Vous traitez des données à caractère personnel en permanence – dans chaque courriel que vous envoyez, chaque vente que vous enregistrez et dans vos interactions avec les clients. Le traitement des données personnelles est la pierre angulaire de la confiance entre vous et vos clients. C’est le tissu de vos relations commerciales et une exigence légale du RGPD.
Chaque information personnelle que vous gérez a un poids, et le moindre faux pas dans le traitement des données personnelles peut ébranler cette confiance et avoir des conséquences plus importantes que vous ne l’imaginez.
Qu’est-ce que les données à caractère personnel ? C’est une question centrale, et tous les employés de votre organisation doivent connaître la réponse si vous voulez maintenir cette confiance et vous conformer au RGPD.
La définition des données à caractère personnel dans le RGPD
Le concept de données à caractère personnel est défini dans l’article 4(1) du RGPD comme suit :
“…toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”
La définition se compose de quatre éléments clés : “toute information”, “se rapportant”, “a une personne identifiée ou identifiable” et “une personne physique”.
Ces éléments sont interdépendants et contribuent collectivement à la compréhension de ce qui constitue des données à caractère personnel. Nous allons donc approfondir ces concepts dans les lignes qui suivent.
1) Toute information
Les données à caractère personnel comprennent toutes les informations relatives à une personne, qu’il s’agisse de “données sensibles” ou d’informations plus générales sur une personne.
Les données à caractère personnel sont toutes les informations relatives à une personne identifiable, quelle que soit leur exactitude. Ainsi, les données inexactes concernant une personne sont également considérées comme des informations sur cette personne. Ce fait est inscrit dans le RGPD, qui accorde aux individus un droit de rectification, leur permettant de corriger leurs données personnelles inexactes.
Le terme “données à caractère personnel” comprend toute information relative à la vie privée et familiale de l’individu et à tout type d’activité exercée par l’individu, par exemple les relations de travail ou le comportement économique ou social. Il s’agit d’informations sur les individus, quelle que soit leur position ou leur capacité, par exemple consommateur, patient, employé, client, etc.
Formats des données à caractère personnel
Les données à caractère personnel englobent toute forme d’information susceptible d’être stockée, qu’elle soit alphabétique, numérique, graphique, photographique ou acoustique. Il s’agit de données à caractère personnel stockées sur papier, sous forme numérique, sur bande magnétique ou autre.
Tout fichier contenant des informations identifiables sur une personne est considéré comme une donnée à caractère personnel. Cela s’étend aux textes contenus dans les documents électroniques, qui sont également considérés comme des données à caractère personnel lorsqu’ils contiennent des détails permettant d’identifier une personne et qu’ils répondent aux critères généraux des données à caractère personnel.
Exemple : Instructions téléphoniques à la compagnie d’assurance
Lorsqu’un client appelle la compagnie d’assurance et donne des instructions concernant ses polices d’assurance, la compagnie d’assurance pourrait enregistrer ces instructions, qui seraient considérées comme des données à caractère personnel.
Exemple : Vidéosurveillance
Les images de personnes capturées par un système de vidéosurveillance peuvent constituer des données à caractère personnel lorsque ces personnes sont reconnaissables, ce qui est presque toujours le cas.
Exemple : Dessin à la main
Un dessin réalisé dans le cadre d’une évaluation psychologique peut refléter les sentiments de la personne, par exemple à propos de sa famille, de son travail ou d’autres sujets similaires, et peut donc être considéré comme une donnée à caractère personnel.
1) Se rapportant à
On peut considérer qu’une information se rapporte à une personne lorsqu’elle la concerne.
En règle générale, une information peut concerner une personne si elle comporte un élément de contenu, de finalité ou de résultat.
Contenu
Il est souvent évident que le contenu de la préoccupation concerne clairement une personne spécifique.
Les informations contenues dans le dossier personnel d’un employé sont clairement des informations relatives à son statut d’employé. De même, les résultats des examens médicaux d’un patient figurant dans son dossier médical le concernent directement.
Objectif
Une même information peut concerner simultanément plusieurs personnes. Le même élément d’information peut afficher différentes données personnelles en fonction de l’objectif de notre évaluation.
Exemple de dossier médical
Le dossier médical d’un patient présente l’état de santé du patient, l’évaluation effectuée par le personnel médical et les actions correspondantes.
Exemple d’assistance à la clientèle
Les courriels du service d’assistance à la clientèle d’une entreprise reflètent les questions des clients et les réponses des agents. Le personnel chargé de la sécurité informatique peut également surveiller et examiner ces courriels, ce qui en fait des données personnelles pertinentes pour plusieurs parties – le service clientèle, les clients et le personnel informatique.
Résultat
Lorsque le résultat du traitement des données a une incidence sur une personne, il peut être considéré comme une donnée à caractère personnel, même si ce n’était pas la finalité du traitement.
Exemple : Localisation géographique des voitures
Prenons le cas d’une compagnie de taxis qui utilise le GPS pour trouver l’emplacement de ses voitures disponibles. L’objectif est d’améliorer le service et d’économiser du carburant en envoyant la voiture la plus proche de l’endroit où se trouve le client. Toutefois, le système peut contrôler si les conducteurs respectent les limitations de vitesse, choisissent des itinéraires efficaces, conduisent activement ou font une pause. Le résultat de ce traitement est la collecte de données personnelles sur les conducteurs.
3) Identifié ou identifiable
Les données personnelles doivent concerner une personne identifiée ou identifiable.
Une personne est “identifiée” lorsqu’elle est distinguée de tous les autres membres d’un groupe de personnes.
L’identification peut se faire directement par des identifiants explicites tels que le nom ou indirectement par des éléments tels que le numéro de téléphone, le numéro de sécurité sociale ou le numéro de passeport. En outre, un individu peut être identifié en combinant différents critères – tels que l’âge, la profession et le lieu de résidence – ce qui permet d’affiner et de distinguer un individu au sein d’un groupe.
Le nom de la personne est l’identifiant le plus courant et, dans la pratique, la notion de “personne identifiée” implique le plus souvent une référence au nom de la personne. Toutefois, des détails supplémentaires tels que la date de naissance ou l’adresse peuvent être nécessaires pour éviter toute confusion, étant donné que des personnes peuvent partager le même nom, par exemple James Smith ne serait pas un identifiant unique puisque des milliers de personnes partagent ce nom.
Une personne est “identifiable” s’il est possible de l’identifier, même si elle ne l’a pas encore été. Par conséquent, toute information susceptible d’être utilisée pour identifier une personne, identifiée ou non, est considérée comme une donnée à caractère personnel.
Identifiable par tous les moyens
Pour déterminer si une personne est identifiable, vous devez prendre en compte toutes les méthodes raisonnables susceptibles de conduire à l’identification, et pas seulement celles qui sont contrôlées par le responsable du traitement. Cela inclut les moyens mis à la disposition d’autres parties, comme les sous-traitants.
Toutefois, la possibilité théorique d’identification ne suffit pas à qualifier une personne d'” identifiable“. Après avoir examiné toutes les méthodes pratiques d’identification accessibles au responsable du traitement et à d’autres personnes, si la probabilité d’identifier la personne est faible ou inexistante, elle n’est pas “identifiable”. Par conséquent, ces informations ne sont pas considérées comme des “données à caractère personnel”.
Pour déterminer si une personne peut être identifiée, des facteurs tels que le coût de l’identification, la finalité du traitement des données par le responsable du traitement, les avantages potentiels, les intérêts individuels et les risques de violation des données sont importants.
L’évaluation de l’identifiabilité doit être un processus continu qui prend en compte non seulement les capacités technologiques actuelles, mais aussi les progrès potentiels futurs.
Les données qui ne sont pas susceptibles d’être identifiées pendant leur période de conservation ne sont pas considérées comme des données à caractère personnel. Par exemple, des données stockées pendant un mois sans identification possible ne sont pas des données à caractère personnel. Toutefois, les données supposées sont conservées pendant dix ans. Dans ce cas, la possibilité d’identification au cours de la neuvième année devient pertinente.
Dans les cas de vidéosurveillance, les entreprises font souvent valoir que seule une partie des images permet une identification, ce qui suggère qu’il ne s’agit pas d’un traitement de données à caractère personnel. Toutefois, si l’objectif de la surveillance est d’identifier les personnes si nécessaire, l’ensemble de l’activité est considéré comme un traitement de données à caractère personnel, même si certaines personnes ne sont pas identifiables.
Pseudonymisé
La pseudonymisation dissimule une personne identifiée en remplaçant les identifiants personnels par des pseudonymes aléatoires et imprévisibles. Cela permet de collecter des données supplémentaires relatives à une personne sans révéler son identité.
Les données pseudonymisées sont considérées comme indirectement identifiables. Le pseudonyme crée un lien avec l’individu, permettant son identification dans des conditions spécifiques et responsables du traitement.
Imaginez une liste de noms associée à leur dossier médical. Le remplacement des noms par des codes aléatoires obscurcit et pseudonymise le lien direct avec les individus. Toutefois, une liste séparée et sécurisée établit une corrélation entre ces codes et les noms réels et n’est accessible qu’au personnel autorisé. Cela garantit la sécurité des données tout en permettant l’identification au cas où cela s’avérerait nécessaire.
Données anonymes
Les données anonymes ne peuvent pas être utilisées pour identifier une personne, même en tenant compte de toutes les méthodes d’identification raisonnables dont disposent le responsable du traitement et d’autres personnes.
Les données anonymes sont un type spécifique de données anonymes qui étaient initialement identifiables mais qui ont été traitées, de sorte que l’identification n’est plus possible.
Les principes de protection des données ne s’appliquent pas aux données anonymes dans la mesure où le sujet devient non identifiable, comme cela devrait être le cas pour les données anonymes.
La question de l’anonymat des données est contextuelle et doit être analysée au cas par cas. Ceci est particulièrement important dans les contextes statistiques, où les données agrégées peuvent encore permettre une identification individuelle si la taille de l’échantillon est faible ou si d’autres informations sont disponibles, qui pourraient aider à identifier la personne autrement anonyme.
4) Une personne physique
Les données à caractère personnel doivent concerner une personne physique, un être humain individuel, par opposition à une personne morale, qui désigne des entités telles que des entreprises, des institutions gouvernementales, des ONG et des organisations similaires. Ces entités sont reconnues par la loi comme étant capables de droits et de devoirs.
Dans le contexte des données à caractère personnel, il s’agit d’informations concernant des personnes physiques, et non des organisations. Toutefois, les données relatives à une entreprise, comme dans le cas d’une entreprise individuelle, sont toujours considérées comme des informations personnelles, car elles sont directement liées à l’individu qui en est le propriétaire.
Une personne morale
Les données à caractère personnel concernent principalement les informations relatives aux individus. Toutefois, dans certains cas, des détails liés à l’entreprise peuvent être considérés comme des données à caractère personnel s’ils concernent indirectement des personnes.
Par exemple, lorsque le nom d’une entreprise comprend le nom d’une personne ou lorsqu’un employé utilise systématiquement l’adresse électronique de l’entreprise, ces informations sont liées à cette personne. En outre, les données relatives à une petite entreprise peuvent refléter étroitement les transactions personnelles de son propriétaire et les données relatives à une entreprise, telle qu’une entreprise individuelle, sont également considérées comme des informations à caractère personnel, car elles sont directement liées au propriétaire individuel.
Pour simplifier le respect des normes de protection des données, certaines entreprises traitent toutes les données, y compris les informations liées à l’entreprise mêlées aux données individuelles, comme des données personnelles. Cette approche élimine la nécessité d’une catégorisation spécifique des données et s’aligne sur les réglementations en matière de protection de la vie privée.
Catégories de données à caractère personnel
Il est largement reconnu que certaines informations personnelles sont plus sensibles que d’autres.
Cette compréhension est formellement capturée dans le RGPD en ayant différentes catégories de données à caractère personnel, telles que les catégories spéciales de données à caractère personnel (communément appelées données à caractère personnel sensibles) et les données à caractère personnel non sensibles.
Le RGPD considère également les données relatives aux enfants comme une catégorie distincte qui doit être traitée avec plus de soin, car les enfants sont généralement moins conscients de la manière dont leurs données sont traitées.
Les informations relatives aux infractions pénales et aux condamnations d’une personne doivent également être traitées avec plus de précaution, car le RGPD limite la manière dont ces données peuvent être traitées et par qui.
Enfin, certaines données personnelles, telles que des informations sur votre patrimoine, ne doivent pas être rendues publiques. Ce type de données personnelles est généralement classé dans la catégorie des données personnelles confidentielles.
Données personnelles non sensibles
Les données à caractère personnel non sensibles sont des informations qui ne sont pas spécifiquement classées dans les ” catégories spéciales ” de l’article 9 du RGPD. Il s’agit notamment des exemples suivants :
- Nom complet
- Adresse
- Numéro de téléphone
- Date de naissance
- Profils des médias sociaux
- Numéro de permis de conduire
- ID de l’employé
- Adresse IP
Bien que ces données soient considérées comme non sensibles, elles peuvent présenter des risques en cas d’utilisation abusive. Par exemple, un numéro de téléphone peut conduire à des attaques par hameçonnage. En même temps, quelqu’un pourrait exploiter une date de naissance pour accéder à un compte sans autorisation.
Ces informations personnelles sont largement utilisées ou générées lors de chaque interaction en ligne ou dans le cadre d’une activité commerciale, et l’on pourrait classer une quantité infinie d’informations personnelles dans la catégorie des informations non sensibles.
Données personnelles sensibles
Le RGPD énumère toutes les catégories de données personnelles sensibles à l’article 9, notamment l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques permettant une identification unique, les données relatives à la santé et les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne.
Historiquement et actuellement, ces informations ont été utilisées à des fins discriminatoires ou préjudiciables. Par exemple, les affiliations politiques d’une personne peuvent donner lieu à une discrimination en matière d’emploi ou, dans des cas extrêmes, comme sous une dictature, des informations personnelles sur la santé, telles que des allergies, peuvent être utilisées contre une personne pour lui nuire.
En raison de ces risques, le traitement des données à caractère personnel sensibles est strictement réglementé et ne peut être effectué que dans les conditions mentionnées à l’article 9, paragraphe 2 ; par exemple, un hôpital est autorisé à traiter les données relatives à la santé d’un patient.
Les enfants
Dans le cadre du RGPD, le terme “enfants” désigne généralement les personnes âgées de moins de 16 ans. Toutefois, les États membres de l’UE peuvent fixer l’âge du consentement entre 13 et 16 ans.
Dans les contextes où le consentement est la base du traitement des données des enfants, il doit être donné par le tuteur légal de l’enfant lorsque celui-ci n’a pas atteint l’âge du consentement fixé par l’État membre. Par exemple, l’Espagne, la France et le Portugal ont fixé l’âge du consentement à 14, 15 et 13 ans, respectivement.
Le règlement vise à protéger les enfants contre l’utilisation abusive des données en ligne, en veillant à ce que les services numériques qui leur sont destinés protègent leur vie privée et communiquent de manière claire et compréhensible sur la manière dont leurs données sont traitées.
Infractions pénales ou condamnations
Le RGPD impose des restrictions strictes au traitement des données à caractère personnel liées à des infractions ou condamnations pénales. Cette catégorie comprend, par exemple
- Casier judiciaire indiquant les condamnations antérieures.
- Détails des procédures judiciaires indiquant un comportement criminel.
- Informations tirées des rapports de police concernant les arrestations.
- Les jugements ou sentences judiciaires liés à des activités illégales.
- Les dossiers indiquent qu’une personne fait l’objet d’une enquête pour une infraction présumée.
Le traitement de ces données n’est autorisé que dans des conditions spécifiques, telles que l’exercice de fonctions officielles ou lorsque la loi l’autorise. Cette approche reflète la protection des données personnelles sensibles prévue par le RGPD. L’objectif est de prévenir les abus et les discriminations.
Imaginez, par exemple, les risques encourus si les entreprises pouvaient traiter des données relatives à des infractions pénales sans restrictions. Elle pourrait conduire à des intrusions dans la vie privée et à des discriminations injustes à l’encontre des individus. Ces règles ont été mises en place pour protéger les personnes contre une éventuelle utilisation abusive de leurs données personnelles.
Données personnelles confidentielles
Les données personnelles confidentielles ne sont pas explicitement catégorisées dans le RGPD, mais il s’agit d’une notion essentielle. Cette catégorie comprend des informations telles que le patrimoine, le salaire ou le numéro d’identification national, des détails qui ne sont généralement pas destinés à être divulgués au public.
Reconnaître et classer les données personnelles confidentielles est important pour une cartographie approfondie des données, des évaluations des risques et la conformité au RGPD. Il guide également la mise en œuvre de garanties appropriées dans le traitement des données, assurant une protection accrue des données personnelles lorsqu’elles doivent rester confidentielles.
Autres catégories de données
Pour clarifier le concept de données à caractère personnel, il est utile d’examiner d’autres catégories, telles que les données professionnelles, et leur relation avec les données à caractère personnel.
Données sur les entreprises
Les données commerciales sont des informations sur les activités d’une entreprise, telles que les dossiers financiers, les activités de marché, les chiffres de vente et les données démographiques sur les clients. Il se concentre sur les performances des entreprises et fournit des informations sur les tendances du marché et le comportement des clients.
Bien que principalement orientées vers les entreprises, ces données recoupent souvent des données personnelles. Par exemple, les données relatives aux clients et aux employés constituent un élément essentiel des stratégies marketing et de la gestion des ressources humaines et, par conséquent, entrent dans le champ d’application de la conformité au RGPD.
Une attention particulière doit être accordée à l’aspect des données personnelles au sein de leurs opérations commerciales pour assurer la conformité au RGPD. Une cartographie efficace des données, dans le cadre des enregistrements des activités de traitement mandatés par l’article 30 du RGPD, permet d’identifier, de documenter et de traiter avec précision ce chevauchement de données personnelles et professionnelles.
Données agrégées
L’agrégation de données consiste à fusionner des points de données individuels afin d’identifier des modèles ou des tendances tout en masquant les détails personnels. Par exemple, le calcul du revenu moyen d’une région à partir des revenus de nombreux individus permet d’obtenir des données qui reflètent des tendances sans révéler les contributions spécifiques.
Les offices nationaux de statistiques utilisent souvent des données agrégées pour décrire la démographie ou la situation économique d’un pays. Bien qu’elle commence par des données personnelles, la forme agrégée finale est anonymisée et ne devrait pas divulguer de détails personnels.
Contrairement aux données personnelles, qui détaillent des attributs individuels identifiables, les données agrégées se concentrent sur des modèles de groupes plus larges. Ses applications vont de l’analyse de marché aux études démographiques, en passant par l’utilisation individuelle dans la publicité ciblée ou le service à la clientèle.
Bien qu’elles ne posent généralement pas de problème de protection de la vie privée, les données agrégées peuvent présenter des risques si l’ensemble de données manque de diversité ou si la taille de la population est faible, ce qui pourrait permettre l’identification d’individus.
Le RGPD ne réglemente pas les données agrégées en tant que telles en raison de leur nature non identifiable. Toutefois, les données personnelles initiales doivent être traitées correctement lors de l’agrégation afin d’éviter une éventuelle ré-identification.
Idées reçues
De nombreuses idées fausses circulent sur ce que sont ou ne sont pas les données à caractère personnel. Vous trouverez ci-après quelques exemples de données à caractère personnel qui sont souvent considérées à tort comme n’étant pas des données à caractère personnel.
Les enregistrements vocaux effectués dans le cadre d’interactions avec le service clientèle ou par l’intermédiaire d’assistants virtuels sont considérés comme des données à caractère personnel car ils peuvent révéler l’identité de la personne qui s’exprime.
Les notes manuscrites comportant des remarques personnelles ou des styles propres à un individu sont des données à caractère personnel en raison de leur nature identifiable.
Les numéros d’enregistrement des entreprises sont considérés comme des données à caractère personnel lorsqu’ils sont directement liés à des propriétaires uniques. Le numéro d’enregistrement d’une entreprise est également une donnée à caractère personnel lorsque le nom de l’entreprise comprend le nom du propriétaire.
Les données à caractère personnel figurant dans les registres publics conservent leur statut de données à caractère personnel malgré leur disponibilité publique, en raison des informations identifiables qu’elles contiennent.
Les adresses électroniques fournies aux employés pour des communications liées au travail ont le statut de données à caractère personnel, que l’adresse contienne ou non le nom de la personne si l’employé peut être identifié. Une adresse électronique professionnelle est généralement liée à une personne. Par conséquent, la communication via cette adresse électronique est considérée comme une donnée à caractère personnel.
Les images de personnes affichées sur les sites web des entreprises sont considérées comme des données à caractère personnel car elles permettent d’identifier les personnes photographiées.
Les informations biométriques utilisées pour sécuriser l’accès au lieu de travail, telles que les empreintes digitales ou la reconnaissance faciale, sont considérées comme des données personnelles sensibles.
Les images de sécurité montrant des personnes identifiables sont traitées comme des données à caractère personnel, même lorsqu’elles filment des scènes se déroulant dans des zones publiques.
Les informations sur les employés recueillies à des fins administratives sont des données à caractère personnel, même s’il s’agit apparemment d’un dossier commercial de routine.
Les réponses aux formulaires de retour d’information sont considérées comme des données à caractère personnel lorsqu’elles contiennent des détails permettant d’identifier la personne qui fournit le retour d’information.
Étude de cas : Société de conseil
Pour illustrer le fait que les données à caractère personnel sont traitées de différentes manières et par différents types d’entreprises, prenons l’exemple d’une société de conseil.
Les données personnelles dans les services de conseil
En matière de conseil, les données à caractère personnel peuvent être traitées de nombreuses manières, auxquelles vous ne pensez peut-être pas d’emblée :
Les consultants conservent une liste des coordonnées de leurs clients (noms, adresses et moyens de les contacter). Cela leur permet de rester en contact et de se manifester en cas de besoin.
Les consultants établissent le profil de leurs clients en tenant compte de leurs besoins professionnels et de leurs préférences personnelles, afin de pouvoir leur offrir un service optimal.
Les compétences et les qualifications du personnel du bureau de conseil sont adaptées aux projets des clients, ce qui signifie qu’il doit traiter avec soin les informations professionnelles de ses employés.
Un historique détaillé des conversations avec les clients, par le biais de courriels, d’appels ou de réunions, est conservé afin d’améliorer en permanence la façon dont ils travaillent avec chaque client.
Les consultants documentent les processus de vente et d’acquisition de clients dans leur système de gestion de la relation client, du premier contact à l’intégration réussie, en notant toutes les interactions personnalisées ou les modifications demandées par le client.
Les commentaires des clients sont conservés dans le système de gestion de la relation client (CRM) afin de s’assurer que le service de conseil répond aux besoins des clients.
Les notes prises lors des réunions et des visites sur place permettent d’établir un meilleur lien avec le client et de planifier l’avenir.
Les informations issues de la recherche sur les clients sont analysées et permettent de comprendre ce que les différentes personnes aiment et font, ce que les consultants utilisent pour élaborer des stratégies qui s’adressent à leurs clients.
Résumé
Les bases de la mise en conformité avec le RGPD consistent à identifier les cas où vous traitez des données personnelles dans le cadre de votre travail.
Votre connaissance de ce qui constitue des données à caractère personnel vous permettra d’agir contre le traitement incorrect des données à caractère personnel, d’aider votre entreprise à progresser vers la conformité et d’améliorer la fiabilité de l’entreprise.
Dans cet article, nous avons abordé en détail la définition des données à caractère personnel et les différentes catégories de données à caractère personnel. Il s’agit d’une ressource à laquelle vous pouvez revenir chaque fois que vous avez besoin d’éclaircissements sur ce que sont les données à caractère personnel.
Dans notre formation de sensibilisation “Qu’est-ce qu’une donnée personnelle ?”, vous trouverez une formation facilement accessible de 5 vidéos adaptée aux collègues sans connaissance préalable du RGPD.