Données personnelles : les bonnes pratiques

De nombreux entrepreneurs s’interrogent sur les données personnelles. En effet, la protection des données personnelles en France est stricte et des sanctions lourdes peuvent être appliquées en cas de non-respect de certaines obligations.

Quelles sont vos possibilités ? Quelles sont les obligations à respecter ? Comment protéger ses données personnelles ? Quel est le rôle de la CNIL pour les données personnelles ? Quel modèle de politique de confidentialité utiliser ? On vous répond à toutes vos questions.

Qu’est-ce qu’une donnée personnelle ?

Donnée personnelle : définition et identification

Depuis le Règlement européen sur la protection des données (RGPD) du 27 avril 2016 entré en vigueur le 25 mai 2018 une donnée personnelle est définie comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, seule ou combinée.

De nombreux entrepreneurs se demandent qui est concerné par le RGPD ? Les personnes physiques et morales sont soumises au RGPD lorsqu’elle traitent des données personnelles. Pour savoir si vous êtes concernés, il est nécessaire de comprendre ce qu’est une donnée personnelle.

Une donnée est directement identifiante si elle indique distinctement l’identité de la personne.

Exemple : le prénom, le nom de famille, l’adresse email, etc.

Une donnée est indirectement identifiante si, individuellement, elle ne permet pas d’identifier la personne, mais lorsqu’elle est associée à d’autres données elle permet son identification.

Exemple : une date de naissance associée à une adresse postale.

Bon à savoir : pour qu’une donnée ne soit plus considérée comme “personnelle”, il est nécessaire de mettre en œuvre des moyens pour les anonymiser. Le but est de rendre impossible l’identification de la personne concernée. Pour ce faire, vous avez la possibilité de flouter les informations, de masquer les noms, etc.

Les différents types de données personnelles

Il existe différentes catégories de données personnelles :

les données relatives à l’identité : nom, prénom, date de naissance ;
les données relatives à la vie personnelle : habitude de consommation et de loisirs ;
les données relatives à la vie professionnelle : salaire, adresse professionnelle ;
les données relatives à la vie économique : données bancaires, capacité d’emprunt ;
les données de localisation.

Bon à savoir : il existe une catégorie de données particulières dites sensibles, qui portent sur l’origine raciale, l’appartenance religieuse, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, la santé et l’orientation sexuelle.

Quelle protection des données personnelles en France ?

Les personnes physiques et morales soumises au RGPD doivent respecter plusieurs principes afin de protéger les données personnelles et notamment les deux éléments suivants :

ces données doivent être utilisées dans un but précis défini à l’avance, comme par exemple à des fins de prospections commerciales.
ces données doivent être utilisées de manière licite : c'est-à-dire avec le consentement de la personne, à des fins d’exécution contractuelles, à des fins d’obligations légales, ou encore à des fins d’intérêt public.

Exemple : une entreprise peut traiter ce type de données, les collecter et les utiliser, en dehors d’une obligation légale ou d’intérêt public, elle peut se fonder sur le consentement des clients. Elle peut les collecter via un formulaire de consentement présent sur son site internet.

le traitement de ce type de données ne doit porter que sur le traitement des données strictement nécessaires à la finalité définie au préalable.
ces données doivent être archivées supprimées ou anonymisées dès que la finalité définie a été atteinte.

La protection des données personnelles passe également par l’arsenal de droits dont disposent les personnes lors de l’exercice de ces données :

droit d’accès à l’information sur le traitement de ces données qui permet de savoir : les informations détenues, dans quel but, à qui, comment, etc. ;
droit de rectification qui permet de corriger des données personnelles détenues par le responsable du traitement ;
droit d’opposition à l’utilisation des données (à ne pas confondre avec le droit à la suppression des données) ;
droit à la suppression des données ;
droit à la portabilité des données qui permet aux personnes de transférer leurs données à un autre prestataire/contractant en l’état ;
droit à la limitation de traitement qui permet de suspendre le traitement du dossier lors du délai légal de réponse du responsable du traitement vis-à-vis d’une demande de suppression ou de rectification.

Quelles autorités assurent la protection des données personnelles en France ?

La mise en œuvre du traitement des données personnelles et sa conformité aux exigences du RGPD incombent au responsable du traitement.

Le responsable du traitement est celui qui détermine les finalités et le traitement de ces données. Il s’agit généralement du dirigeant de l’entreprise.

Toutefois, si un responsable de traitement fait appel à un sous-traitant pour un traitement de données, il est responsable au même titre que le responsable du traitement principal.

Exemple : si l’entreprise A gère ce type de données, elle est responsable du traitement de ces données. Si l’entreprise A délègue ces données à une entreprise B pour une finalité de traitement, les entreprises A et B sont responsables de la protection de ces données.

Exemple : si l’entreprise B gère des données déléguées par l’entreprise A et gère en plus ses propres données personnelles, elle sera responsable en tant que responsable du traitement et en tant que sous-traitant selon les données.

La mise en œuvre du traitement de ce type de données par le responsable du traitement peut faire l’objet d’un contrôle de la CNIL (Commission Nationale Informatique et Libertés).

La CNIL peut effectuer son contrôle sur réclamation ou signalement d’un particulier ou d’une entreprise, de sa propre initiative.

La CNIL dispose d’un arsenal de sanctions : rappel à l’ordre, injonction sous-astreinte, limitation temporaire ou définitive du traitement litigieux, suspension des flux de données, retrait d’une certification, amende administrative jusqu’à 20 millions ou 4% du chiffre d’affaires mondial.

À noter : si vous souhaitez obtenir plus d’informations concernant le RGPD en association, découvrez notre fiche pratique sur le sujet.

Qui est concerné par le RGPD : le guide pour comprendre

4 mn
Vous récoltez des informations sur vos clients telles que leurs adresses mail ou leurs noms ? Découvrez qui est concerné par le RGPD !
Lire la suite
RGPD et Association : le guide pour comprendre

5 mn
De multiples obligations relatives au respect du RGPD en association sont à respecter. Nous vous donnons tous les éléments nécessaires pour comprendre.
Lire la suite
Politique de confidentialité en 2024

4 mn
La politique de confidentialité d’un site web est devenue un document incontournable avec l’entrée en vigueur du RGPD. Modèle et exemple de politique de confidentialité.
Lire la suite
RGPD : zoom sur les mentions d'information

4 mn
Vous êtes responsable de traitement ? Découvrez les mentions d'information RGPD à fournir lorsque vous traitez des données à caractère personnel.
Lire la suite
Conformité au RGPD : quelles sont les nouvelles mentions légales ?

3 mn
Quelles sont les mentions légales obligatoires pour mettre un site internet en conformité au RGPD ? Quelles sont les mentions légales RGPD ?
Lire la suite
Conditions générales de vente : tout savoir pour être en conformité avec le RGPD

3 mn
Quelles sont les modifications à faire pour mettre vos conditions générales de ventes en conformité avec le RGPD ? On fait le point.
Lire la suite