L’identification d’une donnée personnelle

Le RGPD a pour objectif de protéger les personnes qui vous ont confié leurs données à caractère personnel, mais il faut comprendre de quoi il s’agit, et qu’est-ce que le règlement entend par donnée personnelle ?

Il s’agit de toute information qui se rapporte à une personne physique et qui permet d’identifier cette personne.

Les données concernant les personnes morales (une entreprise par exemple) ne sont donc pas concernées par le RGPD. On retrouve ces données, autant au format physique (papier), qu’au format numérique.

Une donnée sera considérée comme une donnée personnelle si elle permet :

  • l’identification directe : par exemple le nom et le prénom et l’adresse personnelle,
  • l’identification indirecte : par exemple un numéro de téléphone, une plaque d’immatriculation, soit toute information qui ne désigne pas directement une personne mais qui a elle seule permet son identification.

Il existe aussi certaines données, qui seules ne permettent pas l’identification directe ou indirecte d’une personne physique, mais lorsqu’on les regroupe on finit par identifier clairement une personne.

Par exemple, un prénom seul comme “François” ne permet pas une identification claire. En revanche, François, Scooter et Julie permettent d’identifier notre ancien président de la République, dans ce cas ces 3 données seront considérées comme des données personnelles et permettent une identification indirecte.

Pour que ces données ne soient plus considérées à caractère personnelle, il faut simplement les rendre anonymes pour que l’identification deviennent par la suite impossible. Par exemple la composition (hors toute donnée d’identification) des commandes réalisées sur un site internet

A la notion de donnée à caractère personnelle, il faut ajouter les questions de conservation, dans cet article nous n’allons pas détailler le sujet. Mais il est important de savoir que les traitements de toutes les données, en fonction de leur nature et de certains critères (comme l’objectif qui a conduit à leurs collectes) devront respecter un délai de conservation. Au delà de ce délai, les données devront être supprimées ou anonymisées.

La notion de sécurité des données personnelles est également très importante. Effectivement, la CNIL contrôle régulièrement la sécurité qui est mise en place autour de ces données. Il faut donc mettre en place différents moyens de sécurisation pour les données personnelles que l’on peut retrouver au format physique et/ou numérique. La sécurité à mettre en place est libre à chacun mais attention celle-ci doit être effective et fonctionnelle, et évidement proportionnée au “Danger” que fait courir le traitement aux personnes a qui appartiennent ces données, en cas de violation.

Les données à caractère personnel se retrouvent donc partout, dans chaque entité et tout le monde en manipule tous les jours. Il faut donc faire attention à ces données et être clairement capable de les identifier.