Zoom sur les données à caractère personnel

données à caractère personnel

Le Règlement Général pour la Protection des Données est entré en application le 25 mai 2018. Ces nouvelles directives européennes ont pour objectif de renforcer la protection des données afin de l’adapter à la société du XXIème siècle résolument encrée dans l’ère numérique.

Non moins de 99 articles s’appliquent à définir un cadre juridique complexe autour de la protection des Données Personnelles. Ainsi sont concernées toutes les organisations publiques ou privées, gérant les informations personnelles des citoyens européens.

A l’heure du Big Data, la croissance du volume de données collectées est exponentielle. La mise en conformité au RGPD est donc un enjeu de taille, impossible à ignorer car les sanctions financières peuvent être lourdes (jusqu’à 4% du Chiffre d’affaire global de la société).

Avant de vous lancer dans la mise en conformité, il convient de bien comprendre ce qu’est une donnée personnelle, aussi bien au sens juridique qu’au sens pratique. Vous devrez également vérifier si vous ne traitez pas des données personnelles dites « sensibles » qui bénéficient d’une protection renforcée.
Il vous faudra également savoir distinguer les différentes typologies de données personnelles en fonction de leur provenance ou pas d’une base de données.

1. Les données à caractère personnel au sens de la loi

La Loi « Informatique et Libertés » de 1978 définissait déjà une donnée personnelle ainsi :

« toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ».

Une donnée à caractère personnel, telle que spécifiée dans l’article 4 du Règlement Général pour la Protection des Données de 2006, est une information qui permet d’identifier directement ou indirectement une personne physique.

« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Fondamentalement, la définition n’a pas changé. Les parlementaires européens ont juste apporté quelques précisions et l’ont adaptée à l’évolution technologique des systèmes de communication.

2. Les données personnelles peuvent être de nature très diverse

Toutes les entreprises sont amenées à collecter des données personnelles directes (nom, prénom) ou indirectes.

On entend par indirectes, toutes les informations qui pourraient rendre une personne identifiable en reliant un ou plusieurs critères à une identité :

- Les numéros (téléphone – immatriculation – sécurité sociale – banque - identifiant client…)
- Adresses géographiques ou coordonnées GPS
- Adresses numériques (email – IP),
- Données biométriques (empreinte digitale – ADN)
- Caractéristiques descriptives (âge – taille – poids - sexe – couleur des yeux – couleur de peau…)
- Informations sociales, familiales, économiques, culturelles, religieuses ou politiques
- Informations médicales (maladies, état psychologique, allergies, génétique…)
- Photographie, vidéo, fichier audio avec la voix d’une personne

3. Vous devez localiser, analyser, maîtriser et protéger tout type de données personnelles

Afin d’engager votre entreprise sur la voie de la mise en conformité, vous devrez mettre en œuvre les process nécessaires afin de recenser, analyser, maîtriser et aussi protéger les informations personnelles que vous collectez et stockez. Vous devrez également les notifier dans un registre en précisant la nature de leur utilisation ainsi que leur durée de conservation. Il vous faudra aussi mettre en place des dispositifs permettant d’assurer la sécurité des données afin d’éviter toute fuite émanant d’une action humaine ou provenant d’un logiciel malveillant. La difficulté est que toutes les données personnelles ne sont pas enregistrées dans des systèmes transactionnels.

Les données structurées bien rangées dans les bases de données

Les données structurées sont le plus souvent créées et stockées dans des bases de données relationnelles.
Des informations personnelles (nom, numéro, date, prix…) sont stockées dans les champs de la base de données.
Celles-ci se présentent sous forme de lignes et colonnes, permettant ainsi aux algorithmes et divers outils d'exploration de données d'y accéder et de les analyser. Leurs applications sont très variées. Il peut s’agir, par exemple, de transactions commerciales, de relations clients (CRM), de gestion de production (GPAO), ou encore de planification des ressources d’entreprise (ERP).

La mise en conformité au RGPD concernant la gestion des données structurées nécessite du temps et de l’organisation interne, mais ne présente pas de difficultés majeures.

Les données non structurées sont beaucoup plus difficiles à gérer

Comme leur nom l’indique, les données non structurées ne sont pas intégrées dans une structure particulière. Elles ont pu être enregistrées et stockées dans n’importe quels types de documents ou plateformes :

- Fichiers textes provenant de traitement de texte, feuilles de calcul, diaporama, pdf…
- Messageries instantanées ou emails
- Sites web ou médias sociaux
- Fichiers multimédias (images, vidéo, son…)
- Fichiers générés par des machines (surveillance, données biométriques…) ou par des objets connectés

Les données non structurées sont donc éparpillées dans la multitude de fichiers que peut contenir votre parc informatique.

De ce fait, il est difficile de localiser ces informations manuellement et de les cartographier comme l’impose le Règlement Général sur la Protection des Données. Seul un algorithme pourra identifier et auditer l’ensemble de ces données et faciliter l’analyse d’impact imposée par la nouvelle réglementation européenne.

4. Les catégories particulières de données à caractère personnel

Le traitement des « données sensibles » n’est autorisé que dans certains cas

Le  RGPD autorise le traitement des données sensibles que dans certains cas

Le RGPD distingue des catégories particulières de données à caractère personnel pour lesquelles il interdit par défaut tout traitement.

« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. »
Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel $1

Toutefois, le second paragraphe de cet article prévoit une dizaine d’exceptions autorisant le traitement des données personnelles sous certaines conditions, tout en permettant aux États membres la possibilité de « maintenir ou introduire des conditions supplémentaires ».

La première condition décrite à l’article 9 du RGPD autorise le traitement des données sensibles si la personne concernée a donné son consentement pour une ou plusieurs finalités.

« la personne concernée a donné son consentement explicite au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée. »

Dans la mesure où le consentement est l’un des droits fondamentaux du RGPD, lever l’interdiction de traitement des données sensibles lorsque que cette condition est remplie, revient à autoriser le traitement dans la plupart des cas.
Les 9 autres conditions qu’on n’énumérera pas ici vont également dans ce sens.

Néanmoins, le règlement prévoit en cas de traitement de données sensibles des procédures renforcées notamment concernant l’information à l’utilisateur sur ses droits ainsi que sur la sécurité et la confidentialité des données.

Le règlement impose également la nomination d’un Délégué à la Protection des Données lorsque un important volume de données entrant dans les « catégories particulières » est traité.

« les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »
Article 37 - Désignation du délégué à la protection des données - $1c

Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Les informations personnelles de natures pénales ou concernant des infractions ne peuvent être traitées que sous contrôle de l’autorité publique.

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. »
Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Le numéro de sécurité sociale, une donnée sensible pour la législation française

Le RGPD ne fait pas mention du numéro de sécurité sociale comme donnée sensible. Cependant, au regard de la loi française, le numéro d'inscription au répertoire des personnes physiques est une donnée sensible. Le RGPD permettant aux états membres l’ajout de conditions, il convient à ce jour de considérer le numéro de sécurité sociale comme une donnée personnelle sensible.

5. Le RGPD s’applique-t-il aux informations personnelles non numériques ?

Comme nous l’avons vu au début de cet article, le RGPD caractérise les données à personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Les rédacteurs du règlement européen ont sans doute oublié que le numérique n’avait pas encore complètement évincé le papier et n’ont pas jugé utile d’apporter des précisions quant à la nature du support.

Si on s’en tient à cette définition, il faut considérer que les documents manuscrits ou imprimés contenant des informations personnelles sont à prendre en considération dans le cadre du RGPD.

Cependant, notre bon vieil ami Larousse définit une donnée comme « Représentation conventionnelle d'une information en vue de son traitement informatique». Autrement dit, la « donnée » est étroitement liée à l’informatique.

On peut donc s’interroger sur la pertinence à considérer les informations inscrites sur des documents papiers comme des « données ».

En attendant que les autorités compétentes éclaircissent ce point d’ombre, mieux vaut-il gérer les informations personnelles non numériques en respectant les principes du RPGD.

 

Vous savez maintenant tout sur les « données à caractère personnel ».
Il ne vous reste plus qu’à mettre en œuvre le chantier de la mise en conformité.
Si vous ne savez pas par où vous y prendre ou si vous ne disposez pas du temps nécessaire, nous pouvons vous aider grâce à une solution globale intégrant la mise à disposition d'un référent ou DPD mutualisé, des outils informatiques dédiés au RGPD ainsi qu'une protection renforcée contre le piratage informatique.

Laurence JORE
Chargée de Communication Web en freelance.