Qu’est-ce que les données personnelles?
Les données à caractère personnel désignent toute information relative à une personne identifiée ou identifiable.
Voici des exemples du type d’informations qui peuvent permettre l’identification directe ou indirecte d’une personne et donc être qualifiées de données à caractère personnel:
- prénom, nom de famille, numéros de téléphone des clients, des parties prenantes, des employés ou encore des fournisseurs;
- les numéros d’identification, tels que le numéro de client d’une personne, le numéro d’employé d’une personne,
- une référence de réservation;
- adresses e-mail, données de localisation;
- l’historique de navigation d’une personne;
- l’historique d’achat et les reçus d’un particulier;
- photos, vidéos et enregistrements audio contenant des images ou des sons d’individus.
Avec ces données personnelles, une personne peut être identifiée directement ou indirectement:
- si votre organisation traite le prénom ou le nom de famille d’une personne, par exemple, ces données personnelles permettent l’identification directe de cette personne;
- si votre organisation traite le numéro de client ou la référence de réservation d’une personne, par exemple, ces données personnelles peuvent permettre l’identification indirecte de cette personne.
- Tout type d’information traitée en relation avec la personne directement ou indirectement identifiée (c’est-à-dire les préférences, les habitudes) sera également considérée comme une donnée à caractère personnel.
En savoir plus
Catégories particulières de données à caractère personnel
Certains types de données personnelles, généralement appelées données sensibles, appartiennent à des catégories spéciales qui méritent plus de protection. Conformément à l’article 9 du RGPD, les données sensibles comprennent des données qui révèlent des informations sur:
- la santé d’une personne;
- la vie sexuelle ou l’orientation sexuelle d’une personne;
- l’origine raciale ou ethnique d’une personne;
- les opinions politiques, les croyances religieuses ou philosophiques d’un individu;
- les données biométriques et génétiques d’une personne;
- l’appartenance syndicale.
Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient leur traitement (comme le consentement explicite).
Pour plus de détails sur les circonstances dans lesquelles les données sensibles peuvent être traitées, vérifiez le traitement des données à caractère personnel de manière licite
Données à caractère personnel concernant les condamnations pénales et les infractions
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions est soumis à des conditions juridiques strictes. Ces données à caractère personnel ne peuvent être traitées que par une autorité publique, telle que la police, sous le contrôle d’une autorité publique ou lorsque le droit national l’autorise.
Liste de contrôle des bonnes pratiques du RGPD
- Demandez-vous si la finalité pour laquelle des données à caractère personnel peuvent être collectées est justifiée.
- Ne collectez que les données à caractère personnel nécessaires à la ou aux finalités spécifiques envisagées.
- Informez les personnes sur la façon dont et à quelles fins leurs données personnelles peuvent être traitées.
- Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données à caractère personnel. Dans le cas où vous avez l’intention de vous fier au consentement des personnes, demandez leur consentement avant de traiter leurs données personnelles.
- Assurez-vous que les données personnelles des individus sont traitées de manière sécurisée.
- Gardez les données personnelles des individus exactes et à jour.
- Supprimez les données personnelles des individus lorsqu’elles ne sont plus nécessaires. Veuillez garder à l’esprit que la législation nationale peut vous obliger à conserver certaines données (c’est-à-dire pour des raisons fiscales).
Qu’est-ce que le traitement des données à caractère personnel signifie?
Le traitement des données personnelles des personnes physiques comprend tout type d’activité (opération de traitement) effectuée ou non par des moyens automatisés sur ou avec les données personnelles des personnes physiques.
Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation des données personnelles.
Même si le RGPD concerne principalement le traitement automatisé de données à caractère personnel, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur.
En savoir plus
Le RGPD s’applique-t-il à votre organisation?
Le RGPD peut s’appliquer à toutes les organisations privées et publiques si:
- l’organisation en question est établie dans l’UE ou dans l’Espace économique européen (EEE — pays de l’UE + Islande, Liechtenstein et Norvège); ou,
- l’organisation n’est pas établie dans l’EEE, mais ses produits ou services sont proposés à des personnes qui se trouvent dans l’EEE, ou l’organisation surveille le comportement des personnes qui se trouvent dans l’EEE.
Le RGPD s’applique également de la même manière à tout sous-traitant susceptible de traiter des données personnelles de personnes physiques pour le compte d’une organisation privée ou publique.
Dans la pratique, le RGPD s’applique à vous si l’une des conditions suivantes s’applique:
- Vous êtes une société basée dans un pays de l’EEE;
- vous êtes une organisation, basée dans un pays non membre de l’EEE, vendant des biens ou offrant des services, même gratuitement, ciblant des personnes dans un pays de l’EEE;
- vous êtes une société informatique basée dans un pays non membre de l’EEE qui a été sous-traitée par un organisme privé basé dans l’EEE pour gérer ses bases de données informatiques, telles que la base de données d’un client;
- vous êtes un prestataire de services basé dans l’EEE et traitez des données personnelles pour le compte d’une autre société.
Les principes clés du RGPD
Lors du traitement des données personnelles des personnes physiques, votre organisation doit respecter les 6 principes clés du RGPD. De plus, votre organisation doit être en mesure de démontrer sa conformité à ces principes.
Légalité, loyauté et transparence
Tout traitement de données à caractère personnel doit être licite, loyal et transparent.
Votre organisation ne peut traiter les données à caractère personnel d’une personne que si le traitement envisagé est licite; c’est à dire, basé sur le consentement de la personne, nécessaire à l’exécution d’un contrat, ou fondé sur l’une des autres bases juridiques pour le traitement des données mentionnées à l’article 6 du RGPD.
Si le traitement est basé sur le consentement, votre organisation doit s’assurer que ce consentement est donné librement, informé, spécifique et sans ambiguïté. En d’autres termes, il ne doit y avoir aucun doute sur le fait que les individus sont conscients de ce qu’ils acceptent, d’à quelles fins le traitement est effectué, et que ce consentement a été activement donné avant le début du traitement. En outre, les individus devraient pouvoir retirer librement leur consentement. Si vous réalisez que le traitement de leurs données sera néanmoins nécessaire (c’est-à-dire dans le cadre d’un contrat), cela signifie que le consentement n’est pas la base juridique appropriée.
Limitation des finalités
Votre organisation ne peut collecter des données personnelles qu’à des fins déterminées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc les données ne peuvent pas être traitées à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
Minimisation des données
Votre organisation ne peut traiter que des données à caractère personnel qui sont nécessaires et proportionnées à la lumière de l’objectif envisagé.
Exactitude
Les données personnelles que votre organisation traite doivent être exactes et tenues à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
Limitation de la conservation
Le stockage des données personnelles doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires. Dans la pratique, cela signifie que votre organisation devrait mettre en place une politique interne concernant les périodes de conservation des données à des fins différentes, ainsi qu’une procédure de suppression des données.
Sécurité
Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, des garanties solides en matière de protection des données, telles que des mesures de cybersécurité appropriées, doivent être mises en place pour garantir une protection adéquate des données des personnes physiques. Ces mesures doivent empêcher la divulgation accidentelle, non autorisée ou illégale, la perte, la destruction ou l’endommagement des données personnelles des individus.
En savoir plus
Lignes directrices sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées
EDPB