Définition

Qu’est-ce qu’une donnée personnelle

Toute personne, de sa naissance à sa mort, génère des données à caractère personnel ou « donnée personnelle », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier. C’est l’élément de base de notre vie privée.

Avec l’entrée en vigueur du Règlement Général sur la protection des Données le 25 mai 2018, la définition retenue est la suivante : « toute information se rapportant à une personne physique identifiée ou identifiable ».

Quelques précisions

Une donnée personnelle peut consister dans « toute information », dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.

Lorsque nous effectuons des démarches administratives, achetons un bien, souscrivons à un service, communiquons par e-mail ou sur un forum, utilisons une application mobile ou les outils digitaux de notre entreprise, nous générons des données personnelles.

Pour être qualifiée de donnée personnelle, l’information en cause doit donc concerner une personne physique – par opposition aux personnes morales (entreprises, société, etc.).

Il existe deux catégories de données personnelles :

  • celles qui permettent d’identifier directement une personne physique (nom, prénom)
  • celles qui permettent d’identifier indirectement une personne physique (numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou email, voix, images …)
Qu'est-ce qu'une donnée personnelle - CNIL 2019

Traitement de données personnelles

Un traitement de données personnelles, qu’est-ce que c’est ?

« Traitement » est le terme générique employé dans le RGPD pour désigner une opération quelconque sur des données personnelles. En effet, le RGPD s’applique aux traitements de données personnelles.

Selon la définition très large qu’en donne le RGPD, il s’agit de toute opération effectuée sur une donnée personnelle, telle que :

  • la collecte
  • l’enregistrement
  • la structuration
  • le stockage
  • l’extraction
  • la modification
  • la consultation
  • l’utilisation
  • la publication
  • la communication par transmission
  • diffusion ou toute autre forme de mise à disposition
  • le croisement (matching) et l’interconnexion
  • la limitation
  • l’effacement et la destruction

La conséquence de cette définition très large est de donner un champ d’application très ample au RGPD. Au fond, toute opération sur des données personnelles, quelle que soit cette opération, est un traitement de données personnelles qui doit être répertoriée par le responsable du traitements, sous l’égide du Délégué à la protection des données personnelles.

Qu'est-ce qu'un traitement de données personnelles - MOOC CNIL 2019

Cas particulier de la collecte de donnée

Quand on cherche à définir qu’est-ce qu’une donnée personnelle, il est indispensable d’aborder le sujet de leur collecte. 

Qu’est ce que la collecte de données ?

La collecte de données personnelles consiste en, comme son nom l’indique, l’action de réunir des informations personnelle sur une ou plusieurs personnes et ce par quelques moyens que ce soit (formulaire, à la main lors d’une rencontre physique, récupération de base de données …), quelles qu’en soient les finalités (Marketing, RH, sales …).

La collecte de données est la première étape lorsque l’on souhaite faire du traitement (que ce soit pour du business ou en interne pour les Ressources Humaines).

Collecter des données a un impact considérable sur leur sécurité et sur la protection de la vie privées des personnes. C’est pourquoi l’ensemble de ces pratiques sont strictement encadrées par le RGPD. En effet, ce dernier est venu apporter un cadre réglementaire afin de limiter les collectes de données personnelles abusives et ainsi d’assurer la protection des des données RGPD.

Le cas de la collecte de données

A cet égard, il consacre le principe de minimisation dans la collecte de données personnelles et prévoit que « les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Autrement dit, les entreprises doivent désormais collecter les données personnelles qu’à des fins spécifiques et dans des proportions qui leur sont adaptées. Il sera dès lors obligatoire d’indiquer le type de données collectées ainsi que la raison pour laquelle la collecte est nécessaire.

Cela permet d’assurer une totale transparence entre le responsable de traitement, à l’origine de la collecte, la personne concernée et d’offrir de meilleure garanties en matière de protection des données. 

Cas d’usage

Prenons deux exemples opposés.

Le RGPD indique que l’enregistrement, le stockage et la consultation de données personnelles sont des traitements de ces données. Cela montre que toute opération, même complètement passive (consultation sur un site internet, etc.) peut donner lieu à une application du RGPD.

Découvrez quelles entreprises ont été sanctionnées pour traitement de données illicites

Consultez la carte des sanctions RGPD

Conservation des données

Seconde interrogation sur la question « Qu’est-ce qu’une donnée personnelle ? » : la conservation des données.

Conserver les données personnelles que l’on a en sa possession pendant une durée limitée et raisonnable est obligatoire afin d’assurer leur sécurité et leur fraîcheur.

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit être proportionnée à la finalité du traitement.

Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer, anonymiser les données personnelles des personnes concernées.

Voici quelques exemples de durée de conservation :

  • pour les données relatives à la gestion de la paie, la durée maximale de conservation est de 5 ans. 
  • les données personnelles d’un prospect doivent être supprimées s’il ne répond à aucune sollicitation depuis au moins 3 ans.

Vous souhaitez gérer vos traitements de données efficacement ?

Découvrez DATA LEGAL DRIVE