Aller au contenu principal
  1. Accueil
  2. Actualités
  3. Blog
  4. Agence
  5. RGPD mon amour #1 : les données à caractère personnel
Agence

RGPD mon amour #1 : les données à caractère personnel

Voilà bientôt deux ans que le RGPD a été lancé en fanfare en France. Deux ans que nous avons pris ce sujet à bras le corps avec Sandrine, notre DPO. Après avoir compilé des dizaines et des dizaines de documents juridiques plus passionnants les uns que les autres — documents que nous avons synthétisés pour intégrer le RGPD dans nos process — nous avons eu l’idée de partager ces heures de travaux avec vous. Au travers d’une série d’articles dédiés au RGPD avec, en amuse-bouche, un tout premier billet sur ce que sont réellement les données à caractère personnel.

Publié le 08 juin 2020 par Sandrine Pawlicki

Ce sont elles qui ont mené à la création du RGPD : leur existence même, leur manipulation, leur partage (parfois involontaire) par leur propriétaire devaient être encadrés.

Pour les uns, ces données qu’on qualifie de « nouvel or noir » étaient (et sont toujours) d’une incommensurable richesse.  Pour les autres, il s’agissait d’un concept abstrait qui désigne les traces numériques laissées par chaque utilisateur lors de ses balades virtuelles sur le Net.
Déséquilibre il y avait : dans la compréhension de ce que sont ces données personnelles, dans leur maîtrise et dans leur utilisation. Il fallait y remédier, à une échelle internationale. L’Europe s’en est donc emparée pour créer le Règlement général sur la protection des données (aka RGPD).

la donnée est le nouvel or noir
La donnée relative aux clients et aux prospects est le nouvel or noir des entreprises.

L’arbre qui cache la forêt

Ce serait la métaphore la mieux adaptée pour décrire cette notion de données à caractère personnel, car elle est beaucoup plus vaste que ce qu’on pourrait envisager de prime abord. En voici la définition juridique :

“Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »);

– est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.

L’essentiel réside dans la première ligne de cette définition : dès lors qu’on peut identifier une personne, la moindre donnée collectée à son propos est considérée comme étant personnelle — même si ces informations sont en dehors du strict périmètre de la vie privée. Par exemple, si vous renseignez dans un formulaire en ligne le nom de l’entreprise dans laquelle vous travaillez, cette donnée est réputée personnelle.

Données personnelles au sein d'un formulaire simple
Les données délivrées sont personnelles, même au sein de formulaires simples ne contenant que très peu de champs.

Les données personnelles, dans le détail

Ainsi, le RGPD (incarné par la CNIL en France) donne une liste détaillée et non exhaustive de ces fameuses données personnelles — qui peut évoluer dans la durée, selon la jurisprudence ou les innovations technologiques. Cette liste précise donc les différentes familles de données personnelles, à savoir :

  • État civil, identité, données d’identification, images (nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
  • Vie personnelle (habitudes de vie, situation familiale, etc.)
  • Vie professionnelle (CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
  • Informations d’ordre économique et financier (revenus, situation financière, données bancaires, etc.)
  • Données de connexion (adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
  • Données de localisation (déplacements, données GPS, GSM, …)
  • Internet (cookies, traceurs, données de navigation, mesures d’audience, …)
Suivi de position Google RGPD
En enregistrant vos déplacements et votre localisation, Google collecte vos données personnelles.

Point de vigilance : les données sensibles

À noter que certaines données sont réputées sensibles, et mènent automatiquement à une analyse d’impact relative à la protection des données — aussi appelée AIPD. Car le traitement de ces données est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”. Il s’agit dans le détail :

  • Du numéro d’identification national (pour les ressortissants français : numéro de sécurité sociale) ;
  • De l’origine raciale/ethnique ;
  • Des opinions politiques ;
  • Des convictions religieuses ou philosophiques ;
  • De l’appartenance syndicale ;
  • Des données génétiques ;
  • Des données biométriques.
protection des données AIDP de la CNIL
L'analyse d’impact relative à la protection des données (AIPD) de la CNIL

Ce n’est pas tout…

Vous savez désormais définir les contours des données à caractère personnel dont vous devez assurer la protection, si vous en manipulez. Il y a fort à parier que vous ne regarderez plus vos formulaires de contact de la même manière !

Se posera ensuite la question des différents acteurs engagés et des responsabilités de chacun. Ainsi que du traitement des données collectées (pour quelles finalités ?). Ou encore des obligations de documentation — c’est-à-dire administratives.

Autant de sujets qu’on vous promet d’explorer dans le détail, pour les avoir décortiqués nous-mêmes.
Rendez-vous au prochain épisode !

Rédigé par

Sandrine Pawlicki
Sandrine Pawlicki
Développeuse back-end

Tags

Agence
E-commerce
Gestion de projet

Partager sur

Twitter
LinkedIn
Facebook
E-mail