Les notions essentielles : Qu'est-ce qu'une "donnée à caractère personnel" exactement ?
Comprendre les notions essentielles du RGPD pour mieux protéger les données.
Protéger les données à caractère personnel représente aujourd'hui une importante responsabilité pour les entreprises et organismes amenés à en manipuler.
Mais avant de pouvoir les protéger, encore faut-il savoir les identifier ! La clé pour une bonne application des principes du RGPD implique donc, dans un premier temps, une bonne appréhension de ce que recouvre le terme "données à caractère personnel" (ou "données personnelles").
↪ Cet article a pour objectif de vous guider, de manière claire et visuelle, dans la compréhension de cette notion, afin de vous permettre par la suite de repérer facilement les informations nécessitant une protection particulière.
💡 La notion de "donnée personnelle"
Le RGPD définit les données à caractère personnel comme toute information qui se rapporte à une personne physique (un être humain) identifiable (reconnaissable), directement ou indirectement.
❗Plus simplement :
Sera considérée comme une donnée personnelle toute forme d'information permettant de reconnaître ou de remonter jusqu'à une personne précise.
Dès lors qu'une information, à ce titre, nous renseigne sur l'identité, l'apparence, l'entourage, la personnalité ou les habitudes d'un individu bien particulier, alors il s'agit d'une donnée personnelle !
❓Directement ? Indirectement ? Que signifient ces deux notions ?
L'identification d'un individu, au sens du RGPD, va pouvoir se faire de deux manières : directement, et indirectement.
▷ Une identification sera faite directement dès lors qu'une seule information suffira à reconnaître et isoler une personne précise parmi d'autres. Il va s'agir, par exemple, d'un numéro de téléphone, du numéro de sécurité sociale, d'une photographie, etc.
▷ Une identification sera faite indirectement à partir du moment où le cumul de plusieurs informations sera nécessaire pour remonter à un individu en particulier. Cette notion va donc englober les informations plus générales, telles que l'âge, les habitudes de vie, le genre, etc.
⚙️ Quelques illustrations
Le terme "données personnelles" peut recouvrir des informations relativement évidentes, se rapportant, par exemple, à l'identité même d'une personne :
Mais attention ! Ce type d'informations est loin d'être le seul à permettre de distinguer un individu. D'autres éléments, plutôt relatifs à la personnalité et au cadre de vie de la personne peuvent conduire à son identification :
La question des données personnelles a émergé en même temps que la progression des technologies et de l'informatisé.
En effet, on retrouve énormément de données personnelles dans le cadre de l'usage des outils numériques. Dans ce domaine, certains éléments moins intuitifs, comme l’adresse IP, l’adresse email (même professionnelle, dès lors que celle-ci est associée à une personne bien spécifique !) ou encore les données de géolocalisation, constituent également des données dites "personnelles".
Assez vite, on se rend compte qu'une très large variété d'information de toute nature peut constituer une "donnée à caractère personnel". Pour autant, toute information ne constitue pas nécessairement une donnée à caractère personnel !
👁️🗨️ Distinguer la donnée personnelle de la donnée non personnelle
Certaines données, par nature, ne permettent pas d'identifier à une personne particulière. Ce sera le cas, par exemple, des informations se rapportant aux personnes morales (aux sociétés, aux associations, à l'Etat, et plus globalement à toute organisation ayant un statut juridique).
Ainsi, par exemple, le nom d'une société ne permet en aucun cas de remonter jusqu'à un individu en particulier.
En revanche, le nom d'une société, en étant associé à d'autres informations, peut alors devenir une donnée identifiante, et donc personnelle !
C'est le cas, par exemple, lorsque l'on parle de la profession d'une personne :
Evoquer la Société ABC seule n'est pas une information personnelle. Parler, cependant, d'un salarié employé par la Société ABC en est une ! Dans le premier cas, cette information ne permet pas d'envisager l'identité d'une personne précise. Dans le second cas, cette information peut nous permettre de remonter à un individu qui a la particularité de travailler chez la Société ABC.
En croisant, par exemple, l'information "un salarié employé par la Société ABC" avec une autre information "une personne qui porte tous les jours une cravate verte", cela nous permet de remonter à M. Jean !
💭 L'essentiel à retenir
Une donnée à caractère personnel, en définitive, désigne tout renseignement sur un individu susceptible de permettre, plus ou moins facilement, de remonter jusqu'à cette personne (comme on pourrait le faire, finalement, dans le cadre d'une enquête !).
La donnée personnelle, en ce sens, peut être utilisée pour retrouver une personne, mais va également permettre à d'autres personne de connaître des informations (plus ou moins sensibles) relevant de la vie privée de la personne concernée.
⚖️ C'est pour cette raison que les données personnelles font l'objet d'une protection particulière par les lois et les règlements.
Au regard de la grande diversité d'informations susceptibles de permettre l'identification d'une personne, il est extrêmement rare qu'une entreprise ou autre entité ne se trouve jamais dans une situation l'amenant à manipuler de telles données.
Comprendre la notion de données personnelles n'est dans cette hypothèse que le premier pas (mais néanmoins, un grand pas !).
Il appartient par la suite à chaque organisation de mettre en place des mesures efficaces pour protéger ces données et garantir leur conformité avec le RGPD.
→ La protection des données n'est pas qu'une simple formalité, c'est un engagement fondamental envers la confidentialité et la sécurité des individus !
_________________________________________
Article rédigé par Ninon MAIRE le 27/09/2024
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.