Lexique IT
Données à caractère personnel
Une donnée à caractère personnel s’entend de toute information se rapportant à une personne physique identifiée ou identifiable, aussi appelée personne concernée.
Par « personne physique identifiable », le RGPD vise toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant.
Il peut donc s’agir d’information particulièrement variées, tels qu’un nom, un numéro d’identification, des informations GPS, une plaque d’immatriculation, un groupe sanguin, une pointure, un compte bancaire, un génome…
La donnée à caractère personnel peut porter indistinctement sur l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La notion de donnée à caractère personnel n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause.
Ainsi, peuvent être qualifiées de données à caractère personnel des données pourtant accessibles publiquement, par exemple sur Internet ou les boîtes à lettre.
Sous réserve de l’application du RGPD, les données à caractère personnel doivent être :
- Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
- Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
- Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- Exactes et, si nécessaire, tenues à jour ;
- Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Le traitement de catégories particulières de données, qui mérite une protection plus élevée, fait l’objet d’un encadrement plus contraignant.
Point RGPD
« L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel ».
Point jurisprudence
Comme l’a rappelé la Cour de cassation, « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés »
Cour de cassation, civile, Chambre civile 1, 3 novembre 2016, N°15-22.595
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.