Les données personnelles
Selon la CNIL, une donnée personnelle est une » information se rapportant directement ou indirectement à une personne physique identifiée ou identifiable ». Le choix a été de ne pas donner une liste, mais une définition suffisamment large et floue pour permettre d’évaluer le caractère personnel d’un type de donnée qui n’existerait pas encore. Ainsi les types de données considérées comme personnelles par le RGPD peuvent être :
- nominatives : nom, prénom, adresse, e-mail, téléphone, date de naissance, adresse IP… ;
- biométriques : ADN, empreintes digitales… ;
- idéologiques : intérêt, opinion, préférence sexuelle… ;
- financières : revenus, transactions… ;
- comportementales : navigation sur internet, habitudes de consommation… ;
- relationnelles : réseaux sociaux, liens familiaux, amicaux… ;
- de santé : soins, traitement, dossier médical… ;
- de contexte : géolocalisation, itinéraire suivi… ;
- de contenus personnels : photo, vidéo, SMS, chat, e-mail…
Les données sensibles
Parmi ces données personnelles, certaines sont considérées comme des données sensibles et sont donc particulièrement protégées : ce sont l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques et biométriques, ainsi que les données concernant la santé et l’orientation sexuelle.
Le règlement européen interdit de recueillir ou d’utiliser ces données sensibles sauf dans quelques cas, notamment lorsque la base légale repose sur le consentement explicite de la personne, son intérêt vital ou l’intérêt public.
Par exemple, en l’absence de consentement explicite un recruteur ne peut pas collecter ou utiliser les informations médicales d’un candidat, mais un médecin le peut si l’intérêt vital de la personne le justifie et les organismes étatiques également s’il y va de l’intérêt public.
Les droits des individus sur leurs données personnelles
Les individus ont des droits sur leurs données personnelles qui pourraient être détenues par des organisations :
Droit à l’information : savoir quelles données sont collectées, pourquoi, comment elles seront utilisées et comment ils peuvent exercer ses droits.
Droit d’accès : possibilité d’accéder aux informations détenues sous une forme claire, intelligible et aisément accessible ;
Droit de rectification des informations inexactes les concernant ;
Droit d’opposition pour motifs légitimes à ce que les données fassent l’objet d’un traitement (en cas de prospection commerciale, on peut s’opposer sans motif) ;
Droit d’effacement et de déréférencement : droit de faire effacer ses données chez l’organisation et à les faire déréférencer des moteurs de recherche.
Droit à la portabilité : droit à récupérer ses données sous une forme aisément réutilisable et, le cas échéant, transférables à un tiers.
Patrick Roussel
Professeur agrégé d'économie et gestion, auteur et coordinateur d'ouvrages de BTS MCO et NDRC aux éditions Foucher. Patrick Roussel Communication accompagne les établissements d'enseignement et les associations dans leur évolution vers le digital.