Identifier les données personnelles

Comprendre le traitement de données personnelles

Tout savoir sur la donnée personnelle

Les données personnelles sont toutes les informations concernant une personne physique identifiée ou identifiable.

Ces données personnelles permettent d’identifier les individus :

Directement, avec le nom et prénom de la personne
Indirectement, avec un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image comme une photo de la personne concernée

L’identification d’une personne physique peut être réalisée :

A partir d’une seule donnée, comme le nom de famille par exemple
A partir du croisement d’un ensemble de données personnelles comme l’adresse et la date de naissance

Le juste prix de vos données

Nous avons pris l’habitude d’utiliser Internet quotidiennement. Lors de nos navigations sur Internet nous devons faire attention aux données personnelles collectées par les sites pour protéger notre vie privée !

Qu’est-ce qu’une donnée sensible?

Certaines données revêtent un degré de criticité plus élevé, c’est la raison pour laquelle elles ont été nommées « données sensibles ». Les données sensibles sont une catégorie particulière de données personnelles permettant d’identifier une personne physique de manière unique.

Il peut s’agir de :

une donnée relative à la santé des individus ;
une donnée concernant la vie ou l’orientation sexuelle ;
une donnée concernant l’origine « raciale » ou ethnique ;
une donnée d’opinion politique, des convictions religieuses, philosophiques ou l’appartenance syndicale ;
les données génétiques et biométriques utilisées aux fins d’identifier une personne de manière unique.

En d’autres termes, les données sensibles sont toutes les données permettant d’aboutir à un jugement de « valeur » ou diagnostic médical sur une personne. Elles nécessitent donc une vigilance toute particulière dans leurs traitements. Le Règlement Général sur la Protection des données en interdit par principe la collecte.

La collecte de données sensibles

Les exceptions

Il y a cependant quelques certains cas où la collecte et le traitement de ces informations est autorisé, en voici quelques exemples :

La personne concernée a donné son consentement écrit clair et explicite
Ces données sensibles sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé
Les données sensibles concernent des membres ou adhérents d’un organisme à but non lucratif comme une association politique, religieuse, philosophique ou syndicale. Les données sensibles collectées par l’association ne doivent pas être communiquées hors de cet organisme sans le consentement des personnes concernées
Leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL

Comment protéger vos données personnelles ?

Pour éviter toutes attaques de cybercriminels, il est essentiel de protéger vos données.

Pour sécuriser vos données personnelles vous pouvez :

Installer les dernières mises à jour des logiciels
Créer des mots de passes forts et différents pour chaque site
Chiffrer vos données
Sauvegarder vos données afin d’éviter de tout perdre en cas de piratage
Faire attention à ce que vous publiez sur vos réseaux sociaux

Découvrir la cybersécurité

Les règles à respecter pour collecter des données personnelles

Finalité

Le responsable de traitement ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime.

Proportionnalité et pertinence

Les données collectées doivent être strictement nécessaire à la finalité.

Durée de conservation limitée

Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier. Il est possible d’anonymiser les données une fois la durée de conservation passée pour les utiliser à des fins statistiques.

Sécurité et confidentialité

Le responsable de traitement doit garantir la sécurité et la confidentialité des informations qu’il détient sur les personnes physiques, il doit également veiller que seules les personnes autorisées aient accès à ces informations.

À chaque fois que des données personnelles sont collectées, le support de collecte utilisé doit comporter des mentions d’information adéquates. Il est nécessaire d’être transparent avec la personne concernée sur l’ensemble de ces points. Ainsi, la personne concernée doit :

Avoir été averti de la finalité de la collecte
Avoir préalablement donné son autorisation
Être averti des personnes ayant accès aux données
Connaitre la durée de conservation
Les modalités pour exercer ses droits
Être averti s’il y a transfert de données hors de l’Union Européenne
…

En resumé

Collecter uniquement les données strictement nécessaires
Être transparent
Respecter les droits de consultation, rectification et de suppression des données
Maitriser les données stockés (ex : durée de conservation)
Identifier les risques
Sécuriser les données stockées

Faites-vous accompagner

Le DPO externe

Vous l’aurez compris, collecter et traiter des données à caractère personnel nécessite du temps, des ressources, du budget et des compétences.

Pas de panique, vous pouvez faire appel à un DPO externe (Délégué à la protection des données).

Il s’occupera de sensibiliser votre personnel, assurer votre conformité au regard du RGPD et d’assurer la coopération avec la CNIL.

Les mineurs bénéficient-ils d’une protection spécifique encadrés par le règlement RGPD ?

En effet, les mineurs sont de plus en plus actifs, autonomes et indépendants sur l’environnement numérique et notamment les réseaux sociaux. Considérées comme étant des personnes vulnérables, le RGPD et la Loi Informatique et Libertés prévoient une protection spécifique pour ces mineurs.

Voici quelques mesures complémentaires associées à la spécificité de l’âge d’une personne physique :

Lorsqu’un traitement de données concerne un mineur, l’information doit être renforcée. Il est donc important d’employer des termes clairs et simples, pour que le mineur puisse facilement comprendre ce qu’il advient de ses données.
Lorsqu’il est nécessaire de recueillir le consentement d’un mineur, des conditions particulières doivent être respectées.

Important !

Le RGPD a laissé la possibilité aux Etats membres de l’UE, de fixer l’âge de la majorité numérique entre 13 et 16 ans. La France, a fait le choix de fixer cette majorité à 15 ans ! Ainsi, le mineur de plus de 15 ans, peut consentir seul à un service de la société de l’information, comme s’inscrire, par lui-même, à un réseau social. Pour le cas des mineurs de 15 ans, il est nécessaire de recueillir un consentement conjoint : celui du mineur et celui de ses parents ou du titulaire de l’autorité parentale.

Autres pages qui pourraient vous intéresser

Registre de traitement des données

Un nouvel outil de pilotage indispensable

Formation au RGPD

Pourquoi est-il désormais nécessaire de se former au RGPD ?

Accompagnement RGPD

Vous guider dans la conformité

Voir tous les articles