Le RGPD est un texte de référence européen visant à protéger des données personnelles. Instaurées depuis quelques années, les entreprises concernées devront alors être en mesure de respecter ce règlement. Une donnée à caractère personnel a été définie comme étant toute information se rapportant à une personne concernée qui peut être identifiée ou identifiable.
Selon la CNIL, c'est toute information se rapportant à une personne physique susceptible d'être identifiée directement par des informations lui concernant ou indirectement. Une personne est identifiée si son nom et son prénom apparaissent directement dans un fichier. Une personne est identifiable si des informations permettent indirectement de l’identifier.
Par exemple, les informations principales sur une personne relèvent des données personnelles. À savoir son nom, son prénom, sa date et lieu de naissance, sa photo, sa résidence et sa profession et bien d’autres permettant de l’identifier. Cependant, pour être qualifiée de donnée personnelle, l’information en cause doit être relative à une personne physique au lieu d’une personne morale comme une entreprise ou une société.
En général, toute information qui permet d’identifier une personne peut être assimilée à une donnée personnelle. De manière indirecte, une personne peut être identifiée par des informations ayant trait à ses caractères personnels. Ces informations peuvent en effet être rendues publiques ou être confidentielles selon la personne concernée.
Le regroupement de plusieurs informations sur une personne à travers n’importe quel support ou moyen technique peut permettre d’identifier une personne, donc est toujours considéré comme donnée personnelle. L’adresse IP, le numéro de carte d'identité, le numéro de sécurité sociale et les autres informations permettant d’identifier indirectement la personne concernée sont également considérés comme personnels.
On peut alors diviser les données personnelles en plusieurs catégories :
Ce sont en général les données qui permettent d’établir l’identité d’une personne physique. On parle ici de sa civilité, son nom, son prénom, adresse, photo ou vidéo, tout ce qui permet une identification directe.
Ce sont les données relatives à la vie personnelle de la personne physique comme sa situation familiale, son nombre d’enfants et ses habitudes de vie.
Comme son nom l’indique, ce sont des données ayant trait à la profession de la personne concernée. Par exemple, son adresse email, son adresse professionnelle ou son numéro professionnel.
Ce sont les données relatives aux ressources pécuniaires d’une personne. Par exemple, les factures, les relevés de compte, les numéros de compte, les justificatifs de revenus.
Si la personne a des informations relatives aux condamnations pénales ou aux infractions, elles peuvent être considérées comme des données personnelles.
Ce sont des informations relatives aux traits sensibles comme l’origine ethnique et raciale, l’opinion politique et philosophique, l’appartenance syndicale. Mais elles peuvent être plus personnelles comme les données biométriques, les données de santé et même l’orientation sexuelle.
Des informations sur une personne peuvent être relevées à partir de sa connexion sur un système informatique, et elles sont considérées comme personnelles.
Ce sont les données permettant d’avoir accès à votre localisation.
C'est pourquoi il est important de ne pas négliger la cybersécurité de son entreprise.