Qu’est-ce qu’une donnée personnelle ?
La CNIL (Commission Nationale de l’Informatique et des Libertés) définit comme donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s’agir d’identification directe, à savoir simplement les noms et prénoms, ou d’identification indirecte (numéro client, numéro de téléphone, image…).
Il y a traitement des données personnelles « dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations ».
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) renforce la protection des données personnelles dans l'ensemble des pays membres de l'Union européenne (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016). Les textes officiels sont disponibles sur le site de la CNIL. Le data protection officer, nouveau métier issu du RGPD, est en charge de contrôler sa bonne application.
À noter : les fichiers papiers sont aussi concernés par le RGPD. Il a été mis en place pour faire face à l’explosion du numérique et à ce que cela implique en matière de droit des personnes, mais n’oublie pas les données stockées de manière physique.
À lire aussi >> e-réputation : les 6 plaintes les plus courantes reçues par la CNIL
Qui est concerné par le RGPD ?
Tous les organismes, notamment les entreprises et les administrations, situés sur le territoire de l’Union européenne qui collectent et traitent des données personnelles auprès de personnes situées dans un État membre de l'UE sont concernés par le RGPD.
Bon à savoir : la CNIL a mis à disposition des petites et moyennes entreprises un Guide pratique de sensibilisation au RGPD. Il rappelle en quoi consiste ce règlement, revient sur la notion de donnée personnelle et surtout donne des conseils sur les actions à mettre en place pour être en conformité.
À lire aussi >> Le RGPD et la protection des données ont-ils finalement créé des emplois ?
Que dit le RGPD ?
Il existe 4 grands principes à respecter, prévus dans le règlement :
- Le consentement : avant toute récolte et tout traitement des données, la personne concernée doit donner un consentement écrit, clair et explicite.
- Le droit à l’effacement : tout individu peut demander l’effacement de données le concernant (photos, vidéos, renseignements personnels…) en cas d’atteinte à la vie privée.
- La finalité : les données collectées doivent l’être dans un but précis (par exemple adresse d’un client pour une livraison ou coordonnées d’un candidat pour le contacter). Pas question de rassembler en masse des informations dans l’espoir qu’elles serviront un jour.
- La confidentialité et la sécurité : l’organisme qui collecte des données doit pouvoir garantir qu’elles sont protégées, notamment contre la perte et le traitement non autorisé.
Bon à savoir : depuis le 25 mai 2018, la CNIL est l'autorité nationale de contrôle de l'application du règlement européen sur la protection des données personnelles. Vous êtes en droit de procéder à une demande d'information, d'accès, d'opposition, de rectification à vos données personnelles au responsable d'un fichier ou d'un traitement en justifiant votre identité. En l'absence de réponse ou si celle-ci ne vous satisfait pas, vous pourrez saisir la CNIL afin qu'elle intervienne. En cas de non-respect, l’amende peut s’élever à 20 millions d’euros ou à 4 % du chiffre d’affaires annuel de l’exercice précédent. C’est le montant le plus élevé retenu.
À lire aussi >> Droit à la déconnexion : comment les entreprises l’appliquent-elles ?
Diplômée en presse écrite, Séverine Dégallaix travaille depuis plus de dix ans sur des sujets concernant la recherche d’emploi et la gestion de carrière. A travers des interviews d’employeurs et de spécialistes du marché du travail ainsi que des années de recherches, elle a développé une expertise qui lui permet d’apporter des réponses actuelles aux problématiques rencontrées par les salariés et candidats de tous secteurs.