BlogOstraca solution
Gouvernance des données

Qu'est-ce qu'une donnée personnelle et quelles sont les exigences qui l’entoure?

Nicolas Verlhiac
19 mai, 2021
10 min

Le traitement des données personnelles est un domaine souvent négligé par les entreprises. Toutefois, toute personne qui collecte des données auprès de clients et d’employés doit se demander s’il s’agit de données à caractère personnel. Le traitement de ces données est soumis à des règles particulières.

La meilleure définition d’une données personnelle est définies dans Le règlement général sur la protection des données (RGPD) . Découvrez ici si vous collectez des données personnelles dans votre entreprise et comment vous devez les traiter.

1. Qu’est-ce qu’une donnée personnelle ?


Si on regarde l’art. 4 (1) du RGPD, le terme de données personnelles comprend toutes les données relatives à une personne physique identifiée ou identifiable. Toute personne est considérée comme une personne physique pour la durée de sa vie. Une personne est considérée comme identifiable si elle peut être identifiée directement ou indirectement.

Par exemple : une personne devient identifiable par l’attribution d’un identifiant (un numéro de client, un numéro de personnel ou un identifiant en ligne) ou par la combinaison de plusieurs éléments d’information. Dans ce contexte, il suffit que les données permettent théoriquement l’identification de la personne concernée, et non que la personne soit effectivement identifiée.

Ce même article 4 précise que les données personnelles comprennent les informations qui permettent de connaître l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale des personnes physiques.

Il est donc évident que les noms et les numéros de téléphone, par exemple, relèvent des données à caractère personnel. En outre, l’apparence d’une personne ou même l’adresse IP permettent également d’identifier une personne. De plus, des informations moins uniques, telles que les heures de travail ou un itinéraire emprunté, peuvent également relever des données à caractère personnel.

Parce que les données personnelles concernent des personnes, celles-ci doivent en conserver la maîtrise.

2. les données personnelles dans l’entreprise


Les entreprises qui participent directement ou indirectement au traitement des données sont couvertes par les principes généraux de la protection des données ainsi que par des réglementations spécifiques. L’article 5 (1) du RGPD énonce les principes du traitement des données personnelles.

Ces principes doivent être pris en compte lors du traitement des données personnelles dans l’entreprise - en outre, le responsable du traitement doit être en mesure de démontrer qu’il s’y conforme (obligations dites de responsabilité, art. 5 (2)).

Traitement de bonne foi : la clause générale étant formulée de manière très abstraite, une évaluation n’est possible qu’au cas par cas, en appréciant l’ensemble des circonstances. Cela inclut, par exemple, la priorité de la collecte directe, selon laquelle le responsable du traitement doit collecter les données à caractère personnel directement auprès de la personne concernée et non indirectement par l’intermédiaire d’un tiers, puisque la personne concernée ne peut pas s’attendre régulièrement à ce qu’un tiers collecte les données.

Licéité du traitement : Selon l’article 6, le traitement est licite s’il existe une base légale correspondante ou le consentement de la personne concernée.

Transparence : Le principe de transparence doit être rempli, par exemple, par les obligations d’information desart. 12 et suivants doivent être respectées. Ce principe vise à garantir que les personnes concernées puissent exercer leur droit à l’autodétermination informationnelle et qu’elles sachent et comprennent à tout moment qui traite leurs données personnelles, dans quel but et comment.

Minimisation des données : les données personnelles doivent être adéquates pour la finalité et limitées à ce qui est nécessaire aux fins du traitement. Un principe s’applique donc : collecter le moins de données personnelles possible.

Limitation de la finalité : tout traitement de données à caractère personnel doit être fondé sur une finalité spécifique. Conformément à l’article 5 (1b), les données personnelles ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Limitation du stockage : les données personnelles ne peuvent être stockées que pendant la durée nécessaire à la réalisation de la finalité du traitement, à condition que cela ne soit pas contraire aux obligations légales de conservation, c’est ce que l’on appelle aussi « le droit à l’oubli ». Si le stockage n’est plus nécessaire aux fins pour lesquelles elles sont traitées, les données doivent être supprimées conformément à l’article 17 (1a).

Exactitude du traitement des données : les données personnelles doivent être factuellement exactes et mises à jour conformément à l’article 5 (1d). Les personnes concernées ont le droit de demander la correction des données inexactes conformément à l’article 16.

Intégrité et confidentialité : Les données à caractère personnel doivent également être traitées d’une manière qui garantit une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels (cf: l’article 5, (1f)) . Cela se fait par des mesures techniques et organisationnelles appropriées, conformément à l’article 32 du RGPD.

3. Les types de données personnelles


Les données personnelles sont au cœur de la réglementation sur la protection des données dans le règlement général sur la protection des données (RGPD). Selon la définition légale, il s’agit d’informations qui se rapportent à une personne physique identifiée ou identifiable (personne concernée). Une distinction est faite entre les différents types de données personnelles. Du point de vue de la législation sur la protection des données, leur besoin de protection varie. Certaines catégories de données personnelles sont considérées comme particulièrement sensibles et bénéficient d’une protection juridique accrue. Leur traitement nécessite une attention accrue.

Données à caractère personnel nécessitant une protection particulière

Selon l’art. 9 (1) du RGPD, les catégories particulières de données personnelles comprennent les données concernant :

  • l’origine raciale ou ethnique,
  • les opinions politiques,
  • les convictions religieuses ou philosophiques ou l’appartenance syndicale,
  • les données génétiques,
  • les données biométriques aux fins d’identifier une personne physique de manière unique,
  • les données concernant :
    • la santé
    • la vie sexuelle
    • l’orientation sexuelle d’une personne physique

Le traitement de catégories particulières de données à caractère personnel

Le règlement général sur la protection des données interdit le traitement de catégories particulières de données personnelles. Le traitement de ces données n’est autorisé que dans des cas particuliers exceptionnels. L’un des plus importants concerne le traitement fondé sur le consentement explicite de la personne concernée conformément à l’article 9 (2.a).

Consentement au traitement de catégories particulières de données à caractère personnel

Le consentement au traitement doit être explicite et se référer explicitement au traitement de catégories particulières de données à caractère personnel, après que la personne concernée ait été informée de la sensibilité des données.

Une action concluante n’est pas suffisante. Par ailleurs, le consentement doit être donné volontairement. En particulier dans le cadre de relations juridiques correspondantes, telles qu’une relation de travail, le caractère volontaire peut être remis en question si le salarié se trouve dans une situation de dépendance particulière vis-à-vis de l’employeur.

Le caractère volontaire est présumé si le consentement est destiné à obtenir un avantage juridique ou économique pour le travailleur salarié. Le caractère volontaire de la déclaration de consentement d’un employé n’est donné que si, malgré une relation juridique de subordination supérieure à son employeur, le refus de la déclaration de consentement n’entraîne pas de conséquences désavantageuses - par exemple, si le refus de publier la photo de l’employé sur - le nom d’un réseau social professionnel - n’entraîne pas l’exclusion des événements de l’entreprise.

Il est important de noter que l’employeur a également le devoir susmentionné d’informer sur le traitement. Le salarié doit être informé de la finalité déterminée du traitement et, en conséquence, de son droit de révocation conformément à l’article 7 (3).

Respecter les catégories spéciales de données personnelles

En raison de leur besoin de protection et de la gravité du risque d’atteinte aux droits et libertés des personnes concernées, les catégories particulières de données à caractère personnel sont soumises à des exigences supplémentaires.

Par exemple, une déclaration de consentement de la personne concernée doit être obtenue plus rapidement lors du traitement de ces données. Il convient de revoir :

  • les mesures techniques et organisationnelles dans ce secteur,
  • les formulations correspondantes dans les déclarations de consentement.

En cas de doute, avant de traiter des catégories particulières de données à caractère personnel, il faut toujours vérifier si cela est couvert par un élément d’autorisation en vertu de l’article 9 (2) du RGPD.

Dans l’ensemble, les entreprises doivent toujours être conscientes que le traitement des catégories spéciales de données personnelles est l’exception.

Pourquoi les données personnelles méritent-elles d’être protégées ?

Du point de vue de la protection des données, le traitement des données personnelles est une question délicate. Ces données permettent d’identifier une personne de manière particulière et permettent également de tirer des conclusions sur son mode de vie (cf. données personnelles particulièrement dignes de protection).

Les données personnelles sont de l’argent pour les entreprises, car elles peuvent être utilisées, entre autres, pour appliquer des stratégies de marketing et de vente ciblées aux individus.

C’est d’autant plus visibles dans le commerce des adresses et des données. (Voir la solution Ostraca pour s’en protéger)

Ici, le législateur applique parfois des normes particulièrement strictes en matière de protection des données, même si celles-ci ne sont pas réellement interdites en soi. Dans certains cas, la protection des données recoupe d’autres droits de la personne, comme le droit à l’image. Les photographies d’autres personnes, par exemple, ne peuvent être publiées sans autre forme de procès. On l’oublie souvent dans le domaine des médias sociaux.

4. le traitement des données personnelles


Les données personnelles se rapportent à une personne spécifique ou permettent d’identifier une personne.

Ce terme est le point de départ du règlement général sur la protection des données. Elle ne s’applique qu’aux personnes physiques, et non aux données des personnes morales. Le traitement de ces données personnelles est soumis à des règles particulières, comme nous venons de le voir jusqu’à présent.

Qu’est-ce qui caractérise le traitement des données personnelles du point de vue des personnes concernées ?

Une considération essentielle en ce qui concerne les données personnelles sont les principes de traitement selon l’art. 5. Le traitement de ces données n’est licite que si l’une des conditions de l’art. 6 (1) est remplie. Au quotidien, cela signifie, par exemple, que certains traitements de données lors de la visite de sites web, tels que l’installation de cookies destinés au marketing, ne sont autorisés que si le propriétaire des données y a expressément consenti. Par ailleurs, les personnes concernées devraient également traiter elles-mêmes leurs données personnelles avec soin et ne pas les transmettre à la légère.

Le traitement des données personnelles dans les entreprises

Les entreprises sont évaluées en fonction de la manière dont elles traitent les données personnelles, c’est-à-dire du sérieux avec lequel elles prennent la question de la protection des données.

L’approche légale du sujet par les entreprises en matière de protection des données est devenue depuis longtemps un avantage concurrentiel important dans le domaine du B2B et du client final. Les entreprises sont évaluées en fonction de leur présence sur Internet et des dispositions relatives à la protection des données personnelles qui y sont mises en œuvre.

Que signifie le traitement des données personnelles pour la pratique des affaires ?

Les entreprises doivent respecter certains principes lors du traitement des données à caractère personnel. La “collecte de données” arbitraire et non planifiée n’est pas autorisée. Les données à caractère personnel ne peuvent être traitées que de manière licite, dans un but précis et de manière exacte. Par ailleurs, sa portée doit être limitée aux données nécessaires à la réalisation de la finalité. On peut se demander si les commerçants sur Internet, par exemple, ont nécessairement besoin d’une date de naissance pour traiter une commande. Les données ne doivent pas être conservées plus longtemps que nécessaire, c’est-à-dire qu’elles doivent être supprimées lorsque l’objectif du traitement a été atteint.

La protection des données comprend des mesures techniques et organisationnelles que l’entreprise doit appliquer. Les employés sont tenus de respecter la confidentialité et la protection des données. Dans l’ensemble, une attention particulière est toujours requise de la part de l’entreprise lorsqu’elle traite des données personnelles, afin de ne pas négliger les réglementations pertinentes dans ce domaine et, surtout, de les mettre en œuvre de manière appropriée.

Divulgation de données personnelles


Bien que le transfert de données à caractère personnel soit l’une des formes classiques de traitement et qu’il fasse donc depuis longtemps l’objet de réglementations correspondantes en matière de protection des données, ce sujet pose des difficultés d’application pratique à de nombreuses entreprises.

La divulgation de données à caractère personnel constitue une atteinte manifeste

Quiconque divulgue des données personnelles porte atteinte de manière durable aux droits de la personne concernée. Par conséquent, tant les entreprises que les particuliers doivent vérifier la légalité de leur comportement conformément à l’article 6 du RGPD avant de procéder à une telle divulgation.

Toute forme d’imprudence et de négligence à ce stade du traitement des données à caractère personnel peut entraîner des sanctions juridiques, telles que des amendes, et, surtout, des conséquences factuelles pour la personne concernée. On peut d’ailleurs supposer que la divulgation des données personnelles est également dans l’intérêt particulier des autorités de contrôle.

Dans le contexte des amendes élevées fixées par le RGPD, les entreprises doivent traiter la question de manière approfondie. De plus, en cas de violation des dispositions correspondantes en matière de protection des données, on arrive rapidement dans le domaine d’autres violations légales telles que la violation des droits de la personnalité. Cela peut conduire à des demandes de dommages et intérêts considérables.

6. la suppression des données personnelles


Toute personne qui collecte des données doit également veiller à ce qu’elles soient effacées et détruites dès que certaines conditions sont remplies. Le RGPD met en œuvre le “droit à l’oubli” dans toute l’Europe. Cela renforce considérablement les droits des personnes concernées et élargit les obligations des entreprises lors de l’effacement et de la destruction des données.

Que signifie la suppression des données ?

Cela paraît évident, a tel point que l’article 17 ne définit pas le terme « supprimer des données ». En principe, la règle suivante s’applique : est supprimé ce qui ne peut plus être récupéré. Par conséquent, si les données ont été stockées sur un support réinscriptible, elles doivent être effacées de manière permanente et effective du support de données à l’aide d’un logiciel d’effacement conçu à cet effet. Dans le contexte de l’Internet et des applications de programme, la suppression des données peut signifier la suppression du lien ou du chiffrage correspondant. L’effacement et la destruction des données peuvent donc techniquement couvrir des différentes dispositions.

Ce même article 17 présente une liste de circonstances de suppression. Selon cette disposition, les données doivent être supprimées si :

  • la finalité du traitement des données a cessé d’exister. L’idée de base est que les données correspondantes ne sont plus nécessaires.
  • le propriétaire des données révoque son consentement à la collecte des données. S’il n’y a pas d’autre base juridique pour le traitement des données, il n’y a pas de base juridique pour le stockage futur des données dans ce cas.
  • le propriétaire des données s’est opposé au traitement des données. Ici aussi, il n’y a pas de base juridique pour le traitement des données correspondantes si l’entreprise n’a pas d’autres raisons de traiter les données.
  • il est clair que les données à caractère personnel ont été collectées ou traitées de manière illicite dès le départ. Dans ce cas, il n’y avait pas de base juridique pour la mesure de traitement des données dès le départ.
  • l’opération d’effacement est nécessaire au respect d’une obligation légale en vertu du droit de l’UE ou sur une base juridique nationale.

Destruction des données - autres exigences pour la mise en œuvre

S’il existe un motif de suppression, l’entreprise doit supprimer les données sans délai. Immédiatement signifie que les processus d’effacement doivent être exécutés sans retard coupable. Cela signifie aussi, que le responsable du traitement des données - sur la base du cas individuel spécifique - a droit à un délai raisonnable pour mettre en œuvre le processus d’effacement sans retard de sa part.

Dans le cas où une personne concernée demande l’effacement de ses données, elle doit :

  • être informé des mesures appropriées d’effacement au plus tard dans un délai d’un mois à compter de la réception de sa demande d’effacement
  • ou être informé des raisons du refus de sa demande.

Droit des personnes concernées : demander l’effacement

Les personnes concernées peuvent, de manière autonome, adresser à l’entreprise une demande correspondante de suppression de leurs données. Il est recommandé que cette demande soit faite sous forme de texte (par exemple, un e-mail).

La demande est accompagnée d’un contrôle d’identité correspondant du demandeur. Cette demande de suppression doit également être considérée dans le contexte de l’art. 15 du RGPD, qui prévoit le droit d’accès aux données collectées et stockées. En cas de refus d’effacement, l’agence de traitement des données doit motiver ce refus.

Bonus


Nous vous mettons à disposition un document pour faire une demande, en bonne et due forme, d’accès à vos données personnelles : Document RGPD : Demande d’accès aux données personnelles.docx


Tags

#europe#data#cnill#rgpd

Articles en rapport avec ce sujet

L'Europe veut réduire l’impact des centres de données sur le climat d'ici 2030

15 juin, 2021
5 min
© 2021, Ostraca Forensic Tous droits réservés.

Ostraca

Notre solutionNous contacter

Suivre l'actu