Législation

RGPD : Qu’est-ce qu’une donnée personnelle ?

L’entrée en vigueur le 25 mai 2018 du RGPD (Règlement Général sur la Protection des Données) implique, pour les entreprises, de bien maîtriser la notion de « données personnelles ». Derrière ce terme très général, se cache en réalité une multitude d’informations, plus ou moins sensibles, qu’une entreprise peut collecter. Explications.

Une donnée qui permet d’identifier une personne

L’article 4 du RGPD définit une donnée personnelle comme « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ». Une personne est réputée identifiable lorsqu’est mentionné un de ses identifiants : son nom, son numéro de client, des données sur sa localisation ou son adresse IP par exemple. Elle est également identifiable lorsqu’un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale sont inclus dans les données traitées : la voix (enregistrement téléphonique) et l’image (photos, vidéos) sont donc également concernées.

Le cas particulier des « données sensibles »

Certaines données dites « sensibles » doivent faire l’objet d’une vigilance particulière, notamment :

  • Celles qui révèlent les origines ethniques ou raciales,
  • Les informations relatives à la santé,
  • L’orientation sexuelle,
  • Les opinions politiques, religieuses ou philosophiques,
  • L’appartenance syndicale,
  • Les données d’infraction ou de condamnation pénale,
  • Les données génétiques ou biométriques.

Ces données pouvant donner lieu à des discriminations ou des préjugés en cas de fuite ou d’utilisation malveillante, leur collecte et leur utilisation sont strictement encadrées.

Deux façons d’identifier une personne

L’identification d’une personne physique est possible, selon les cas :

  • À partir d’une seule donnée (par exemple grâce à son numéro de Sécurité sociale) ;
  • À partir du croisement de plusieurs données (par exemple : un homme né tel jour, résidant à telle adresse et inscrit dans tel club sportif).

Qu’est-ce qu’un « traitement » de données ?

La notion de traitement est très vaste s’agissant des données personnelles. Il peut s’agir d’une opération ou d’un ensemble d’opérations, quel que soit le procédé : collecte, enregistrement, organisation, conservation, extraction, consultation, mise à disposition, rapprochement... Vous tenez un fichier de vos clients, sur papier ou informatisé ? Il vous arrive de collecter les coordonnées de prospects via un questionnaire ? Vous employez des salariés pour lesquels vous traitez nécessairement des informations à risque ? Vous effectuez donc du traitement de données personnelles et le RGPD s’impose à vous.