Lexique > Données à caractère personnel

Lexique IT

Données à caractère personnel

Une donnée à caractère personnel s’entend de toute information se rapportant à une personne physique identifiée ou identifiable, aussi appelée personne concernée.

Par « personne physique identifiable », le RGPD vise toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant.

Il peut donc s’agir d’information particulièrement variées, tels qu’un nom, un numéro d’identification, des informations GPS, une plaque d’immatriculation, un groupe sanguin, une pointure, un compte bancaire, un génome…

La donnée à caractère personnel peut porter indistinctement sur l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

La notion de donnée à caractère personnel n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause.

Ainsi, peuvent être qualifiées de données à caractère personnel des données pourtant accessibles publiquement, par exemple sur Internet ou les boîtes à lettre.

Sous réserve de l’application du RGPD, les données à caractère personnel doivent être :

  • Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Exactes et, si nécessaire, tenues à jour ;
  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Le traitement de catégories particulières de données, qui mérite une protection plus élevée, fait l’objet d’un encadrement plus contraignant.

Point RGPD

« L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel ».

Considérant 6 du RGPD

Point jurisprudence

Comme l’a rappelé la Cour de cassation, « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés »

Cour de cassation, civile, Chambre civile 1, 3 novembre 2016, N°15-22.595

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.