C’EST QUOI UNE DONNÉE PERSONNELLE ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

En matière de traitement des données personnelles, les entreprises françaises étaient soumises, jusque-là, à la loi Informatique et liberté de 1978, modifiée en 2004 pour intégrer des dispositions d’une directive européenne de 1995. Pour les entreprises, il s’agissait déjà de démontrer qu’elles ne procédaient pas à une utilisation disproportionnée des données personnelles. La loi imposait une déclaration préalable de ces traitements auprès de la Commission nationale de l’informatique et des libertés (CNIL), voire une autorisation préalable pour les cas les plus sensibles. Pour faciliter les démarches, elle prévoyait la possibilité de recourir aux services d’un correspondant informatique et libertés (CIL), chargé de vérifier la bonne application de la loi au sein de l’entreprise.
Avec le RGPD, ce fonctionnement disparaît. Plus de déclarations préalables : les entreprises sont censées être responsables. En cas de visite de la CNIL, elles doivent pouvoir démontrer qu’elles appliquent les bonnes politiques de gestion des données personnelles.