28/10/16

Données à caractère personnel : de quoi s'agit-il ?

Suite à l'adoption récente de la réforme européenne de la protection des données, les entreprises traitant des données à caractère personnel devront se concentrer sur leurs politiques de confidentialité et leurs pratiques internes afin de s’assurer que celles-ci répondent aux nouveaux standards élevés de la réforme. Dans ce contexte, il est primordial, avant toute chose, de cerner la notion même de données à caractère personnel, au sens de la réglementation susvisée, laquelle doit être distinguée des simples informations, qui ne tombent pas sous le champ d’application de cette dernière. Vous trouverez ci-après quelques éléments vous permettant de faire cette distinction.

Définition large des données à caractère personnel

Selon le droit de l’Union européenne1 et le droit luxembourgeois2 , les « données à caractère personnel » recouvrent toute information de quelque nature qu’elle soit concernant une personne physique identifiée ou identifiable, indé- pendamment de son support :

- L’information peut être objective (par exemple, le groupe sanguin) comme subjective (opinions, évaluations, etc.) et peut concerner non seulement la vie privée des individus, mais aussi leur vie publique et professionnelle.

- Les données concernent une personne physique dès lors qu’elles se ré- fèrent à i) son identité, ii) ses caractéristiques, iii) son comportement, ou influencent son traitement et son évaluation. Les informations relatives aux objets qui permettent d’identifier une personne physique constituent également des données personnelles, telle que la plaque d’immatriculation d’une voiture utilisée pour établir un lien entre la voiture et son propriétaire, ou l’adresse IP permettant l’identification d’un ordinateur et, par conséquent, de son propriétaire.

- Une personne est identifiée si son identité est manifestement évidente (par exemple, une personne identifiée par son prénom et nom) et, identifiable si son identité peut être établie en utilisant des informations supplémentaires, telles que i) un numéro d’identification ii) des caractéristiques physiques, physiologiques, mentales, économiques, culturelles, sociales (par exemple, le sexe), ou iii) une combinaison de critères comme l’âge, le lieu de résidence, la fonction, etc. Les règles de protection des données ont pour but de protéger uniquement les personnes physiques, indépendamment de leur statut (employés, utilisateurs d’un site Internet, fournisseurs, etc.).

- Les données à caractère personnel peuvent être conservées sur tout type de support tel que le papier, la mé- moire d’un ordinateur, un DVD, une clef USB, etc. et présentées sous n’importe quel format (alphabétique, numérique, graphique, photographique, acoustique, etc.). La réglementation sur la protection des données ne s’applique toutefois pas aux traitements i) manuels non structurés ou ii) effectués par une personne physique au cours d'activités strictement personnelles ou domestiques.

Anonymisation c. Pseudonymisation

- Les données anonymisées sont des informations qui ne concernent pas une personne physique identifiée ou identifiable, ou des données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. La règlementation sur la protection des données ne s’applique pas à ce type d’informations, car elles ne contiennent aucun identifiant.

- Les données pseudonymisées sont des données à caractère personnel qui ne peuvent plus être attribuées à une personne physique sans avoir recours à des informations supplémentaires, qui sont conservées séparément. Ces données contiennent des identifiants chiffrés et entrent ainsi dans le champ d’application de la règlementation sur la protection des données.

Exemples de données à caractère personnel

Un grand nombre d'acteurs économiques, privés ou publics, peuvent se trouver confrontés au traitement de données à caractère personnel dans leurs activités quotidiennes, que ce soit dans leur relations avec leurs clients (par exemple, listes de clients), fournisseurs, ou encore avec leurs employés (courriers électroniques, bulletins de salaire, etc.), et ce, dans tous les secteurs d’activités.

- Le secteur financier gère des données à caractère personnel spécifiques, telles que les relevés d’identité bancaire, le détails des transactions, les instructions des clients (sous réserve que celles-ci soient enregistrées), les informations relatives à la solvabilité des emprunteurs ou à leurs demandes de prêt. Les institutions financières doivent accorder une attention particulière au respect de la réglementation sur la protection des données dans la gestion des procédures de lutte contre le blanchiment d'argent, qui pourraient révéler des informations sensibles (liens avec des organisations terroristes, condamnations pénales, etc.).

- Le commerce de détail, dont font partis les supermarchés, collecte des données à caractère personnel lors du profilage des consommateurs ou de la mise en œuvre de promotions ou jeux concours, et procède ainsi à un traitement de données à caractère personnel.

- Le secteur de la santé : les antécé- dents médicaux, les résultats des tests, les diagnostics, les informations relatives aux ordonnances, etc., constituent des données personnelles, dites « sensibles », sur les patients (voir ci-après).

- Dans le cadre des relations de travail, les employeurs doivent se conformer à la réglementation sur la protection des données. Cette obligation naît dès le processus d'embauche et, subsiste au cours de l'exécution du contrat (y compris lors de l’utilisation de la vidéosurveillance, de systèmes de géolocalisation ou des fichiers log). Elle s’étend aussi après la fin de la relation de travail.

- En général, l'utilisation des nouvelles technologies génère de grandes quantités de données à caractère personnel comme les adresses IP, les cookies, les e-mails, ou encore le contenu publié ou transmis via les réseaux sociaux. Les traitements de certain type de données, dites « sensibles », est soumis à des règles plus strictes. Sont ainsi visés les traitements de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou relatifs à la santé et à la vie sexuelle

1 Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 2 (a).

2 Loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, telle que modifiée, article 2 (e).

dotted_texture