Pour éviter un processus de mise en conformité, les entreprises qui traitent des données personnelles concentrent souvent leurs efforts sur les documents voués à la destruction. Mais tous les documents ou données personnelles ne sont pas obsolètes, et n’ont pas pour vocation d’être détruits.
Reste que totalement se priver de DCP (données à caractère personnel) est la meilleure façon d’éviter une sanction de la CNIL ! Après tout, la loi ne l’encourage-t-elle pas ? Mais si cette stratégie est souhaitable, dans la pratique cela n’est pas toujours possible.
En effet, les données personnelles constituent une part majeure des richesses des entreprises et administrations. Par exemple, on les imagine mal constituer un fichier client sans disposer d’un nom, d’un prénom, d’une adresse postale, d’un email et/ou d’un numéro de téléphone.
Une donnée personnelle, qu’est-ce que c’est au sens du RGPD ?
Une donnée personnelle est une donnée qui permet d’identifier directement ou indirectement une personne physique. Aussi distingue-t-on deux types de données personnelles : celles qui sont « directement » personnelles, et celles qui le sont « indirectement ».
Parmi les données « directement » personnelles, on trouve le nom de famille et le prénom d’une personne, mais il y a aussi son image (une photo ou une vidéo qui permet de l’identifier directement), ses données biométriques et toute autre donnée d’identification.
À l’inverse, les données « indirectement » personnelles permettent d’identifier la personne par le biais d’une référence, d’un numéro (numéro client, numéro de sécurité sociale, numéro d’employé, etc.).
Tandis que d’un point de vue juridique le carnet d’adresses personnel contient des données personnelles mais ne s’applique pas aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles », le carnet d’adresses d’une entreprise doit lui faire l’objet d’un processus de mise en conformité. Mais alors, comment s’y retrouver ?
Faire appel à notre service de destruction de données
Le traitement des données personnelles engage-t-il votre responsabilité ?
L’enjeu majeur est de définir si la loi s’applique ou non à votre cas précis (tout en sachant que l’on part du principe que vous traitez des données personnelles, auquel cas la loi Informatique et Libertés s’applique automatiquement). Parmi les traitements que l’on rencontre fréquemment dans les entreprises et qui portent sur des données personnelles, on trouve les fameux fichiers clients/usagers, les fichiers fournisseurs, les annuaires internes, les contrôles d’accès, le fichier des clients douteux, les sites internet, etc.
Mais selon les moyens dont disposent les administrations et entreprises afin de procéder à l’identification des personnes physiques, des nuances existent et nécessitent qu’une analyse juridique soit réalisée afin de déterminer si oui ou non le traitement relève d’un traitement de données personnelles.
Rappelons que la collecte de données personnelles, leur enregistrement, conservation, communication, transfert et interconnexion constituent tous des exemples de traitement de données personnelles faisant l’objet de règles strictes fixées par le RGPD.
Lire aussi :