Qu’entend-on par « Donnée personnelle » ?
La loi définit une Donnée Personnelle (= DP) comme étant une « information se rapportant à une personne physique identifiée ou identifiable ».
Cette identification peut être directe (par exemple avec un prénom ou un nom), ou indirecte (grâce à un numéro de client ou d’adhérent, un numéro de téléphone ou de sécurité sociale, une donnée biométrique, physique, psychologique, génétique, économique, culturelle ou sociale, une donnée de connexion ou encore une photographie ou une vidéo,… Elle peut enfin résulter d’une combinaison de données personnelles permettant d’identifier une personne.
La notion de DP n’est pas liée au type de support de stockage : document papier (y compris post-it, carnet), fichier informatique, photo, vidéo, document audio sont considérés comme des supports de stockage par le RGPD dès lors qu’ils contiennent des données permettant d’identifier un individu.
CE QUE DIT LA LOI :
RGPD – Chapitre 1 – Article 4 – Définitions
Aux fins du présent règlement, on entend par :
1- «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Une donnée personnelle est une information qui permet d’identifier une personne physique. Elle peut être directement identifiante, indirectement identifiante ou résulter d’une combinaison de DP.
Voici quelques exemples de données personnelles :
- Les données qui concernent l’identité des personnes :
- leur civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses email, date de naissance,
- un « code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ».
- les données liées aux moyens de paiement,
- les données liées à une transaction : date d’achat, n° de commande, détail des produits commandés ou du service souscrit,
- les données qui concerne la situation familiale, économique et financière d’une personne : vie maritale, nombre d’enfants, catégorie professionnelle ou sociale, niveau de revenus, etc…
- les données liées au suivi client : messages échangés, suivis de S.A.V, historique des commandes, etc…
- les données liées aux règlements des factures : par exemple, sommes réglées, impayés, remises effectuées…
- les données utilisées pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion,
- les données liées à l’organisation et au traitement des jeux concours, de loteries, de sondages : réponses, date de la participation, gains…
- les avis sur des produits et services, y compris les pseudonymes des personnes.
Que sont les données personnelles « sensibles » ?
Les données sont définies comme particulièrement sensibles dès 1974 et dans la loi Informatique et Libertés du point de vue des libertés et des droits fondamentaux. Elles doivent faire l’objet d’une protection renforcée.
Ces données à risque sont :
- les données dites « sensibles » qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé physique ou mentale ou à la vie ou l’orientation sexuelle de celles-ci, les données génétiques et biométriques (art. 8 de la loi du 6 janvier 1978 modifiée) ;
- les données concernant les infractions, condamnations ou mesures de sûreté (art. 9 de la loi du 6 janvier 1978 modifiée) ;
- le Numéro d’Inscription au Répertoire (NIR) d’identification des personnes (communément appelé numéro INSEE ou numéro de sécurité sociale).
Tout traitement de données dites « sensibles » est interdit par principe par le RGPD sauf pour les exceptions définies dans le paragraphe 2 de l’Article 9 du RGPD.
CE QUE DIT LA LOI :
Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l’autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende. art. 226-16 du code pénal