Tout savoir sur les données personnelles : définition et enjeux

Les données personnelles, on en parle beaucoup depuis que des géants du web se sont vu infliger de lourdes amendes pour non-respect du RGPD. Mais de quoi s’agit-il exactement ? Quels sont les enjeux des entreprises en matière de protection des données ? Quelles bonnes pratiques mettre en place pour être conforme au RGPD ? Découvrez les infos essentielles à connaître pour bien manipuler les données personnelles dans votre entreprise.

Qu’est-ce qu’une donnée personnelle ?

Un peu d’histoire…

La France était très en avance en matière de protection des données personnelles. Tout commence dans les années 1970 avec le projet gouvernemental SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) : il s’agit de recenser dans un fichier des données personnelles – adresse et numéro de sécurité sociale – concernant les individus.Un journaliste publie alors la célèbre tribune « Safari » ou la chasse aux Français pour dénoncer une grave entrave aux libertés individuelles. Le projet est abandonné.

Le 06 janvier 1978, la France vote la loi Informatique et Libertés. Deux apports majeurs : la création de la Commission Informatique et Libertés, ancêtre de la CNIL, et la réglementation des traitements des « informations nominatives », ancêtres des données personnelles.

Depuis le 25 mai 2018, c’est le RGPD (Règlement Général sur la Protection des Données) qui s’applique partout en Europe pour protéger les données personnelles.

Une donnée à caractère personnel, au sens de l’article 4 du RGPD, est une information directe ou indirecte qui se rapporte à une personne physique identifiée ou identifiable. Les données relatives aux personnes morales ne sont pas protégées par le RGPD.

  • Les nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement. L'adresse mail est également une donnée personnelle.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement. Des informations comme une adresse IP peuvent être utilisées pour identifier indirectement un individu.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier. 

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. 

Qu’est ce qui n’est pas de la donnée personnelle ? 

Au sens du RGPD, les données à caractère personnel sont toutes données relatives à une personne physique. Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc. 

Attention, même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.

Si votre entreprise traite des données personnelles – et c’est quasi-inéluctable – elle doit respecter le RGPD .

Qu’est ce qu’une donnée sensible ? 

Parmi les données personnelles, il existe une catégorie de données qui bénéficient d’une protection accrue : les données sensibles

L’article 9 du RGPD énonce les catégorie de données considérées comme sensibles, et donc interdites de tout traitement à ce titre, sauf exceptions. Il s’agit des données suivantes : 

  • Informations relatives à l’origine raciale ou ethnique,
  • Informations relatives aux opinions politiques,
  • Informations relatives aux convictions religieuses ou philosophiques,
  • Informations relatives à l’appartenance syndicale,
  • Informations relatives à la vie sexuelle ou orientation sexuelle,
  • Données génétiques,
  • Données biométriques (permettant l’identification d’une personne unique),
  • Donnée de santé.

💡 Pour rappel, les informations relatives aux condamnations pénales bénéficient d’une protection similaire prévue à l’article 10 RGPD.

En vérité, les catégories de données listées à l’article 9 RGPD sont extrêmement larges. Par exemple :

  • La photo ou le nom d’un candidat à un emploi, peuvent contenir des informations sur ses origines ethniques et raciales que l’employeur traite lors de la procédure de recrutement.
  • L’achat d’un livre religieux est une information relative aux convictions religieuses qu’un site de e-commerce peut être amené à traiter.
  • Les données de santé correspondent à une catégorie particulièrement large : identité du médecin en charge de cette personne, type de traitement pris, état de santé passé, présent et futur etc.

3 bonnes raisons d’assurer la protection des données personnelles

#1 Éviter les sanctions de la CNIL

Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, c’est ce qu’une entreprise risque si elle ne respecte pas le RGPD dans ses process de gestion des données personnelles – collecte, conservation, sécurisation.

#2 Inspirer confiance

Vos clients sont attentifs à la manière dont vous traitez leurs données personnelles. En appliquant une politique très protectrice, vous gagnez leur confiance et votre image de marque s’en ressent.

Illustrations :

  • La plupart des bannières cookies, très agaçantes, incitent les internautes à accepter la collecte de leurs données personnelles. Prenez le contrepied : mettez en valeur la case « Continuer sans accepter », pour ne pas leur forcer la main.
  • Vos clients savent qu’ils peuvent vous demander d’effacer leurs données de vos fichiers. Mais comment faire ? Fournissez-leur un moyen pratique et rapide à cet effet, vous leur rendez service.
  • Un client s’inscrit à votre newsletter, mais vous constatez qu’il supprime systématiquement vos e-mails sans les lire : il n’est finalement pas intéressé. Proposez-lui de le désinscrire de votre liste de diffusion, il appréciera votre initiative !
  • Un client est vraisemblablement excédé de remplir un formulaire de contact à rallonge – âge, profession, nom du professeur de CP… – alors qu’il veut seulement vous demander vos délais de livraison. Désencombrez au maximum vos formulaires.

#3 Gagner de nouveaux marchés 

La conformité au RGPD est un devenue un atout concurrentiel majeur. Les grands comptes procèdent dorénavant à des audit complets de leurs futurs partenaires qui doivent pouvoir montrer patte blanche en matière de protection des données personnelles avant la conclusion d’un accord. 

En effet, par exemple une violation des données personnelles (divulgation, piratage etc.) peut engendrer un coup réputationnel important. Les formulaires de cybersécurité et de conformité sont donc devenus le quotidien des relations commerciales. Et avoir à disposition l’ensemble de la documentation en matière de conformité est un atout concurrentiel majeur et permet d’obtenir de nouveaux marchés, en particulier avec les grands comptes.  

5 bonnes pratiques de gestion des données personnelles

De leur collecte à leur conservation, manipuler des données personnelles peut s’apparenter à un numéro de haute voltige, notamment pour les petites entreprises qui n’ont ni DPO (Délégué à la Protection des Données) ni service juridique. Pourtant quelques pratiques simples permettent de se conformer au RGPD.

1. Collecter les seules données nécessaires

Est-il nécessaire de demander la date de naissance dans le formulaire de commande en ligne ? Pourquoi collecter les adresses postales de vos clients si vous fournissez un service 100 % dématérialisé ? Est-ce qu’un outil de web analytics qui n’utilise pas de cookies pourrait vous suffire ?

Évaluez systématiquement la pertinence de la collecte. Moins vous manipulez de données personnelles, plus vous en facilitez la gestion. Dans cet objectif, pensez également à supprimer les informations dès que vous n’en avez plus besoin : inutile de conserver des données obsolètes…

Cette objectif est l’un des principes fondateurs de la protection des données personnelles : la minimisation des données.  

Ce principe signifie qu’il revient à une entreprise de ne collecter que les données strictement nécessaires à l’objectif (finalité) pour laquelle elles sont collectées. 

En pratique comment mettre en oeuvre ce principe : 

  • Faites un choix en amont de ne collecter que les informations nécessaires. 
  • Supprimez les données dont vous n’avez plus besoin.
  • Anonymisez les données pour lesquelles l’identité de la personne n’est plus un besoin. Une donnée anonymisée ne peut pas être associée à une personne identifiée. Dès lors, la donnée est non-personnelle, le RGPD ne s’applique plus, vous en faites ce qu’il vous plaît. 

Par exemple, pour analyser le panier moyen de vos clients sur une année, vous consignez le montant total dépensé, le nombre d’achats et l’âge de l’acheteur. Si vous anonymisez totalement ces données, elles sont plus reliées à un client, il s’agit d’une simple data. 

2. Informer les personnes

Le RGPD vous oblige à informer les personnes, à deux égards.

  • Vous leur expliquez ce que vous faites de leurs données personnelles : motif de la collecte, moyen et durée de conservation, sécurisation, personnes autorisées à y accéder…
  • Vous les informez de leurs moyens d’action : droit de modifier leurs données et de retirer leur consentement, droit à la portabilité, droit à l’oubli… Bien sûr, vous leur permettez d’exercer facilement leurs droits. Idéalement, vous mettez en place sur votre site un module dédié à l’exercice des droits RGPD, pour permettre aux personnes de gérer leurs données personnelles de manière autonome et pour alléger la tâche de vos équipes.

3. Avoir une organisation infaillible

Quand vous commencez à avoir un gros volume de données, vous les classez sous forme de fichiers informatisés. On parle aussi de traitements. Et quand vous accumulez les traitements, vous les cartographiez pour avoir une vision d’ensemble sur les données personnelles que vous manipulez. La bonne organisation des traitements participe à la gestion efficace et sans risque des données personnelles :

  • Classer les données permet d’identifier rapidement celles qui sont devenues inutiles et celles dont la durée de conservation a expiré, pour les supprimer.
  • Tracer et ordonner les données permet de justifier la base légale de la collecte en cas de contrôle (exécution de contrat, intérêt légitime ou consentement, notamment).
  • CRM, logiciel de ventes, solution d’e-mailing ou encore outil de web analytics : disposer d’une vue globale sur toutes les données personnelles collectées via vos diverses plateformes SaaS facilite leur lisibilité et leur exploitation.
  • Mettre en place un système performant de gestion des droits des personnes accélère et fiabilise le process.

4. Protéger les données personnelles

La protection des données personnelles doit être envisagée à deux niveaux :

  • Sécurisez vos réseaux informatiques. Vous stockez sans doute un volume important d’informations sur vos serveurs en interne. De la même manière que vous protégez vos secrets commerciaux, protégez les données personnelles ! Mettez en place un système de sécurisation renforcé et veillez à le mettre à jour régulièrement. Utilisez des sites web sécurisés, notamment ceux utilisant HTTPS, pour protéger les données personnelles des utilisateurs.
  • Mettez en place des mesures organisationnelles : Les mesures organisationnelles sont liées au facteur humain. Le responsable de traitement comme le sous-traitant doivent s’assurer que les personnes physiques qui travaillent sous leur autorité ne traitent les données personnelles que sur leurs instructions ou par ce qu’elles y sont obligés en vertu de la loi. Par exemple, le RGPD oblige le sous-traitant à veiller à ce que ses employés soient soumis à une obligation de confidentialité. 

Ne pas oublier les données personnelles des salariés !

5. Documenter vos actions ! 

Protéger les données personnelles c’est bien, pouvoir le prouver c’est mieux. Certes, l’idéal est de disposer d’un un registre de traitement des données personnelles à jour, un registre des sous-traitants (et leurs DPA) etc. Mais en l’absence, n’hésitez pas à documenter toutes vos actions en matière de protection des données personnelles. L’esprit autour du RGPD est de sensibiliser les acteurs à la protection des données. Il est quasiment impossible d’être 100% conforme, trop de données transitent en permanence. Mais adopter la bonne attitude, décrire vos réflexions et votre feuille de route est déjà un élément de conformité. 

Si en plus, vous choisissez une solution qui permet d’automatiser toutes votre documentation, vous vous assurez de conduire votre activité sereinement. 

Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?