RGPD : Que signifie la notion de données personnelles ?

Si les données personnelles sont au cœur du Règlement Général Européen sur la Protection des Données (RGPD), de nombreuses personnes ignorent encore ce que cela signifie réellement. Il n’y a pas de liste définitive expliquant quelles données sont qualifiées comme étant personnelles ou non, il s’agit donc de bien interpréter la définition du RGPD :

« Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, (ci-après dénommée « personne concernée ») ».

En d’autres termes, toute information concernant une personne en particulier. Mais dans quelles mesures ?
Le RGPD clarifie cela :

« Une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Cette définition est très large. En effet, dans certaines circonstances, l’adresse IP d’une personne, la couleur de cheveux, l’emploi, les opinions politiques peuvent être considérés comme étant des données personnelles.

La notion de « certaines circonstances » doit être mise en avant puisque le contexte permet de définir si les données collectées sont considérées comme étant personnelles ou non.

Les entreprises collectent habituellement différents types d’informations sur les personnes concernées, et si certaines données ne permettent pas d’identifier une personne, cela peut changer si associées à d’autres données.

Par exemple, une entreprise collectant les données de personnes téléchargeant des produits sur son site internet peut leur demander d’indiquer leur fonction. Cela ne correspond pas aux données personnelles du RGPD, en effet, selon toute vraisemblance, de nombreuses personnes ont la même fonction.

Une entreprise peut également demander pour quelle entreprise cette personne travaille, ce qui, encore une fois, ne permet pas d’identifier une personne (à moins qu’elle ne soit la seule à travailler dans cette entreprise).

Cependant, lorsque les données sont collectées ensemble, ces informations peuvent être utilisées afin de réduire le nombre de personnes au point de pouvoir, dans certains cas, déterminer l’identité de la personne concernée.

Bien sûr, ce n’est pas toujours le cas. Par exemple, savoir qu’une personne est serveuse chez Starbucks ne permet pas réellement de restreindre les possibilités. Dans ce cas, les données devront être associées à plus d’informations, telles que le nom de la personne.

On pourrait penser que le nom d’une personne est forcément considéré comme une donnée personnelle, mais cela n’est pas si simple :

« Seul, le nom de Pierre Blanc n’est pas nécessairement une donnée personnelle puisque de nombreux individus peuvent porter le même nom. Cependant, si le nom est associé à d’autres informations (telles que l’adresse, le lieu de travail, le numéro de téléphone), cela peut suffire à identifier un individu. »

Cependant, les noms ne sont pas obligatoirement nécessaires afin d’identifier une personne :

« Le fait que vous ne connaissiez pas le nom d’un individu ne signifie pas que vous ne pourrez pas l’identifier. En effet, beaucoup d’entre nous ne connaissent pas le nom de leur voisin mais peuvent tout de même les identifier. »

 

Court guide permettant de définir ce que sont les données personnelles

Comme expliqué ci-dessus, il peut être compliqué de savoir si les données correspondent à la définition des données personnelles. Cependant, l’entreprise de services Cloud Boxcryptor, fourni une liste des données pouvant être considérées comme personnelles, qu’elles soient seules ou associées à d’autres données :

  • Informations biographiques ou conditions de vie actuelles, y compris les dates de naissance, numéros de sécurité sociale, numéros de téléphone et adresses email.
  • Apparences et comportements, y compris la couleur des yeux, le poids ou les traits de caractère.
  • Informations professionnelles et liées à l’éducation, y compris le salaire, les données fiscales et numéro d’étudiant.
  • Données privées et subjectives, y compris, la religion, les opinions politiques et les données de géolocalisation.
  • Santé, maladie et génétique, y compris l’historique médical, les données génétiques et les informations liées aux congés maladie.

 

Comment les entreprises doivent-elles traiter les données personnelles

Si vous n’êtes pas sûr si les données que vous conservez sont des données personnelles ou non, il est préférable d’être prudent. Cela signifie qu’il faut s’assurer que les données sont sécurisées, réduire la quantité de données conservée, collecter seulement les données nécessaires afin d’accomplir vos activités de traitement et ne conserver les données qu’aussi longtemps que nécessaire.

Les données personnelles que vous collectez doivent être pseudonymisées et/ou cryptées.

La pseudonymisation masque les données en remplaçant les informations identifiantes par des identifiants artificiels.

Bien qu’il soit essentiel de protéger les données – ceci est mentionné à 15 reprises dans le RGPD – et que cela puisse aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites, c’est pourquoi le RGPD mentionne également le cryptage.

Le cryptage masque également les informations en remplaçant les identifiants. Mais, là où la pseudonymisation permet à toute personne y ayant accès de visualiser une partie des données, le cryptage ne permet qu’aux utilisateurs autorisés d’accéder à l’ensemble des données.

La pseudonymisation et le cryptage peuvent être utilisés simultanément ou séparément.

Alors qu’il ne reste plus que trois mois avant la date de mise en application du RGPD, il est important de prendre les mesures nécessaires afin de sécuriser les données personnelles que vous conservez. Les entreprises ne se conformant pas au RGPD feront face à des actions disciplinaires de la part des autorités de contrôle.

Si vous souhaitez bénéficier de conseils concernant les méthodes de mise en conformité avec le RGPD, téléchargez notre Livre Vert : Règlement Général Européen sur la Protection des Données – Guide de Conformité.

Ce guide vous propose un aperçu des changements clés établis par le RGPD, le champ d’application ainsi que l’impact du règlement et les domaines clés à prendre en compte lors de votre préparation à la mise en conformité.

 

 

 

Télécharger le Livre Vert dès maintenant

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.