce qu’une donnée personnelle ?

par | Sep 8, 2022

Qu’est-ce qu’une donnée personnelle ? 

Arcticle mis à jour le 8 septembre 2022

L’avènement des réseaux sociaux, l’intensification du recours aux dispositifs de vidéosurveillance, la multiplication des systèmes de géolocalisation et des objets connectés mais également la dématérialisation ont fait explosés la collecte et l’utilisation de données personnelles.

Afin de protéger ces données et la vie privée des personnes, le cadre légal et règlementaire a progressivement été renforcé.

Lord Privacy vous explique dans cet article ce qu’est une donnée à caractère personnel.

 

Quelques minutes pour mieux comprendre cette notion.

Les points clés d’une donnée personnelle

En premier lieu, pour comprendre les obligations liées à la protection des données personnelles, il convient de définir le terme de donnée à caractère personnel.

 

Une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable.

 

C’est une définition très large !

Attention, cette définition ne recoupe pas seulement les données qui permettent d’identifier les personnes !

Les données personnelles peuvent permettre d’identifier une personne :

  • soit de manière directe (avec un nom et un prénom par exemple),
  • soit de manière indirecte (avec un numéro de référence client ou un numéro de téléphone).

    Aussi, une personne physique peut être identifiée à partir d’une seule donnée (son nom) mais également à partir de ce qu’on appelle un croisement de donnée.

    Une donnée personnelle peut recouper une multitude d’informations classées en plusieurs catégories :

    • Données d’identité ou d’état civil (exemple : date de naissance)
    • Données financières (exemple : situation fiscale)
    • Données professionnelles (exemple : C.V)
    • Données de connexion (exemple : adresse IP)
    • Données de localisation (exemple : coordonnées GPS)
    • Données sur la vie personnelle (exemple : habitudes de vie)
    • Etc.

    Au contraire, certaines données ne sont pas considérées comme des données à caractère personnel.

    Tel est le cas par exemple du numéro d’enregistrement SIRET d’une société. Une adresse e-mail dite générique telle que n’est de la même façon pas considérée comme une donnée personnelle. Les données anonymisées ne sont plus qualifiées de données personnelles car cette technique empêche toute identification de la personne par quelque moyen que ce soit et de manière irréversible.

    Dans ces trois cas, les données ne se rapportent pas ou plus à une personne physique, elles ne sont donc pas des données à caractère personnel.

    Point de vigilance

    Le caractère accessible, public ou confidentiel d’une donnée n’a aucune incidence sur la qualification de donnée personnelle !

    Une photographie publiée et accessible sur un réseau social reste une donnée à caractère personnel !

    Catégories particulières de données personnelles

    Certaines données sont qualifiées de données sensibles. Elles répondent à un régime particulier.

    Les données « sensibles » regroupent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

    Convictions philosophiques

    Convictions politiques

    Convictions religieuses

    Appartenance syndicale

    Orientation sexuelle

    Données de santé

    Prétendues origines raciales

    ou ethniques

    Données biométriques

    NB : Par ailleurs, les informations relatives aux infractions et condamnations pénales ne sont pas considérées comme des données sensibles mais font l’objet d’une protection similaire.

    En principe, la collecte et l’utilisation de ce type de données sont interdites par le RGPD.

    Toutefois, il existe plusieurs exceptions autorisant ce type de traitement et notamment lorsque :

    • la personne concernée a donné son consentement explicite ;
    • le traitement de ces données est justifié par un but médical ou pour la recherche dans le domaine de la santé ;
    • le recours à ces données est justifié par l’intérêt public et est autorisé par la CNIL ;
    • ces données concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

    NB : La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle en France chargée de veiller à la protection des données personnelles. Elle veille  également à ce que l’informatique ne porte pas atteinte à l’identité des citoyens, à leurs droits ou à leur vie privée ainsi qu’aux libertés individuelles ou publiques. La CNIL joue un rôle de conseil, d’information et d’alerte envers les publics. Elle dispose également d’un pouvoir de contrôle et de sanctions.

    Lord Privacy et les données personnelles

     

    Avec Lord Privacy, pilotez simplement la mise en conformité RGPD de votre entreprise.

    Les démarches sont simplifiées avec des plans d’action accessibles ! En cas de demande d’exercice de droits ou de violation de données, vous pouvez suivre pas-à-pas les indications sur notre logiciel RGPD Lord Privacy Solution, il vous indique la démarche à suivre. Laissez-vous guider !

    Découvrez nos offres

    Qu’est-ce qu’un responsable de traitement ?

    Qu’est-ce qu’un responsable de traitement ?

    par | Oct 28, 2021

    Responsable de traitement RGPD : 

    Le responsable de traitement au sens du RGPD est la personne morale (entreprise ou collectivité par exemple) ou physique qui détermine : les moyens et les finalités d’un traitement.

    Lorsque le responsable de traitement est une personne morale, elle sera incarnée par son représentant légal (PDG, maire par exemple).

     

    Responsable de traitement, pilote de la mise en conformité.

    LE RÔLE DU RGPD

    Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.

    Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.

    Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.

    LES FINALITÉS ET LES MOYENS D’UN TRAITEMENT

    Si une entreprise/organisation décide « pourquoi » et « comment » les données à caractère personnel devraient être traitées, elle est donc le responsable du traitement.

    Pour rappel, chaque activité de traitement doit avoir une ou plusieurs finalités.

    La finalité de traitement, c’est l’objectif, ou ce pourquoi les données sont utilisées.

     Elle est :

    ✔️ déterminée en amont du traitement ;

    ✔️ spécifique : elle ne doit pas être trop large comme « augmenter le chiffre d’affaires de l’entreprise » ;

    ✔️ et légitime.

    Les moyens du traitement regroupent :

    ✔️ les moyens techniques (exemple : le matériel, les mesures de sécurité)  ;

    ✔️ les moyens humains (exemple : les personnes mises à contribution au sein de l’organisme) ;

    ✔️ les moyens organisationnels (exemple : les tiers qui ont accès aux données).

    Il peut arriver qu’un organisme s’associe à un ou plusieurs autres pour décider conjointement « pourquoi » et « comment » les données à caractère personnel devraient être traitées. Ils seront alors responsables conjoints de l’activité de traitement.

    En pratique, cette relation doit être encadrée par un acte juridique qui permet de déterminer les responsabilités de chacun et ainsi se conformer au RGPD.

    OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

    Quelles sont les obligations principales du responsable de traitement au regard du RGPD ?

    ✔️ Mettre en place un registre des activités de traitement.

    Ce registre contient les différentes informations relatives aux activités de traitement effectuées sous sa responsabilité telles que : les finalités de traitement, les catégories de personnes concernées, les données ou catégories de données traitées, les durées de conservation des données, etc.

    ✔️ Tenir une documentation (accountability) pour prouver sa mise en conformité au RGPD (registres du sous-traitant et des violations de données, analyse d’impact le cas échéant, etc.).

    ✔️ Mettre en place des mesures organisationnelles et techniques pour assurer la sécurité des données qu’il collecte et stocke.

    ✔️ Coopérer avec l’autorité de contrôle, en France la CNIL.

    ✔️ Dans certains cas, nommer un DPO (par exemple, lorsque le responsable de traitement est un organisme public comme une collectivité territoriale).

    ✔️ Mettre en place les mesures nécessaires pour respecter les droits des personnes concernées : accès, modification, opposition, etc.

    En tant que responsable de traitement, vous souhaitez faire le point sur votre mise en conformité ? Répondez à notre autodiagnostic RGPD !

    Découvrez nos offres

    RGPD : qui est concerné ?

    RGPD : qui est concerné ?

    par | Oct 7, 2021

    RGPD : qui est concerné ? 

    Entrepreneur, dirigeant ou salarié :  vous vous demandez si votre entreprise est concernée par la mise en conformité au RGPD ?

    Plus de 3 ans après son application, faisons aujourd’hui le point sur les critères d’application du Règlement Général sur la Protection des Données.

    LE RÔLE DU RGPD

    Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.

    Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.

    Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.

    QUI EST CONCERNÉ PAR LE RGPD ?

    L’article 2 du RGPD indique que ce règlement s’applique : « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier

    C’est ce qu’on appelle le critère d’application matériel.

    Tous les traitements de données personnelles sont concernés qu’ils soient effectués sur papier ou support numérique. Pour en savoir plus sur la notion de traitement de données, rendez-vous sur notre article « Qu’est-ce qu’un traitement de données à caractère personnel ? ».

    OÙ S’APPLIQUE LE RGPD ? DANS QUELS PAYS EST-IL APPLICABLE ?

    L’article 3 du RGPD prévoit ce qu’on appelle le champ d’application territorial du règlement.

    « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

    Le règlement s’impose donc aux organisations situées sur le territoire de l’Union européenne qui traitent des données. Le traitement peut avoir lieu ou non dans l’Union européenne, le RGPD restera applicable si l’organisation est située sur le territoire d’un des pays membres.

    Attention, le RGPD va également s’appliquer aux organisations non établies en Union européenne qui proposent des biens et des services ou suivent le comportement de personnes situées sur ce territoire.

    Par exemple : une entreprise située aux États-Unis, qui vend des produits en Europe et collecte des données personnelles, sera soumise au RGPD, de la même manière qu’une entreprise de l’Union européenne.

    EXCEPTIONS À L’APPLICATION DU RÈGLEMENT

    Des exceptions sont toutefois prévues, le RGPD ne s’applique pas aux traitements suivants effectués :

    ✔️ dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union, par exemple la sécurité nationale ;

    ✔️ par les États membres dans le cadre d’activités qui relèvent des dispositions spécifiques concernant la politique étrangère et de sécurité commune ;

    ✔️ par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, par exemple l’organisation d’un évènement entre amis ;

    ✔️ par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection des menaces pour la sécurité publique et la prévention de telles menaces.

    CONCRETEMENT, À QUI S’APPLIQUE LE RGPD ?

    Le RGPD s’applique à toutes les organisations qui traitent des données personnelles :

    ✔️ publiques comme privées ;

    ✔️ qui effectuent des traitements de données pour leurs propres comptes ou non ;

    ✔️ peu importe sa taille (de la PME au grand groupe) ;

    ✔️ peu importe son but lucratif ou non (les associations et les collectivités territoriales sont elles aussi concernées).

    Évidemment l’impact pour les entreprises ne sera pas le même selon la nature, le contexte, les finalités et les risques des traitements mis en œuvre.

    Toutefois et même pour les TPE des obligations légales sont à respecter et des bonnes pratiques à mettre en œuvre en vertu du RGPD.

    Toutes les entreprises auront l’obligation notamment de :

    ✔️ constituer un registre des traitements de données mis en œuvre ;

    ✔️ faire le tri dans les données personnelles collectées ;

    ✔️ respecter l’information et le droit des personnes concernées ;

    ✔️ sécuriser les données personnelles.

    Par ailleurs, les entreprises qui traitent des données pour le compte d’une autre entité soumise au RGPD, devront également respecter le règlement.

    Ces organismes sont qualifiés de sous-traitants de données personnelles. Ils auront des obligations spécifiques visant à garantir la protection des données personnelles.

    Découvrez nos offres

    Qu’est-ce qu’un traitement de données personnelles ?

    Qu’est-ce qu’un traitement de données personnelles ?

    par | Sep 23, 2021

    Qu’est-ce qu’un traitement de données à caractère personnel ? 

    Une des notions fondamentales du Règlement Général sur la Protection des Données (RGPD) est celle de traitement de données à caractère personnel.

     

    Nous vous proposons aujourd’hui une brève explication de cette notion.

    LE RÔLE DU RGPD

    Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.

    Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.

    Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.

    LA NOTION DE TRAITEMENT DE DONNÉES PERSONNELLES

    Il convient d’abord de définir le terme. Un traitement de données à caractère personnel c’est : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données […] à caractère personnel ».

    À noter : le support utilisé importe peu, il peut être automatisé ou non, informatisé ou non.

    Un traitement peut être fait sur un bout de papier comme sur un ordinateur.

    Voici quelques exemples de traitements de données personnelles :

    Envoi d’e-mails promotionnels

    Destruction d’une page de liste de prospects

    Collecte d’informations via un formulaire de contact

    Enregistrement de vidéosurveillance

    Le RGPD a dressé une liste d’opérations qui peuvent constituer un traitement. Parmi lesquelles :

    Collecte de données

    Enregistrement de données

    Consultation de données

    Limitation d’accès aux données

    Effacement ou destruction de données

    Etc.

    Enfin, un traitement de données à caractère personnel doit avoir une ou plusieurs finalités.

    Découvrez nos offres

    Pin It on Pinterest