Depuis l’entrée en vigueur du texte réglementaire européen encadrant le traitement des données dites personnelles RGPD (Règlement Général sur la Protection des Données) le 25 mai 2018, chaque entreprise établie sur le territoire de l’UE manipulant des données à caractère personnel est contrainte de s’y conformer quitte à se voir infliger de lourdes sanctions. Dans ce qui va suivre, on s’intéressera principalement sur ce que c’est exactement une donnée personnelle.
Donnée personnelle : de quoi parle-t-on exactement ?
La notion de « donnée personnelle » est à comprendre de manière très large. En ce qui concerne la définition de données personnelle, une donnée est dite personnelle dès lors que celle-ci se rapporte à un individu identifié ou identifiable. Une personne physique peut être identifiée, soit directement (nom, prénom…), soit indirectement (numéro de téléphone, donnée biométrique, numéro client, voix, éléments spécifiques propres à son identité physique, psychique, économique, génétique, sociale ou culturelle…). À noter par ailleurs que pour identifier un individu, une seule donnée suffit amplement dans certains cas et un croisement de plusieurs données dans d’autres cas.
Les différents types de données personnelles
On compte généralement deux types de données personnelles, à savoir les données sensibles et les données non-sensibles. Par donnée sensible, on entend celle qui est liée à l’orientation sexuelle, l’origine ethnique et raciale, les opinions religieuses ou politiques, l’appartenance syndicale, les données d’infraction… Quant à celle qui dite non-sensible, celle-ci peut être, soit le nom et prénom de l’individu, soit sa date de naissance, soit son sexe…
Traitement de données à caractère personnel : en quoi ça consiste ?
Au même titre que la notion de donnée personnelle, celle du traitement de cette dernière est également très large. Il s’agit ici d’une opération, ou d’un ensemble d’opérations qui se porte sur des données à caractère personnel, et ce, quelle que soit la méthode utilisée : collecte, sauvegarde, conservation, organisation, consultation, modification, utilisation, diffusion…). En guise d’exemple, une base de données contenant différentes informations concernant les clients (nom, prénom, âge, localisation, préférence comportement d’achat…) est considérée comme étant un traitement de données à caractère personnel. Il en va de même pour la collecte d’informations par le biais d’un questionnaire.
Dès lors que l’on traite à titre professionnel des données considérées comme personnelles, on est systématiquement soumis à la loi informatique et liberté. Sous peine de lourdes sanctions pénales, on est contraint de déclarer ses traitements à la Commission nationale de l’informatique et des libertés (CNIL), mais surtout de mettre en place toutes les mesures nécessaires permettant à l’entreprise de se conformer au RGPD parmi lesquels figure la désignation d’un Data protection officier (DPO).