En vertu du RGPD, les données personnelles sont définies comme toute information identifiable sur une personne. Il peut s’agir d’informations telles que le nom, l’adresse, l’adresse e-mail, l’adresse IP, les données biométriques, etc.
Le RGPD est la législation sur la protection des données la plus ambitieuse au monde. Il régit la collecte, le stockage et la destruction des données personnelles de tous les citoyens de l’UE. Les organisations situées géographiquement en dehors de l’UE ne sont pas non plus exemptées. Ce règlement général couvre toutes les données personnelles des citoyens de l’UE.
Il n’y a qu’un seul point de confusion : qu’est-ce qu’une donnée personnelle exactement ? Et qu’est-ce qui est couvert par le RGPD ?
En effet, le fait de ne pas obtenir de consentement explicite pour la collecte de données personnelles vous rendra non conforme au RGPD. Cela peut entraîner des amendes de plusieurs dizaines de millions.
Nous aborderons ici la définition exacte des données personnelles dans le cadre du RGPD. Nous allons fournir quelques exemples et discuter des implications de cette définition.
Qu’est-ce qu’une donnée personnelle ?
Selon le RGPD, les données personnelles sont définies comme :
« On entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après la « personne concernée »).
Si cela semble vague, c’est parce que c’est le cas.
Le RGPD ne précise pas ce qui est considéré comme une donnée personnelle. Il n’y a pas de liste finale. C’est purement spéculatif, basé sur l’interprétation du RGPD.
Le règlement précise en outre qu’il ne s’applique que lorsqu’une personne peut être identifiée, directement ou indirectement, « par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ».
Essentiellement, tout ce qui les concerne. On peut supposer que la loi a été rédigée intentionnellement de manière vague pour inclure toute la gamme des données personnelles qui pourraient être recueillies. Mais cela rend la non-conformité au RGPD très possible.
Exemples de données personnelles dans le cadre du RGPD
Il est difficile de comprendre quand et où quelque chose est considéré comme une donnée personnelle. Pour vous aider, voici cinq scénarios potentiels. Pouvez-vous deviner ce qui est considéré comme des données personnelles pour chacun d’entre eux ?
1. Vous possédez un salon pour chiens et souhaitez vous développer en ligne. Vous créez un site Web qui collecte des informations sur les adresses de protocole Internet et les identifiants de cookies. Vous gardez également un forum où les gens parlent de tout ce qui concerne les chiens – leur compte est lié à la race de chien qu’ils possèdent.
Répondre: Ici, les cookies sont définitivement des données personnelles. En revanche, la race de chien peut ne pas l’être, car elle ne peut pas être utilisée pour identifier la personne en question.
2. Vous gérez un site Web de forum où les gens débattent anonymement de leur politique locale. Aucune information n’est fournie sur la localité d’une personne, son nom, son âge ou sa profession. Seules leurs opinions politiques sont répertoriées.
Répondre: Même si les opinions politiques sont données de manière anonyme, elles restent considérées comme des données personnelles. Ils sont donc soumis au RGPD.
3. Vous travaillez pour une société de sondage en ligne. Dans le cadre de votre enquête, vous collectez des informations anonymes sur les choix d’achat des internautes. Les choix d’achat sont conservés dans une base de données et utilisés pour évaluer les tendances publiques.
Répondre: Comme les informations d’achat sont déjà anonymisées, le RGPD n’est pas pertinent ici. Le consentement devra toujours être recueilli au départ. Mais par la suite, il n’est pas nécessaire de se conformer davantage au RGPD, à condition qu’aucune autre information ne soit collectée.
4. Vous créez une application qui permet aux utilisateurs de discuter avec des personnes à proximité immédiate. L’application collecte des données de localisation et stocke la conversation même après qu’une personne a supprimé l’application.
Répondre: Les données de localisation, le contenu de la conversation et toute autre information liée à leur compte sont tous couverts par le RGPD. Cela signifie que le consentement et la conformité sont essentiels. Cependant, le RGPD précise également que les données personnelles ne doivent être conservées que le temps nécessaire. Par conséquent, vous pouvez ne pas être en conformité avec le RGPD si vous conservez les données longtemps après que quelqu’un ait supprimé l’application.
5. Vous créez un site Web qui permet aux gens de transformer des photos de leurs visages. Le site Web vous permet de télécharger la photo, puis de télécharger l’image finale. Cependant, si l’utilisateur clique sur la page, le site Web ne se souvient pas des images précédentes téléchargées.
Répondre: Dans des circonstances normales, une photo est considérée comme une donnée personnelle. À cette occasion, cependant, comme la photo est automatiquement supprimée, le propriétaire du site n’est pas réglementé par le RGPD. Le RGPD ne couvrirait que les informations telles que les cookies collectés.
Comment les organisations peuvent-elles gérer les données personnelles ?
Suite au RGPD, il est essentiel pour les organisations de traiter les données personnelles avec diligence et soin. Les violations du RGPD peuvent entraîner de lourdes amendes, voire des poursuites judiciaires.
Il y a deux façons d’éviter cela :
- Anonymisation
- Pseudonymisation
L’anonymisation est largement comprise par tout le monde. Ici, toutes les données personnelles sont supprimées ou cryptées afin d’empêcher l’identification facile des personnes concernées. Le cryptage est particulièrement utile, car il permet de remplacer les données personnelles par d’autres données.
Cela permet aux données personnelles d’être facilement transférées ou utilisées sans se soucier de l’impact d’une violation de données.
La pseudonymisation fonctionne de la même manière. Il permet de remplacer les données personnelles par des « identifiants artificiels ». Cela permet aux entreprises d’analyser les données collectées sans risquer une violation de données et de rester dans les paramètres du consentement de l’utilisateur.
Voici quelques exemples de pseudonymisation :
- Un nom d’utilisateur sur un forum en ligne (au lieu de son nom légal)
- Une entreprise qui analyse les achats des utilisateurs de manière aléatoire génère des pseudonymes et de fausses données d’adresse
- Dans un essai clinique, un sujet reçoit un « numéro d’étude » à la place de son nom
Conclusion
Voici notre ventilation complète de ce qui est considéré comme des données personnelles en vertu du RGPD. Si vous dirigez une entreprise en ligne ou collectez régulièrement des données personnelles, vous serez probablement affecté par le RGPD. Par conséquent, il est important de connaître la législation pertinente et la façon dont vous pouvez rester en conformité.
Si vous pensez être concerné par le RGPD, nous vous recommandons vivement de lire le règlement de 88 pages lui-même .
Sources:
https://www.ucl.ac.uk/data-protection/guidance-staff-students-and-researchers/practical-data-protection-guidance-notices/anonymisation-and#Pseudonymisation
https://www.gdpreu.org/the-regulation/key-concepts/personal-data/
https://www.british-assessment.co.uk/insights/what-is-personal-data-under-gdpr/
https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp