Qu’est-ce qu’une donnee personnelle au sens du RGPD ?
Le RGPD definit la donnee personnelle comme toute information se rapportant a une personne physique identifiee ou identifiable. Une personne est consideree comme identifiable lorsqu’elle peut etre reconnue directement ou indirectement, par reference a un identifiant ou a un element qui lui est propre.
Les donnees personnelles ne se limitent pas au nom et au prenom. Elles englobent une grande variete d’informations : adresse email, numero de telephone, adresse IP, donnees de localisation, identifiant en ligne, photographie, enregistrement vocal ou encore habitudes de navigation.
Meme des donnees apparemment anodines peuvent constituer des donnees personnelles si elles permettent, seules ou combinees avec d’autres, d’identifier une personne. Un numero de dossier interne, un identifiant client ou une plaque d’immatriculation entrent dans cette categorie.
Decouvrir DPO France
Les differentes categories de donnees personnelles
Les donnees d’identification
Les donnees d’identification comprennent le nom, le prenom, la date de naissance, le lieu de naissance, le numero de securite sociale, le numero de carte d’identite ou de passeport. Ces donnees permettent d’identifier directement une personne.
Les donnees de contact
L’adresse postale, l’adresse email, le numero de telephone fixe ou mobile et les identifiants de messagerie font partie des donnees de contact. Elles sont collectees dans la plupart des relations commerciales ou administratives.
Les donnees professionnelles
Le poste occupe, l’entreprise, l’adresse professionnelle, le numero de telephone professionnel et l’adresse email professionnelle constituent des donnees personnelles protegees par le RGPD, y compris dans un contexte B2B.
Les donnees sensibles
Le RGPD accorde une protection renforcee aux donnees dites sensibles. Il s’agit des donnees revelant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les donnees genetiques, les donnees biometriques, les donnees de sante et les donnees relatives a la vie sexuelle ou l’orientation sexuelle.
Le traitement de ces donnees est en principe interdit, sauf exceptions strictement encadrees par le reglement : consentement explicite, obligations en matiere de droit du travail, interet vital de la personne ou motifs d’interet public.
Les donnees numeriques
L’adresse IP, les cookies, les identifiants de connexion, les donnees de navigation, les historiques d’achat en ligne et les preferences enregistrees sur un site web sont des donnees personnelles au sens du RGPD. Leur collecte et leur traitement doivent respecter les memes regles que les autres categories.
Decouvrir DPO Suite
Les obligations liees au traitement des donnees personnelles
Tout organisme qui collecte ou traite des donnees personnelles doit respecter plusieurs obligations. La premiere consiste a disposer d’une base legale valide pour chaque traitement : consentement, execution d’un contrat, obligation legale, interet legitime, mission d’interet public ou sauvegarde des interets vitaux.
L’organisme doit egalement informer les personnes concernees de maniere transparente sur l’utilisation de leurs donnees. Cette information doit etre claire, accessible et comprendre l’identite du responsable de traitement, les finalites, la base legale, les destinataires, la duree de conservation et les droits des personnes.
Le responsable de traitement doit garantir la securite des donnees en mettant en place des mesures techniques et organisationnelles adaptees. Il doit egalement tenir un registre des traitements et, dans certains cas, designer un DPO.
Les droits des personnes sur leurs donnees
Le RGPD confere aux personnes physiques un ensemble de droits sur leurs donnees personnelles. Le droit d’acces permet a toute personne de savoir si ses donnees sont traitees et d’en obtenir une copie. Le droit de rectification permet de faire corriger des donnees inexactes ou incompletes.
Le droit a l’effacement, egalement appele droit a l’oubli, permet de demander la suppression de ses donnees dans certaines conditions. Le droit a la portabilite permet de recuperer ses donnees dans un format structure pour les transmettre a un autre organisme.
Le droit d’opposition permet de s’opposer au traitement de ses donnees, notamment a des fins de prospection commerciale. Le droit a la limitation du traitement permet de geler temporairement l’utilisation de ses donnees en cas de contestation.
Comment proteger les donnees personnelles dans votre organisme
La protection des donnees personnelles commence par un inventaire exhaustif des traitements realises au sein de l’organisme. Cet inventaire doit recenser les categories de donnees collectees, les finalites, les destinataires et les durees de conservation.
La designation d’un DPO permet de piloter la conformite et de sensibiliser les equipes. Le DPO veille au respect du RGPD, repond aux demandes d’exercice de droits et assure la liaison avec la CNIL.
La mise en place de procedures internes est indispensable : gestion des demandes de droits, notification des violations de donnees, realisation d’analyses d’impact pour les traitements a risque et formation reguliere des collaborateurs.
Decouvrir Focus RGPD
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
