Qu’est-ce qu’une donnée personnelle ?
Selon le Règlement Général sur la Protection des Données (RGPD), la définition d’une donnée personnelle est très large et va au-delà d’une donnée pouvant directement identifier une personne (p. ex. : nom, prénom, adresse, e-mail, etc.).
Toute information permettant d’identifier une personne indirectement ou directement ou par recoupement avec d’autres données disponibles est considérée comme une donnée personnelle et entre dans le champ d’application du RGPD.
Par exemple, une empreinte, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc., peu importe que ces informations soient confidentielles ou publiques.
Le RGPD s’applique aux données personnelles dont le traitement est automatisé ou non, et contenues ou destinées à figurer dans un fichier (sous forme papier ou informatique).
Qu’est-ce qu’un traitement de données personnelles ?
Le terme “traitement de données personnelles” inclut toutes actions relatives à ces données, notamment :
- la collecte des données ;
- l’accès aux données par une personne ou une machine ;
- le stockage des données (même sous forme de dossiers “papier”) ;
- la reproduction ou la copie d’un document contenant ces données (p.ex. : photocopies, etc.) ;
- le transfert des données à un tiers ;
- l’archivage des données ;
- la modification des données ;
- l’effacement des données.
Un traitement de données personnelles doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.