đ DonnĂ©es personnelles vs donnĂ©es sensibles : les distinctions clĂ©s du RGPD expliquĂ©es en 6 points essentiels ! âïžđ
Il est essentiel de comprendre ces distinctions et les rĂšgles qui les entourent. Du traitement des donnĂ©es Ă la base lĂ©gale, en passant par les principes cardinaux de protection, dĂ©couvrez les Ă©lĂ©ments clĂ©s pour apprĂ©hender votre mise en conformitĂ© au RGPD đ
La distinction entre données à caractÚre personnel et données sensibles à caractÚre personnel est fondamentale (1), elle est davantage plus parlante en donnant des exemples concrets (2).
Pour ĂȘtre correctement apprĂ©hendĂ©e, cette distinction nĂ©cessite de dĂ©finir ce quâest un traitement de donnĂ©es Ă caractĂšre personnel (3) et de prĂ©senter les bases lĂ©gales des traitements (4).
Enfin, la présentation des principes cardinaux de la protection des données (5) permet de mieux différencier les régimes de protection entre données à caractÚre personnel et données sensibles à caractÚre personnel (6).
1 - DĂ©finition des notions
> Données à caractÚre personnel :
Les donnĂ©es Ă caractĂšre personnel sont dĂ©finies comme toute information se rapportant Ă une personne physique identifiĂ©e ou identifiable, selon lâarticle 4.1 du RGPD. Une personne est identifiable si elle peut ĂȘtre reconnue directement (par exemple avec son nom, prĂ©nom) ou indirectement (par exemple avec son numĂ©ro de tĂ©lĂ©phone, son adresse postale, son adresse IP).
> Données sensibles à caractÚre personnel :
Les donnĂ©es sensibles, quant Ă elles, sont une sous-catĂ©gorie spĂ©cifique de donnĂ©es personnelles qui nĂ©cessitent une protection renforcĂ©e en raison de leur nature, selon lâarticle 9 du RGPD.
2 - Exemples de données à caractÚre personnel et de données sensibles à caractÚre personnel
> Données à caractÚre personnel :
PrĂ©nom, nom, numĂ©ro dâidentifiant, numĂ©ro de tĂ©lĂ©phone, adresse postale, adresse IP ....
> Données sensibles à caractÚre personnel :
Opinions syndicales, opinions politiques, orientation sexuelle, état de santé, infractions pénales ...
3 - Définition de la notion de traitement de données à caractÚre personnel
Le traitement des donnĂ©es Ă caractĂšre personnel se rĂ©fĂšre Ă toute opĂ©ration ou ensemble dâopĂ©rations effectuĂ©es sur ces donnĂ©es, de maniĂšre automatisĂ©e ou non.
Il sâagit ainsi, selon lâarticle 4.2 du RGPD, de la collecte, lâenregistrement, lâorganisation, la conservation, la modification, lâextraction, la consultation, la communication, la suppression âŠ
Un des exemples les plus topiques concerne un formulaire en ligne qui enregistre les coordonnĂ©es dâun utilisateur constitue un traitement.
4 - Présentation des bases légales
La base légale est le fondement juridique permettant de traiter des données personnelles de maniÚre conforme au RGPD, selon son article 6. Les bases légales principales sont :
âą Le consentement : Lorsque la personne a donnĂ© son accord explicite (par exemple : lâinscription Ă une newsletter).
âą LâexĂ©cution dâun contrat : Traitement nĂ©cessaire pour fournir un service ou respecter un contrat (par exemple : un contrat de travail).
âą Lâobligation lĂ©gale : Traitement imposĂ© par la loi (par exemple : les dĂ©clarations fiscales).
âą LâintĂ©rĂȘt lĂ©gitime : Lorsque lâintĂ©rĂȘt de lâentreprise est lĂ©gitime et proportionnĂ© (par exemple : pour lâexercice de droits en justice).
âą La protection des intĂ©rĂȘts vitaux : En cas dâurgence mettant en danger une personne (par exemple : le traitement des informations contenues dans un dossier mĂ©dical).
âą Lâexercice dâune mission dâintĂ©rĂȘt public : ActivitĂ©s dans un cadre lĂ©gal et rĂ©glementaire (par exemple : le traitement dâune demande dans le cadre dâun service public ).
5 - Présentation des principes cardinaux de la protection des données à caractÚre personnel
Les principes fondamentaux pour le traitement des donnĂ©es personnelles (y compris sensibles) sont les suivants, au terme de lâarticle 5 du RGPD :
âą LicĂ©itĂ©, loyautĂ© et transparence : Toute collecte doit ĂȘtre justifiĂ©e par une base lĂ©gale, rĂ©alisĂ©e de maniĂšre transparente et explicite.
âą Limitation des finalitĂ©s : Utiliser les donnĂ©es quâaux fins prĂ©vues initialement.
⹠Minimisation des données : Ne collecter que les données strictement nécessaires.
⹠Exactitude : Maintenir les données à jour et corriger toute inexactitude.
⹠Limitation de la conservation : Conserver les données uniquement le temps nécessaire.
⹠Sécurité : Assurer la sécurité des données contre les accÚs non autorisés ou les violations.
Ces principes permettent de garantir un traitement conforme et éthique des données à caractÚre personnel et sensibles.
6 - Régimes de protection des données à caractÚre personnel et des données sensibles à caractÚre personnel
Tout traitement de données à caractÚre personnel, sensibles ou non, devra respecter les principes cardinaux de la protection des données (loyauté, transparence, collecte minimisée, durée de conservation limitée, sécurité ...)
Si le traitement de donnĂ©es Ă caractĂšre personnel concerne des donnĂ©es sensibles est en principe interdit, sauf sâil repose sur une base lĂ©gale particuliĂšre (consentement de la personne concernĂ©e, sauvegarde de ses intĂ©rĂȘts vitaux). Le cas Ă©chĂ©ant le traitement de ces donnĂ©es devra respecter les principes cardinaux de la protection des donnĂ©es, en prenant en compte leur sensibilitĂ© particuliĂšre.
DĂšs lors, certaines garanties supplĂ©mentaires pourront ĂȘtre prises, comme la rĂ©alisation dâune analyse dâimpact relative Ă la protection des donnĂ©es (AIPD), ou encore une demande dâautorisation auprĂšs de la CNIL du traitement de donnĂ©es sensibles Ă caractĂšre personnel.
