Focus : les données à caractère personnel (DCP )

Définition et exemples de données à caractère personnel

Qu’est-ce qu’une donnée à caractère personnel ?

 

Selon l’article 4 §1 du RGPD (définition reprise par la Loi Informatique et Libertés à l’article 2 de la loi n°78-17 du 6 janvier 1978), on appelle « DCP » toute information sur une personne physique, identifiée ou identifiable, directement ou indirectement, en référence à un numéro d’identification ou à tout autre élément propre à cette personne.


Exemples de DCP : nom, numéro de téléphone, date de naissance, adresse IP, etc.

A l’inverse, une donnée est considérée comme anonyme selon l'avis du G29 n°04/2007 du 20/06/2014 relatif au concept de données à caractère personnel, lorsque toute information concernant une personne physique ne permet plus son identification ni par le responsable du traitement des données ni par une autre personne compte tenu de l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement soit par une autre personne pour identifier ladite personne. Les données anonymisées sont donc des données anonymes qui concernaient auparavant une personne identifiable mais ne permettent plus cette identification. 

 

De son côté, l'avis du G29 n°05/2014 du 10 avril 2014 sur les techniques d'anonymisation, vient préciser qu’il y a anonymat informatique lorsqu'il doit être difficile en termes de puissance de calcul d'identifier directement ou indirectement une des personnes concernées même pour le responsable de traitement avec la collaboration de quelque autre partie et anonymat parfait lorsqu'il est impossible directement ou indirectement d'identifier une des personnes concernées même pour le responsable d traitement avec la collaboration de quelque autre partie.

Enfin, il existe également des données sensibles, nécessitant un traitement particulier du fait de leur nature. Définies à l’article 9 du RGPD, et reprises à l’article 8 de la loi n°78-17 du 6 janvier 1978, ce sont des données sur la personne révélant son origine raciale ou ethnique, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale, mais aussi les données génétiques ou biométriques permettant d’identifier la personne de manière unique, les données sur sa santé, sa vie sexuelle ou son orientation sexuelle.

Par principe, le traitement de ces données sensibles est interdit.

 

Cependant, l’article 9§2 du RGPD prévoit de nombreuses exceptions permettant ainsi de traiter ces données (liste non exhaustive) :

  • La personne concernée a donné son consentement explicite et non équivoque au traitement, pour une ou plusieurs finalités ;
  • Le traitement est nécessaire pour l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (si la personne concernée ne peut pas donner son consentement) ;
  • Le traitement porte sur des données manifestement rendues publiques par la personne concernée ;
  • Le traitement est nécessaire pour des motifs d’intérêt public important.

Le numéro d’inscription au répertoire nationale d’identification (NIR) fait l’objet de règles particulières (numéro de sécurité sociale).  Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre. (cf. en ce sens article 22 de la loi n°78-17 du 6 janvier 1978 ).

 

 

 

Existe-t-il une liste de toutes les DCP ?

 

La difficulté première pour les responsables de traitement est de savoir si la donnée qu’il envisage de manipuler est une donnée à caractère personnel.  

 

Vous trouverez ci-dessous une liste non exhaustive de donnée à caractère personnel :

 

 

Catégorie de données

Détails

Données d’identification

Il s’agit de toutes les données d’identification personnelle (nom, adresse, n° de téléphone, etc.), les données d’identification émises par les services publics (n° d’identification national, n° de carte d’identité, etc.), les données d’identification électronique et biométrique (empreinte digitale, reconnaissance vocale, etc.).

Données physiques et psychiques

Toutes données sur la description physique d’une personne et sur les opinions concernant sa personnalité ou son caractère.

Données bancaires et financières, autres que celles assujetties aux traitements concernant le crédit et la solvabilité d’une personne

Informations sur les données d’identification bancaire et financière (numéro de compte bancaire, de carte de crédit ou débit, de codes secrets), revenu, dépenses, emprunts, hypothèques et crédit, allocation, aides, dons, détails sur les assurances, la pension, transactions financières,…

Données sensibles de l’article 9 du RGPD et données relatives aux condamnations et infractions de l’article 10 du RGPD

Toutes les données relatives à la santé, à l’origine raciale ou ethnique, à la vie ou l’orientation sexuelle, aux opinions politiques, à l’affiliation syndicale et aux convictions philosophiques ou religieuses d’une personne.

Les informations sur les condamnations et infractions sont les données judiciaires détenues sur une personne.

Données génétiques 

Données sur les caractéristiques génétiques héréditaires ou acquises d’une personne physique. Elles donnent des informations uniques et précises sur la physiologie ou l’état de santé de la personne et résultent notamment d’une analyse d’un échantillon biologique.

Données biométriques 

Données résultant d’un traitement technique spécifique sur les caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique (image faciale, etc.).

 

Données concernant la santé 

Données sur la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, révélant des informations sur l’état de la personne. Toute information concernant une maladie, un handicap, un risque de maladie, des antécédents médicaux, un traitement clinique…

Vie de la personne

Informations sur les habitudes de vie et de consommation de la personne (autres que la vie sexuelle) et sur ses activités de loisirs et intérêts, sur ses habitudes, ses moyens de déplacement

Famille et logement

Informations concernant les caractéristiques du logement de la personne, l’affiliation et la situation de membres d’organisations diverses (clubs, associations, etc.), ou encore sur la composition du ménage.

Formation et données professionnelles

Informations sur toute l’éducation, la formation et la qualification de la personne concernée, ainsi que sur la profession et l’emploi de la personne (salaire, évaluation, sécurité).

Biens et services fournis / reçus

Tous les biens et services prêtés, loués ou fournis, par ou pour la personne concernée.

Enregistrements

Tous les enregistrement d’images et de sons sur une personne.

Les caractéristiques personnelles autres que celles visées par l’article 9 du RGPD

Il s’agit de détails personnels (âge, sexe, date de naissance, etc.) et des informations sur le statut d’immigration.

 

L’adresse est une donnée à caractère personnel même si l’identité de la personne n’est pas mentionnée car elle permet de géolocaliser un individu.