Données personnelles, traitement et finalité

Qu'est ce qu'une donnée personnelle

Ce que dit la loi

Art. 2 - Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Données permettant d'identifier une personne :

Nom, Prénom

Numéro d’immatriculation

Numéro de téléphone

Photographie

Eléments biométriques tels que l’empreinte digitale

ADN

Numéro d’Identification Nationale Etudiant (INE)

Adresse électronique professionnelle

Ensemble d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaitre ses habitudes et ses goûts, par exemple « le propriétaire du véhicule 3636AB75 est abonné à telle revue » ou encore « l’assuré social 1600530189196 va chez le médecin plus d’une fois par mois »

Une adresse électronique à caractère professionnel est considérée comme une donnée à caractère personnel parce qu'elle permet d'identifier la personne titulaire de cette messagerie.

L'adresse permet d'identifier une personne dans la mesure  où elle comporte ses nom, prénom, et un domaine identifiant l'entreprise.

Données sensibles
Art. 8 - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaitre directement ou indirectement

Les origines raciales et ethniques

Les opinions politiques, philosophiques ou religieuses

L’appartenance syndicale des personnes

Les données relatives à la santé des personnes

Les données relatives à la vie sexuelle des personnes


Autres données présentant des risques particuliers d'atteintes aux droits et libertés :

Données génétiques

Données relatives aux infractions pénales, aux condamnations

Données comportant des appréciations sur les difficultés sociales des personnes

Données biométriques

Données comprenant le numéro NIR

Données biométriques

Une donnée biométrique est une donnée qui permet d’identifier un individu à partir de ses caractéristiques physiques, biologiques ou physiologiques comme 

L’ADN, la rétine, l’iris, les empreintes digitales, le contour de la main, ...

Données comprenant le numéro NIR ou qui nécessite la consultation du RNIPP

Le numéro d’inscription des personnes (NIR) au répertoire national d’identification des personnes physiques (RNIPP), appelé encore numéro INSEE ou tout simplement numéro de sécurité sociale, est créé à partir de l’état civil et est géré par l’INSEE. Il permet l’identification de toute personne au moyen d’un numéro de 13 chiffres. Il est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE.

Recommandation de la CNIL : La CNIL recommande que l’emploi du NIR comme identifiant des personnes dans les fichiers soit justifié et en aucun cas systématique et généralisé (Délibération n° 83-058 du 29 novembre 1983 portant adoption d’une recommandation concernant la consultation du RNIP et l’utilisation du NIR.) :

  • les responsables de la conception d’applications informatiques doivent donc se doter d’identifiants diversifiés et adaptés à leurs besoins propres ;
  • la consultation du répertoire, qu’elle donne lieu ou non à utilisation du numéro d’inscription audit répertoire, doit être subordonnée à la conclusion de conventions spécifiques avec l’INSEE.

L’utilisation du NIR est soumise selon le cas, à une autorisation de la CNIL ou par décret en Conseil d’Etat pris après avis motivé et publié de la CNIL ou à une décision de l’organe

La loi « Informatique et Libertés » ne s’applique pas aux personnes morales, comme par exemple le fichier de noms de sociétés.

Cependant, si ce fichier d’entreprises contient des noms de personnes physiques, exemple nom du responsable commercial, la loi « Informatique et Libertés » est applicable.

En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux ?

L’enjeu est de déterminer si vous allez engager votre responsabilité au regard des données que vous collectez

La notion de traitement et de finalité

Ce que dit la loi

Art. 2 - Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment :

La collecte

L’enregistrement

L’organisation

La conservation

L’adaptation

La modification

L’extraction

La consultation

L’utilisation

La communication par transmission

La diffusion ou toute autre forme de mise à disposition

Le rapprochement ou l’interconnexion

Le verrouillage, l’effacement ou la destruction

 

Ce que dit la loi

Art. 6 - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
  •  Les données sont collectées et traitées de manière loyale et licite
  • Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement
  • Un fichier doit avoir un objectif précis
  • Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.
  • Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. 

Il appartient donc aux initiateurs des traitements

  •  De bien préciser la finalité de leurs applications,
  •  De vérifier le respect du principe de proportionnalité,
  •  De mesurer la pertinence des données collectées

 A Noter

Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende. art. 226.21 du code pénal