Une donnée à caractère personnel ou DCP (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres [1]. En France, les données ayant été l'objet d'un procédé d'anonymisation ne sont pas considérées comme des données à caractère personnel.
Ces données sont protégées par divers instruments juridiques notamment la loi Informatique, fichiers et libertés de 1978 et le Règlement général sur la protection des données ou RGPD (abrogeant la directive 95/46/CE) au niveau communautaire ainsi que la Convention N° 108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données à caractère personnel, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci), chargées de faire appliquer le droit de la protection des données à caractère personnel.
Les 5 grands principes des règles de protection des données personnelles sont les suivants :
- Le principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ;
- Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;
- Le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier ;
- Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ;
Caractère des Données :
Sont considérées comme données personnelles, les informations se rapportant à une personne physique vivante identifiée ou identifiable, dont le regroupement permet d’identifier cette personne en particulier, directement ou indirectement.
Il y a 7 catégories de données personnelles :
Les données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.)
Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.)
Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
Les informations économiques (revenus, impôts, données bancaires, droits sociaux, situation financière, etc.)
Les données de localisation (coordonnées GPS, géolocalisation véhicule ou téléphone, badges bâtiments, télépéages, etc.)
Les données judiciaires (casier judiciaire)
Les données sensibles;
Consentement au traitement des données personnelles
Vis-à-vis de l'individu, la principale obligation de l'entreprise prévue au RGPD consiste en une information et un consentement à recueillir auprès de l'individu dont les données à caractère personnel sont collectées et éventuellement traitées.
Autres obligations prévues par le RGPD
Droits des individus dont les données sont traitées
Le RGPD prévoit d'autres obligations concernant les données personnelles. Les individus ont un droit d'accès, et peuvent par exemple à tout moment solliciter auprès du professionnel la modification, la rectification, la suppression, la limitation des traitements ou de la durée de conservation, ainsi que le transfert des données. Le droit des données à caractère personnel est intimement lié au respect de la vie privé des individus.
Obligation d'information et sécurité
Le responsable du traitement doit également veiller à informer l'individu au sujet des finalités du traitement, et à la sécurité des données. Il doit également établir un registre des activités de traitement.
Mise en conformité RGPD
La définition de données à caractère personnel est en outre l'étape préliminaire indispensable avant la mise en place d'une mise en conformité au RGPD. Cette mise en conformité généralement effectuée par un Avocat a pour but de modifier les pratiques de l'entreprise et de modifier et créer des documents (contrats, registre, ...) afin que l'entreprise respecte les dispositions du RGPD et des autres textes relatifs à la protection des données personnelles, telle que la loi Informatique et Libertés.
La Commission nationale de l'informatique et des libertés (CNIL) est d'ailleurs chargée de veiller au respect des règles susvisées. A défaut, un individu peut effectuer une réclamation auprès de la CNIL Les entreprises doivent toutefois faire preuve de vigilance à la réception d'un courrier de mise en conformité au RGPD car de nombreuses arnaques à ce sujet se sont développées.
