Un numéro de sécurité sociale est une donnée personnelle, de toute évidence. Un âge (« 13 ans », ou « 54 ans ») est aussi une donnée personnelle : quoique cette information semble a priori anodine et sans enjeu, elle permet d'identifier quelqu'un si on la croise avec une adresse.
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des ...
Attention : s'il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.
Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
Pour la nouvelle loi, est considérée comme donnée personnelle : Tout ce qui permet d'identifier directement une information : prénom, nom, numéro de téléphone etc.
Une donnée sensible est une donnée à caractère personnel et privée appartenant à une personne physique. La consultation et le traitement de ces données sont strictement interdits par la loi sauf dans certains cas encadrés par de nombreuses règles.
L'adresse, la nationalité et le lieu de naissance ne sont pas considérés par la CNIL comme des données « sensibles » au sens de l'article 8. En effet, l'information sur le lieu de naissance de la personne fait partie de l'état civil et est considérée comme une donnée « objective ».
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données à caractère personnel en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.
Qu'est-ce que le RGPD ? Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
Q2 : Quelle est la meilleure façon de savoir si une information est sensible ? a) Si la mention « Confidentiel » figure sur le papier d'impression ou sur le répertoire informatique.
Ainsi, le traitement des données sensibles est autorisé : Si la personne concernée a donné son consentement exprès. Ce consentement doit être écrit et la personne doit avoir été informée au préalable.
Le numéro de sécurité sociale (NIR)
Dans la mesure où il est unique à chaque personne, particulièrement identifiant et signifiant, son utilisation présente un risque de fichage de la population et de rapprochements de fichiers sans cesse plus importants. Aussi, l'usage du NIR est strictement encadré par la loi.
Ainsi, un mineur peut, à partir de 15 ans, consentir seul au traitement de ses données personnelles si celui-ci est effectué dans le cadre de services en ligne et s'il repose sur le consentement.
La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données à caractère personnel entre les États membres.
Qu'entend-on par données non personnelles ? Ce sont les données qui ne permettent pas d'identifier les personnes. Cela peut être par exemple les données de l'agriculture sur l'utilisation des pesticides, celles des industriels sur les besoins de maintenance d'un appareil, etc.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
Les traitements non concernés par le RGPD
Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.
La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données".
Qu'est-ce qu'une « donnée sensible » pour une entreprise ? Au sein d'une entreprise, les données sensibles correspondent à des informations ayant une valeur économique et/ou stratégique, dont la fuite, l'altération, la suppression et/ou l'utilisation frauduleuse leur seraient préjudiciables.
La loi Informatique et Liberté, créée le 6 janvier 1978 par la CNIL, instaure une règlementation concernant le traitement des données à caractère personnel. Son objectif ? Garantir la protection de la vie privée des citoyens face aux moyens de traitements automatisés de données numériques.