Skip to main content

Qu'est-ce qui constitue une donnée personnelle (GDPR) ?

Le GDPR est construit autour de la protection des données personnelles des citoyens et résidents de l'UE. Comprendre ce que cela signifie permettra à votre entreprise de maîtriser les exigences du GDPR. En fait, le GDPR ne s'applique qu'aux données personnelles. Mais qu'est-ce qu'une donnée personnelle exactement ? L'étendue de cette catégorie peut vous surprendre ! Dans cet article, nous vous aiderons à déterminer quelles sont vos données qui relèvent de la réglementation GDPR, en espérant vous empêcher de supprimer inutilement des informations utiles.

Nous expliquerons également la différence entre les données personnelles et les données personnelles sensibles - une distinction essentielle dans le cadre du GDPR, avec des implications sur la manière dont elles sont collectées, stockées et traitées.

Qu'est-ce qu'une donnée personnelle exactement ?

Malheureusement, le GDPR ne comprend pas une liste exhaustive de ce qu'il considère comme des données personnelles. Le règlement stipule que les données personnelles sont - " Toute information relative à une personne physique identifiable ".

Pour le profane, cela signifie toute information qui peut être utilisée - seule ou en combinaison avec d'autres informations - pour identifier une personne concernée vivante. Les données personnelles peuvent être quelque chose d'évident, comme un nom ou un nom d'utilisateur, ou quelque chose de moins apparent, comme des images de vidéosurveillance.

En effet, ces données peuvent être utilisées pour confirmer votre présence physique quelque part. Elles comprennent également les données de localisation du téléphone, les adresses IP et les données des cookies, ainsi que les adresses de courrier électronique et les adresses personnelles.

Cependant, il est important de se rappeler que ces éléments en eux-mêmes ne constituent pas nécessairement des données personnelles, telles que définies par le règlement GDPR - tout dépend de la circonstance spécifique.

Qu'est-ce que la circonstance a à voir avec cela ?

Prenez le nom d'une personne, par exemple.

On pourrait penser qu'il s'agit toujours d'une donnée à caractère personnel au sens du GDPR, mais on aurait tort. Étant donné qu'il y a 48 532 John Smith aux États-Unis, ce nom ne peut pas être utilisé en soi pour identifier une personne spécifique(US Census Bureau). En comparaison, on peut dire que le fils d'Elon Musk est la seule personne sur la planète à s'appeler X Æ A-12 Musk (pour le moment).

Il est donc logique que le GDPR considère son nom comme une donnée à caractère personnel, puisque cette information suffit à elle seule à déterminer son identité individuelle. Toutefois, cela change si elle est combinée à d'autres informations figurant dans le dossier. L'adresse électronique johnsmith@businessx.com serait considérée comme une donnée à caractère personnel puisqu'elle indique qu'un seul John Smith travaille pour cette entreprise particulière.

Tout ce qui n'est pas considéré comme des données personnelles ?

Dans la plupart des cas, les données des personnes décédées ne sont pas considérées comme des données à caractère personnel au titre du GDPR. Le considérant 26 indique également que les données anonymes ne relèvent pas de la réglementation du GDPR. L'anonymisation est le processus qui consiste à épurer les données de tous les identifiants personnels. Elle ne doit pas être confondue avec les données pseudonymes ou cryptées, qui peuvent toujours être retraitées pour identifier des personnes. Toutefois, le GDPR encourage activement la pseudonymisation des données personnelles, car elle offre un niveau de sécurité supplémentaire aux personnes concernées. En effet, les données pseudonymisées ne sont accessibles qu'aux employés autorisés, ce qui réduit les risques pour la vie privée des personnes qui ont confié leurs données à des entreprises.

Qu'en est-il des données personnelles sensibles du GDPR ?

Les données personnelles sensibles - ou "données de catégorie spéciale" dans le jargon officiel de l' article 9 - ont été mises en évidence par le GDPR comme devant être traitées avec une sécurité supplémentaire. Voici tous les exemples de données personnelles sensibles :

  • Origine raciale ou ethnique
  • Opinions politiques
  • Croyances religieuses ou philosophiques
  • Adhésion à un syndicat
  • casier judiciaire
  • Données classées
  • Données génétiques
  • Données financières
  • Données biométriques
  • Données de santé
  • Vie sexuelle ou orientation sexuelle
  • Informations sur l'entreprise ou le travail

Cette distinction entre données personnelles et données personnelles sensibles est importante. En vertu du GDPR, les données sensibles ne peuvent être traitées que si elles remplissent une ou plusieurs des conditions suivantes :

  • Si la personne a donné son consentement explicite ou a déjà rendu les données publiques.
  • Si les données sont nécessaires pour protéger les intérêts des personnes concernées qui sont physiquement incapables de donner leur consentement.
  • Si les données sont essentielles pour répondre aux exigences de la loi en matière d'emploi, de sécurité sociale ou de protection sociale.
  • si les données sont nécessaires à une organisation à but non lucratif pour mener des activités légitimes
  • si les données sont nécessaires à des activités liées à un intérêt public important en matière de santé ou de médecine.

Vous êtes prêt pour les données

Avec un peu de chance, vous avez maintenant une meilleure idée des données personnelles et sensibles que vous avez dans vos dossiers. C'est la première étape pour identifier et classer les données, et s'assurer que la façon dont vous stockez les données personnelles respecte les droits des internautes de l'UE en vertu du GDPR. Améliorer la sécurité de ces informations sensibles vous protégera également mieux dans le cas malheureux d'une violation de données - en réduisant les amendes que votre entreprise recevrait des autorités de protection des données.

Vous pouvez en découvrir davantage sur le GDPR et la confidentialité des données dans notre guide complet.