GDPR (1) Que sont les données personnelles?

13 juillet 2017

Impossible d’évoquer la GDPR sans définir les données personnelles. Les données personnelles, ce sont « toutes les informations en relation avec des personnes physiques identifiées ou identifiables ». Comme pour toutes les définitions, chaque mot a son importance. Voyons cela dans le détail.

  • Personnes physiques :
    Il s’agit des données de personnes individuelles encore en vie, et non de personnes morales. Les données d’entreprises qui sont votre client ou votre fournisseur ne relèvent donc pas de cette catégorie ; mais celles d’une personne de contact, par exemple, en relèvent bien.
  • Personnes identifiées :
    Une personne peut par exemple être identifiée à l’aide de son nom, de son prénom, de son adresse et de sa date de naissance. Plus vous concentrez de données et plus le groupe de personnes est petit, plus il est facile de ramener l’information à une personne.
  • Personnes identifiables :
    Certaines données ne peuvent être liées à une personne, mais comportent une clé leur permettant d’être combinées avec d’autres données. Si cela peut conduire à une identification, il s’agit aussi de données personnelles. La GDPR stipule explicitement que cela reste ainsi tant que la combinaison peut être établie avec des efforts raisonnables.
  • Toutes les informations :
    Cela indique clairement qu’il ne s’agit pas uniquement d’informations numériques dans des fichiers de données, mais aussi de données collectées sur papier, provenant d’images ou d’enregistrements sonores, etc. Certaines initiatives législatives antérieures se limitaient aux informations numériques, mais pour la GDPR, ce n’est explicitement pas le cas.
  • Informations en relation avec une personne :
    Les informations qui en soi ne disent rien sur une personne peuvent être des données personnelles en raison du fait qu’elles sont liées à une personne. Les données de localisation en sont un bon exemple (l’endroit où se trouve une personne à un moment donné).

Il s’agit donc d’une très large gamme de données, allant de vos nom, adresse et date de naissance à votre dossier médical chez votre médecin traitant, en passant par votre état civil, les noms de votre conjoint et de vos enfants, mais aussi un extrait de votre casier judiciaire. Vos diplômes, vos connaissances linguistiques et votre expérience professionnelle sont des informations que vous mettez souvent à disposition de manière volontaire. Vous partagez vraisemblablement uniquement vos expériences privées avec votre famille et vos amis via les réseaux sociaux, en vous protégeant correctement du monde extérieur. Mais avez-vous déjà pensé à la liste de tous les articles que vous avez achetés au cours de l’année écoulée dans votre supermarché préféré ou à un aperçu de toutes les informations que vous avez recherchées sur Internet ? Il s’agit même de la localisation précise de votre GSM à un moment donné (et donc de votre localisation précise).

Conseil

Afin de percevoir l’ampleur des informations auxquelles s’applique la GDPR, vous pouvez commencer par dresser un premier inventaire des données personnelles auxquelles vous êtes confronté(e) dans votre environnement professionnel, ou des données qui, selon vous, sont détenues à votre sujet par votre employeur ou des contacts professionnels dans d’autres entreprises. Ne poursuivez pas votre lecture avant d’avoir fait ce premier exercice.

Vous avez dressé votre liste ? Avez-vous pensé aux éléments suivants ?

  • Un tiroir plein de cartes de visite, une feuille de calcul avec des coordonnées
  • Le numéro de téléphone privé de collègues ou le numéro direct d’un consultant, transmis en toute confiance pour les urgences
  • Les photos de la dernière fête du personnel
  • Votre CV
  • Les rapports d’entretiens d’évaluation ou de fonctionnement
  • Les récapitulatifs des jours prestés, des absences et des jours de maladie
  • Les images enregistrées par les caméras surveillant les accès aux bâtiments de l’entreprise
  • Les journaux (logs) consignés par le département ICT : les heures auxquelles vous vous connectez au réseau ou à certaines applications, les sites web consultés…
  • Vos échanges d’e-mails (leur contenu mais aussi leur nombre, les destinataires, etc.)
  • Les questionnaires que vous complétez pour recevoir des informations d’un fournisseur, télécharger un livre blanc ou vous abonner à une newsletter (vos centres d’intérêt, vos loisirs, votre fonction dans l’entreprise, vos années d’expérience, etc.)

Cet aperçu est loin d’être complet, mais il montre clairement pourquoi il est nécessaire d’avoir une législation veillant à ce que tous ceux qui utilisent des données personnelles les gèrent de manière scrupuleuse et respectent certaines règles. D’autre part, il est inévitable et même nécessaire que les données personnelles puissent être utilisées, non seulement dans la sphère privée ou par l’administration, mais aussi par le monde des entreprises. La GDPR veut garantir un bon équilibre entre le droit au respect de la vie privée des individus d’une part et la possibilité, pour les entreprises, d’utiliser la richesse des informations disponibles, même en dehors des frontières d’un pays d’autre part. Dans la suite de ce blog, vous comprendrez que dans la GDPR, tout est question d’équilibre entre ces deux points de vue. Savoir quelles sont les informations utilisées et à quelles fins est crucial pour les obligations qu’il convient de respecter. Le prochain épisode se penchera plus en détail sur les degrés de sensibilité des données personnelles et ce que l’on entend par « catégories spéciales ». Nous verrons également ce qu’il en est exactement du traitement des données, ainsi que des rôles et responsabilités définis à cet égard.

Viktor D’Huys est ICT Manager et responsable entre autres de la protection des informations au sein de Group Joos. Il coordonne le projet GDPR. Il est Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe ou CIPP/E, une certification de l’IAPP (International Association of Privacy Professionals), la plus grande fédération professionnelle internationale des professionnels du respect de la vie privée.

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter via gdpr@groupjoos.com

LOADING