Donnée personnelle
Sommaire
On dit qu'une donnée personnelle est “toute information qui se rapporte à une personne susceptible d’être identifiable ou identifiée”. Autrement dit, une donnée à caractère personnel est une base d'informations collectées qui permet de remonter à une personne physique précise. La récolte de données à caractère personnel doit strictement servir à une finalité déterminée.
Que signifie la notion de “données personnelles” ?
L’article 4 du RGPD définit une donnée personnelle comme une information qui permet d'identifier une personne physique aussi bien directement qu’indirectement. Il peut donc s'agir d'un nom, d'un prénom, d'un numéro client… ou d'autres renseignements comme un numéro de téléphone, une voix, une image...
Jusqu'en 2018, une donnée était considéré comme personnelle quand il s’agissait :
- d’un email
- d’une adresse de lieu de travail
- d’un poste de travail
Le nouveau RGPD, mis à jour en mai 2018, a élargi les données concernées. Maintenant, on retrouve donc aussi : les cookies, les numéros identifiants, les données de géolocalisation, les éléments propres à une identité physique...
Le traitement de données personnelles
Il est possible d’identifier une personne physique partir d’une seule donnée (ADN, numéro de carte d'identité ou de sécurité sociale...) ou bien par le biais d’un croisement de plusieurs données (adresse, date de naissance, numéro d’abonné...). On parle de traitement de données personnelles dès lors qu’on met en place un ensemble d’opérations visant à examiner méthodiquement ces informations à caractère personnel. De manière automatisée ou manuelle, on utilisera un procédé de recherche, de collecte, d'enregistrement, d'organisation, d’extraction, de conservation...
Le traitement de données a pour objectif de collecter des informations qui seront utiles dans le futur. Cela peut par exemple servir à :
- Gérer et consulter une base de données de contacts,
- Envoyer des campagnes promotionnelles de “mailing”,
- Affichager la photo d’une personne sur un site web,
- Conserver des adresses IP ,
- Enregistrer des articles favoris pour un utilisateur, etc.
Sachez que malgré l'usage accru du numérique, le traitement de données n’est pas nécessairement informatisé : les fichiers papiers sont encore concernés et doivent également être protégés dans les mêmes conditions.
La protection des données personnelles, encadrée par le RGPD
Le RGPD est le Règlement général sur la protection des données. Il responsabilise les acteurs dans le traitement de n'importe quelle donnée personnelle sur le territoire de l’Union européenne. La mise à jour de 2018 harmonise les règles en offrant un cadre juridique aux professionnels et en se fondant sur la confiance des utilisateurs pour toute activité numérique. En effet, le contexte juridique s’est adapté pour suivre les évolutions technologiques avec le développement du commerce en ligne et les publications sur les réseaux sociaux.
Le RGPD sert de référence pour tous les pays dans l’Union Européenne car il est applicable dans tous les États membres et identifie les procédures obligatoires. Il touche les entreprises traitant des données personnelles qui introduisent la notion de consentement d’utilisation des données fournies.
Le RGPD offre d'abord aux consommateurs un droit d’accès. Cela signifie que tout utilisateur peut demander un accès à ses données personnelles et demander à savoir quel en sera l’usage. Il leur donne aussi le droit à l’oubli. Ainsi, si un client exige un effacement de ses données et retire son consentement pour quelconque usage futur, l'organisme qui possède ses données doit les éliminer. Enfin, il garantit aux consommateurs et aux utilisateurs le droit à la portabilité des informations. Cela veut dire que tout utilisateur a le droit de récupérer ses données afin de les réutiliser ou de les transférer à un autre fournisseur de service.
Le RGPD et son impact marketing
Dans une “base marketing”, de nombreuses informations sont contenues : l’âge, la localisation, les centres d’intérêts des consommateurs, leurs comportements d’achats...
Grâce à ces donnés aqcuises par le consentement de l’utilisateur, il est possible de générer un impact considérable sur le comportement d'achat du client. Pour obtenir ce consentement, on peut mettre en place des actions dites "positives". Il en existe trois :
- Opt-in : c'est le fait d'obtenir le consentement de l'utilisateur en le faisant cocher une case, par exemple, pour recevoir une newsletter
- Opt-in passif : c'est le fait d'obtenir le consentement de manière indirecte en pré-cochant la case
- Opt-out : cette démarche consiste à inscrire l’utilisateur à une liste de services en lui laissant l’option de se désinscrire
En B2B, mettre en place un opt-in permet d’assurer la réputation de l’entreprise. En B2C, il est interdit d’utiliser des adresses emails autrement que par opt-in, (donc ni par opt-out, ni par opt-in passif).
Autres définitions de la catégorie Protection des données
- Analyse d'impact à la protection des données
- Anonymisation
- Certification données personnelles
- Cloud Act
- Code de conduite
- Comité européen de la protection des données
- Commission nationale de l’informatique et des libertés
- Consentement
- Données sensibles
- Délégué à la protection des données
- Entreprise non diffusible
- G29
- Hadopi
- Libre circulation des données à caractère personnel
- Portabilité des données
- Pseudonymisation
- Responsable de traitement des données
- Règlement général sur la protection des données