Qu’est-ce qu’une donnée personnelle ?

Données à caractère personnel, le nouvel « or noir »

Accueil//Tout savoir sur le RGPD//Qu’est-ce qu’une donnée personnelle ?

Définition

Qu’est-ce qu’une donnée personnelle ?

Toute personne, de sa naissance à sa mort, génère des données à caractère personnel ou « donnée personnelle », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier. C’est l’élément de base de notre vie privée.

Avec l’entrée en vigueur du Règlement Général sur la protection des Données le 25 mai 2018, la définition retenue est la suivante : « toute information se rapportant à une personne physique identifiée ou identifiable« .

Les données personnelles sont au centre des enjeux du RGPD. C’est pour assurer la protection des données à caractère personnel qu’une telle régulation a été mise en place, tant leur utilisation impacte profondément la vie privée de chacun.

Découvrez en plus sur les enjeux du RGPD

En savoir plus

Quelques précisions

Une donnée personnelle peut consister dans « toute information« , dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.

Lorsque nous effectuons des démarches administratives, achetons un bien, souscrivons à un service, communiquons par e-mail ou sur un forum, utilisons une application mobile ou les outils digitaux de notre entreprise, nous générons des données personnelles.

Pour être qualifiée de donnée personnelle, l’information en cause doit donc concerner une personne physique – par opposition aux personnes morales (entreprises, société, etc.).

Il existe deux catégories de données personnelles :

  • celles qui permettent d’identifier directement une personne physique (nom, prénom)
  • celles qui permettent d’identifier indirectement une personne physique (numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou email, voix, images …)

Ainsi le terme donnée personnelle peut comprendre un large panel d’informations, allant de base de données CRM au simple cookie d’un site web.

Qu'est-ce qu'une donnée personnelle - CNIL 2019

Traitement de données personnelles

Un traitement de données personnelles qu’est-ce que c’est ?

« Traitement » est le terme générique employé dans le RGPD pour désigner une opération quelconque sur des données personnelles. En effet, le RGPD s’applique aux traitements de données personnelles.

Selon la définition très large qu’en donne le RGPD, il s’agit de toute opération effectuée sur une donnée personnelle, telle que :

  • la collecte
  • l’enregistrement
  • la structuration
  • le stockage
  • l’extraction
  • la modification / rectification
  • la consultation
  • l’utilisation
  • la publication
  • la communication par transmission
  • diffusion ou toute autre forme de mise à disposition
  • le croisement (matching) et l’interconnexion
  • la limitation
  • l’effacement et la destruction

La conséquence de cette définition très large est de donner un champ d’application très ample au RGPD. Au fond, toute opération sur des données personnelles, quelle que soit cette opération, est un traitement de données personnelles qui doit être répertorié par le responsable du traitement, sous l’égide du Délégué à la protection des données personnelles. A noter qu’un sous-traitant (ou prestataires) peuvent effectuer des traitements de donnée pour le compte de l’entreprise en question. Au quel cas il faudra redoubler de vigilance et bien intégrer tous les acteurs dans le processus de mise en conformité RGPD.

Dès lors qu’une entreprise traite des données, un aspect essentiel fait son apparition : L’entreprise doit respecter un certains nombre de droits, accordés aux personnes concernées par le traitement de données, lorsque ces dernières en font la demande.

Qu'est-ce qu'un traitement des données à caractère personnel - MOOC CNIL 2019

Cas particulier de la collecte de donnée

Quand on cherche à définir qu’est-ce qu’une donnée personnelle, il est indispensable d’aborder le sujet de leur collecte.

Qu’est ce que la collecte de données ?

La collecte de données personnelles consiste en, comme son nom l’indique, l’action de réunir des informations personnelles sur une ou plusieurs personnes et ce par quelques moyens que ce soit (formulaire, à la main lors d’une rencontre physique, récupération de base de données …), quelles qu’en soient les finalités (Marketing, RH, sales …).

La collecte de données est la première étape lorsque l’on souhaite faire du traitement (que ce soit pour du business ou en interne pour les Ressources Humaines).

Collecter des données a un impact considérable sur leur sécurité et sur la protection de la vie privée des personnes. C’est pourquoi l’ensemble de ces pratiques sont strictement encadrées par le RGPD. En effet, ce dernier est venu apporter un cadre réglementaire afin de limiter les collectes de données personnelles abusives et ainsi d’assurer la protection de leurs données RGPD.

C’est notamment là qu’intervient le principe de base légale (on pense notamment au consentement qui joue une part essentielle dans le processus de respect des droits et libertés individuelles).

Le cas de la collecte de données

Qu’est-ce que le processus de minimisation

A cet égard, le RGPD consacre le principe de minimisation dans la collecte de données personnelles et prévoit que « les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Autrement dit, les entreprises ne doivent désormais collecter les données personnelles qu’à des fins spécifiques et dans des proportions qui leur sont adaptées. Il sera dès lors obligatoire d’indiquer le type de données collectées ainsi que la raison pour laquelle la collecte est nécessaire.

Cela permet d’assurer une totale transparence entre le responsable de traitement, à l’origine de la collecte, la personne concernée et d’offrir de meilleure garanties en matière de protection des données.

Cas d’usage

Prenons deux exemples opposés.

Le RGPD indique que l’enregistrement, le stockage et la consultation de données personnelles sont des traitements de ces données. Cela montre que toute opération, même complètement passive (consultation sur un site internet, etc.) peut donner lieu à une application du RGPD.

Découvrez quelles entreprises ont été sanctionnées pour traitement de données illicites

Consultez la carte des sanctions RGPD

Conservation des données

Seconde interrogation sur la question « Qu’est-ce qu’une donnée personnelle ? » : la conservation des données.

Conserver les données personnelles que l’on a en sa possession pendant une durée limitée et raisonnable est obligatoire afin d’assurer leur sécurité et leur fraîcheur.

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit être proportionnée à la finalité du traitement.

Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer, anonymiser les données personnelles des personnes concernées.

Voici quelques exemples de durée de conservation :

  • pour les données relatives à la gestion de la paie, la durée maximale de conservation est de 5 ans
  • les données personnelles d’un prospect doivent être supprimées s’il ne répond à aucune sollicitation depuis au moins 3 ans

À lire aussi