La définition de « données personnelles » par le RGPD 2018.
Qu’est-ce qu’une donnée personnelle ?
Vous collectez les noms, prénoms ou adresses de vos clients ?
Alors n’attendez plus pour vous mettre en conformité avec le RGPD.
Si vous collectez des données personnelles sur vos clients, prospects ou employés, vous êtes certainement concerné par le RGPD 2018.
Nom, prénom, adresse… comment savoir quelles informations sont considérées comme des données personnelles ?
A partir de quand une donnée doit-elle faire l’objet d’un traitement spécifique et conforme aux règles européennes ?
Définition des données personnelles.
Selon le RGPD, une information définie comme donnée personnelle, ou donnée à caractère personnel, concerne « toute donnée permettant d’identifier directement ou indirectement un citoyen européen ».
Si cette définition vous paraît bien large, c’est tout à fait normal ! Cela correspond à l’esprit du RGPD, dont les exigences cherchent à couvrir un maximum de données afin de faire face aux évolutions du numérique.
Pour faire simple, les données personnelles constituent toutes les informations relatives à une personne qui permettent de la rendre identifiable. Cela va de son nom à son adresse email, en passant par les adresses physiques, numéros de téléphone ou numéros d’identification.
En résumé, toute donnée propre à un individu et permettant de remonter jusqu’à lui. Enfin, il faut souligner que les données personnelles ne sont pas forcément relatives à vos clients, mais peuvent également concerner vos employés, vos prospects ou vos collaborateurs.
Les données personnelles sont-elles uniquement collectées par internet ?
Voici une erreur que bien des structures peuvent faire : le RGPD ne concerne pas seulement les entreprises du monde numérique ! En réalité, toutes les structures traitant des données personnelles doivent se mettre en conformité avec le RPGD. Dès lors que vous possédez une base de données, même s’il s’agit d’un simple fichier Excel avec le nom et le numéro de téléphone de vos clients, le RGPD s’applique. En revanche, les données qui ne permettraient pas de remonter jusqu’aux personnes physiques ne sont pas concernées.
Les obligations du RGPD en matière de protection des données
personnelles.
Le RGPD impose donc de nouvelles obligations quant à la collecte et au traitement des données personnelles.
Il vient appuyer la loi française énonçant que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
Pour montrer patte blanche auprès des autorités de contrôle, les structures doivent prendre soin de documenter la conformité de leurs opérations de traitement. Les processus de traitement doivent par ailleurs être déclarés, et la structure doit pouvoir démontrer que ces processus sont conformes et qu’elle est en mesure de les respecter.
En termes de traitement, la structure doit prendre soin de minimiser les données collectées. Les informations demandées aux utilisateurs doivent être «adéquates, pertinentes et limitées ». La structure doit aussi pouvoir justifier de la légitimité de la collecte et du traitement des données personnelles. Comprenez par-là que si vous collectez les données personnelles de vos clients, ce doit être dans un but précis et légitime.
Pour être conforme au RGPD, une structure traitant des données doit afficher les mentions légales relatives à l’usage et à la finalité du traitement. Elle peut ainsi s’assurer de disposer du consentement de l’utilisateur, ce qui ne peut se faire si celui-ci n’est pas correctement informé.
Ce qu’il faut donc retenir de la définition d’une donnée personnelle, c’est que cette notion définit toutes les informations qui pourraient permettre de faire un lien entre une personne physique et une donnée numérique. Le RGPD vient réguler ce domaine en redonnant aux utilisateurs une meilleure maitrise de leurs données et en responsabilisant les entreprises quant aux pratiques mises en œuvre lors du traitement des données.
Cette réglementation intervient dans un souci du respect de la vie privée de l’utilisateur. Pour mettre en œuvre un traitement de données personnelles conforme au RGPD, et donc adapté aux finalités de votre structure, n’hésitez pas à demander conseil auprès d’un expert. Celui-ci vous conseillera une gestion efficiente et conforme des données qui vous évitera toute sanction en cas de contrôle sans nuire à la performance de votre organisation.