Une personne physique peut être identifiée grâce à ses données :

  • Directement : la personne physique sera identifiée par son nom, son prénom, son adresse etc… ;
  • Indirectement : la personne physique sera identifiée notamment par son numéro de téléphone, sa plaque d’immatriculation, son adresse postale ou e-mail (à moins que l’adresse e-mail ne contienne les noms et prénoms), le numéro de sa carte de crédit etc…

Ces données identifiantes sont qualifiées de données personnelles et réglementées par la loi informatique et liberté ainsi que par le Règlement Général sur la Protection des Données (RGPD).

1.Le régime de droit commun de la donnée personnelle

Une donnée personnelle est constituée par :

  • Toute information portant sur une personne physique
  • Identifiée ou identifiable. Une personne physique est une personne humaine née vivante et viable (ce qui lui permet d’acquérir la personnalité juridique et par conséquent de disposer de droits et de devoirs).

L’identification d’une personne est parfois effectuée grâce à une donnée unique comme le nom ou parfois par le croisement de données (numéro de téléphone, numéro de carte de crédit, carte de transport magnétique…).

En revanche, ne constitue pas une donnée personnelle une donnée concernant une personne morale. Est une personne morale une société, une association, une administration etc…

2.Les données personnelles sensibles

Constitue une donnée personnelle sensible une information révélant :

  • Les origines raciales ou ethniques,
  • Les opinions politiques,
  • Les convictions religieuses, philosophiques ou l’appartenance syndicale,
  • Les données génétiques,
  • Les données biométriques aux fins d’identifier une personne physique de manière unique,
  • Les données de santé ou concernant la vie sexuelle ou encore l’orientation sexuelle.

Ces données sont qualifiées de sensibles et ne peuvent être collectées sauf si :

  • La personne concernée a donné son consentement exprès,
  • Les informations sont manifestement rendues publiques par la personne concernée,
  • Les données sont nécessaires à la sauvegarde de la vie humaine,
  • L’utilisation des données est justifiée par l’intérêt public et autorisé par la CNIL,
  • Les données concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Les informations concernant les infractions ou condamnations ne sont pas qualifiées de données sensibles. Néanmoins, elles bénéficient d’une protection spécifique. À ce titre, seules les juridictions et certaines autorités publiques peuvent les utiliser, tout comme la personne victime dans le cadre de la défense de ses intérêts.

Le Règlement Général sur la Protection des Données (RGPD) introduit un équilibre entre la nécessaire gestion des données par les administrations et les entreprises et la protection de la vie privée des personnes concernées. La réglementation en matière de données personnelles suit par conséquent plusieurs principes visant à faire respecter cet équilibre.

1.Légitimité

Un traitement ne peut reposer que sur le consentement, la nécessité contractuelle, une obligation légale, la sauvegarde de la vie humaine, un intérêt public, un intérêt légitime du responsable de traitement.

2.Transparence

Sur les finalités et l’identité du responsable de traitement ainsi que toute autre information nécessaire pour assurer une collecte loyale des données.

3.Proportionnalité

Les données doivent être adéquates, pertinentes, limitées, et elles doivent être nécessaires eu égard à la finalité.

4.Le respect de la finalité

La finalité doit être explicite, légitime, déterminée. Sont présumées compatibles les traitements ultérieurs à des fins archivistiques dans l’intérêt du public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

5.La sécurité

Il s’agit de l’obligation d’adopter les mesures techniques et organisationnelles adaptées eu égard au risque encouru et de la nature des données personnelles.

6.La responsabilité / Accountability

Cela oblige le responsable du traitement à mettre en place une démarche de conformité englobant une composante éthique.

7.Nomination obligatoire d’un délégué à la protection des données

Cette obligation est limitée aux autorités publiques, aux activités exigeant un suivi régulier et systématique ainsi qu’aux activités consistant en un traitement à grande échelle de données sensibles