Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles
Qu’est-ce qu’une donnée personnelle ?
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
Suivre le Mooc RGPD
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
Donnée personnelle, traitement de données, RGPD, de quoi s’agit-il ? Êtes-vous concerné ?
La notion de « données personnelles » est à comprendre de façon très large
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
L’identification d’une personne physique peut être réalisée :
Exemple : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Exemple : vous collectez sur vos clients de nombreuses informations, lorsque vous effectuez une livraison, éditez une facture ou, proposez une carte de fidélité. Toutes ces opérations sur ces données constituent votre traitement de données personnelles ayant pour objectif la gestion de votre clientèle.
Cette notion est également très large.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.
Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.
De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Comprendre vos obligations
Les bons réflexes de la protection des données
Votre adresse de messagerie est uniquement utilisée pour vous envoyer les lettres d’information de la CNIL. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits
Commission Nationale de l’Informatique et des Libertés