Définition

Toute personne, de sa naissance à sa mort, génère des données à caractère personnel ou « donnée personnelle », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier. C’est l’élément de base de notre vie privée. La définition qu’en donne le RGPD est la suivante : « toute information se rapportant à une personne physique identifiée ou identifiable ».

Quelques précisions

Une donnée personnelle peut consister dans « toute information », dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.

Lorsque nous effectuons des démarches administratives, achetons un bien, souscrivons à un service, communiquons par e-mail ou sur un forum, utilisons une application mobile ou les outils digitaux de notre entreprise, nous générons des données personnelles. Pour être qualifiée de donnée personnelle, l’information en cause doit donc concerner une personne physique – par opposition aux personnes morales (entreprises, société, etc.).

Il existe deux catégories de données personnelles :

  • celles qui concernent des personnes physiques directement identifiées
  • celles qui concernent des personnes physiques indirectement identifiables.
Qu'est-ce qu'une donnée personnelle - CNIL 2019

Collecte de données personnelles

La collecte des données à caractère personnel est strictement encadrée par le RGPD. En effet, ce dernier est venu apporter un cadre réglementaire afin de limiter les collectes de données personnelles abusives.

A cet égard, il consacre le principe de minimisation dans la collecte de données personnelles et prévoit que « les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

autrement dit, les entreprises doivent désormais collecter les données personnelles qu’à des fins spécifiques. Il sera dès lors obligatoire d’indiquer le type de données collectées ainsi que la raison pour laquelle la collecte est nécessaire. Cela permettra d’assurer une totale transparence entre le responsable de traitement, à l’origine de la collecte, et la personne concernée. 

Conservation des données

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit etre proportionnée à la finalité du traitement.

Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer, anonymiser les données personnelles des personnes concernées.

Voici quelques exemples de durée de conservation :

  • pour les données relatives à la gestion de la paie, la durée maximale de conservation est de 5 ans. 
  • les données personnelles d’un prospect doivent être supprimées s’il ne répond à aucune sollicitation depuis au moins 3 ans.
Types de données personnelles - MOOC CNIL 2019

Traitement de données personnelles

Qu'est-ce qu'un traitement de données personnelles - MOOC CNIL 2019

Un traitement de données personnelles, qu’est-ce que c’est ?

« Traitement » est le terme générique employé dans le RGPD pour désigner une opération quelconque sur des données personnelles. En effet, le RGPD s’applique aux traitements de données personnelles.

Selon la définition très large qu’en donne le RGPD, il s’agit de toute opération effectuée sur une Donnée Personnelle, telle que la collecte, l’enregistrement, la structuration, le stockage, l’extraction, la modification, la consultation, l’utilisation, la publication, la communication par transmission, diffusion ou toute autre forme de mise à disposition, ou encore le croisement (matching) et l’interconnexion, ainsi que la limitation, l’effacement ou la destruction.

La conséquence de cette définition très large est de donner un champ d’application très ample au RGPD. Au fond, toute opération sur des données personnelles, quelle que soit cette opération, est un traitement de données personnelles.

Cas d’usage

Prenons deux exemples opposés.

Le RGPD indique que l’enregistrement, le stockage et la consultation de données personnelles sont des traitements de ces données. Cela montre que toute opération, même complètement passive (consultation sur un site internet, etc.) peut donner lieu à une application du RGPD.