La notion de données personnelles est au cœur du RGPD dont le rôle est en effet… de protéger les données personnelles des citoyens européens. Dans la même logique, la fonction de DPO ou Délégué à la Protection des Données est bien de veiller aux bonnes pratiques de l’entreprise dans le cadre de ses opérations de traitement des données.
Mais que recouvre exactement la notion de données personnelles ? Dès lors qu’une entreprise manipule des données personnelles, que celles-ci appartiennent à ses clients, à ses partenaires ou à ses salariés, elle rentre dans le cadre du RGPD et doit donc s’assurer de rester en conformité au texte. C’est donc bien le critère du caractère personnel ou non de la donnée qui détermine où se situe l’entreprise par rapport à la réglementation.
Il est donc essentiel de bien comprendre la définition de la donnée personnelle au sens du RGPD et de la CNIL. Ensuite, on verra qu’il existe des méthodes pour sortir du champ d’application du texte et enlever aux données leur caractère personnel. Par ailleurs, certains types de données bénéficient d’une protection particulière : c’est le cas des données sensibles.
Données personnelles : définition
En France, c’est la CNIL elle qui définit la notion de données personnelles. Une donnée personnelle et « toute information se rapportant à une personne physique identifiée ou identifiable”.
Décomposons cette définition des données personnelles pour bien la comprendre. D’abord, la donnée est une information qui porte sur une personne physique. Il ne s’agit donc pas d’une information sur une entreprise par exemple, comme un numéro de SIRET ou une marque commerciale. De même, une adresse mail générique d’une entreprise n’est pas, en principe, une donnée personnelle.
Ensuite, le texte précise que la personne physique concernée doit être identifiée ou identifiable. La personne peut d’abord être identifiée directement : c’est le cas lorsque vous possédez son nom et son prénom, par exemple. Elle peut également être identifié indirectement par un élément d’information qui n’est pas son nom mais qui lui est propre : c’est le cas par exemple d’un numéro de téléphone ou d’une plaque d’immatriculation.
L’identification de la personne peut se faire à travers une seule donnée ou bien en croisant un ensemble d’informations sur elle. Cet ensemble d’informations peut par exemple consister en l’ensemble des données de navigation d’une personne, comme ses habitudes d’achat, les sites web qu’elle consulte régulièrement, ou les publicités sur lesquelles elle a cliqué.
En d’autres termes, la définition des données personnelles donnée par la CNIL est très large et il est très facile pour une entreprise d’entrer dans le champ d’application du texte.
Peut-on enlever aux données leur caractère personnel ?
Il est possible d’adopter des procédés pour diminuer le niveau de risque attaché au traitement des données personnelles. Notamment, il est possible de “pseudonymiser” voire d’anonymiser les données collectées. Il devient alors impossible d’identifier la personne concernée, le critère de la CNIL n’est donc plus rempli et la donnée n’est plus considérée comme une donnée personnelle.
Néanmoins, ce procédé n’est pas valable à tous les coups. En effet, la Commission Européenne précise que l’anonymisation doit être irréversible. Plus précisément, la donnée ne doit plus pouvoir être utilisée pour identifier la personne concernée.
On peut citer par exemple le fait de flouter le nom d’une personne sur une liste pour le rendre illisible, qui est un exemple d’anonymisation cité par la CNIL. Néanmoins, puisque cette opération doit être irréversible, elle ne convient pas à toutes les opérations de traitement.
Il est donc très courant pour les entreprises de préférer rester dans le champ des données personnelles et donc du RGPD. Il est alors nécessaire de mettre en place un certain nombre de mesures, comme le recueil du consentement des personnes concernées ou la sécurisation des données, pour assurer leur mise en conformité avec le RGPD.
Données personnelles et données sensibles
Toutes les données personnelles ne se valent pas et certaines font l’objet d’une protection particulière. Il s’agit des données sensibles, qui sont une sous-catégorie des données personnelles. Les données sensibles sont considérées comme telles parce qu’elles portent sur des éléments de la vie privée des personnes pouvant potentiellement engendrer des discriminations : il s’agit d’informations portant sur des questions de genre ou d’orientation sexuelle, de croyances ou encore d’appartenance à des mouvements politiques ou syndicaux, par exemple.
Dans ce cas, le RGPD prévoit un principe d’interdiction du traitement de ces données en dehors de cas d’exception restrictifs. Parmi ces cas, le consentement explicite de la personne concernée, qui doit porter sur la nature de la donnée collectée mais aussi sur la finalité du traitement opéré.
D’une façon générale, les données sensibles doivent faire l’objet d’un contrôle renforcé. Cependant les principes à respecter dans leur traitement, lorsque celui-ci est autorisé, sont les mêmes que pour les données personnelles en général : transparence du traitement, proportionnalité entre la finalité et les moyens mis en œuvre, ainsi qu’un certain nombre de règles comme l’obligation d’effectuer une analyse des risques (AIPD).
Ainsi, un très grand nombre d’entreprises collectent, manipulent et traitent des données personnelles. Cela n’a rien de repréhensible en soi et ces opérations sont souvent nécessaires à la bonne marche de l’entreprise. Néanmoins, il est essentiel de respecter les obligations du RGPD en la matière. Dans ce contexte, un logiciel de conformité RGPD peut vous aider à organiser vos efforts, à les rendre plus efficaces et à gagner du temps sur votre mise en conformité avec la réglementation.
