What is personal data?

Nous avons mentionné les données au caractère personnel quand nous avons discuté sur les personnes concernées, mais maintenant il est temps de détailler la terminologie. Bref, les données au caractère personnel sont toutes les données qui révèlent votre identité, qui sont uniques pour toi. Quelques exemples incluent:

LE NOM COMPLET

ADRESSE DE DOMICILE

NOMBRE DE LA CARTE DE CREDIT

LE JOUR DE NAISSANCE

UNE PHOTO

ADRESSE ÉLECTRONIQUE

LES POSTINGS SUR LES RESEAUX SOCIAUX ET D'AUTRES

Même les métadonnées sans un identifiant évident sont regardées comme données personnelles en GDPR. Il est vrai que certaines de ces données-là ne conduiront directement vers une personne, par exemple le nom complet sil est très commun, mais elles conduiront vers lidentification dune personne si elles sont combinées avec dautres données – par exemple, nom, avec la date de naissance ou adresse de domicile. 

Autant les personnes concernées que les organisations qui traitent les données doivent être attentifs à la manière dont GDPR voit ces informations. Les personnes concernées ont divers droits concernant la manière dont leurs données personnelles peuvent être traitées. Au cas des organisations, la conformité avec les règles de traitement des données est essentielle pour éviter possibles amendes. 

DONNÉES AU CARACTÈRE PERSONNEL CLASSIQUES 

Cette catégorie inclut ”les suspects” usuels:

NOM

ADRESSE DE DOMICILE

NUMÉRO DE TÉLÉPHONE

DATE DE NAISSANCE ET/OU LIEU DE NAISSNCE

LA CARTE D'IDENTITÉ

LIEU DE TRAVAIL OU ÉCOLE

Prises séparément, certaines de ces données ne conduiront directement vers une personne physique. Si nous avons à faire avec un nom très commun, par exemple, on a besoin de données supplémentaires pour identifier la personne. La même chose est valable pour ladresse de domicile, si plusieurs personnes habitent la même maison ou au cas du lieu de naissance – il est très probable que plus dune personne soit née à la même date et le même endroit. Mais, si tu commences combiner deux ou plusieurs de ces données-là, tu peux identifier une personne de manière unique. Dautres données, telles que la carte didentité, le numéro de téléphone, le compte bancaire ou la carte de crédit sont uniques pour chaque personne et vont conduire à son identification. 

DONNÉES PERSONNELLES DIGITALES

Dans cette catégorie on inclut: 

LES COMPTES OU POSTING SUR LES RESEAUX SOCIAUX

ADRESSE ÉLECTRONIQUE

LES META-DONNÉES

ADRESSE IP (EN CERTAINS CAS)

l est facile à comprendre pourquoi les comptes sur les réseaux sociaux peuvent conduire à lidentification dune personne. Dans la plupart des cas, seulement pour créer un compte il faut introduire certaines données ”classiques” au caractère personnel telles que le nom ou la date de naissance. Si après on ajoute des photos de soi, lidentification sera facile.   

Un sujet très débattu est ladresse IP. GDPR dit que les adresses IP devraient être considérées comme données au caractère personnel parce quelles entrent dans la catégorie d‘ ”identifiants en-ligne”. Bien sûr, dans le cas de ladresse IP dynamique – qui change chaque fois quune personne se connecte à un réseau – on débat encore si elle peut conduire à lidentification dune personne. Pour le moment, le Règlement considère ce type dadresse IP données personnelles. La logique derrière cette décision est relativement simple. Le fournisseur de services Internet a un registre avec les adresses IP dynamiques temporaires et sait à qui on a alloué chacune adresse IP.  Le détenteur dun site web a un registre des pages accédées par une certaine adresse IP dynamique (mais il na pas dautres données qui conduisent à lidentification de la personne). Si les deux informations sont mises ensemble, le détenteur du site web pourrait identifier la personne derrière une certaine adresse IP. Pourtant, les chances que ce scenario devienne réalité sont faibles, parce que le fournisseur de services Internet doit accomplir certaines conditions légales avant de fournir les informations au détenteur dun site web. La conclusion reste que toutes les adresses IP doivent être considérées comme données personnelles pour être en conformité avec GDPR.

DONNÉES SENSIBLES

Une catégorie particulière de données sont les données sensibles qui incluent maintenant des données génétiques et biométriques, qui si elles sont traitées conduisent à lidentification certaine dune personne. Dautre part, les données qui sont liées aux infractions ou les condamnations sont traitées séparément, le droit pénal nentre pas sous lincidence de  GDPR. Un autre type de données qui nentrent pas sous lincidence de GDPR sont les données complétement anonymisées, parce quaucune personne ne peut être identifiée en partant delles.