Données personnelles

Les données personnelles désignent toute information se rapportant à une personne physique identifiée ou identifiable. L’identification peut être directe (nom, numéro d’identification) ou indirecte, par recoupement d’informations (adresse IP, cookie, identifiant de terminal, données de localisation). Cette définition large est celle retenue par le Règlement général sur la protection des données (RGPD), applicable dans l’ensemble de l’Union européenne depuis 2018.

Catégories de données

Le droit distingue les données ordinaires des données sensibles, soumises à un régime de protection renforcé. Sont qualifiées de sensibles les données révélant :

• l’origine raciale ou ethnique,
• les opinions politiques ou convictions religieuses,
• l’appartenance syndicale,
• l’état de santé ou la vie sexuelle,
• les données génétiques et biométriques lorsqu’elles servent à identifier une personne.

Le traitement de ces catégories est en principe interdit, sauf exceptions prévues par le reglement-europeen lui-même ou les législations nationales.

Principes fondamentaux du RGPD

Tout traitement de données personnelles doit reposer sur une base légale (consentement, exécution d’un contrat, obligation légale, intérêt légitime, etc.) et respecter plusieurs principes : finalité déterminée et légitime, minimisation de la collecte, exactitude des données, limitation de la conservation et sécurité appropriée.

Le responsable du traitement doit être en mesure de démontrer sa conformité (principe d’accountability), ce qui suppose une documentation interne (registre des traitements, analyses d’impact).

Le rôle de la CNIL

En France, la cnil est l’autorité de contrôle nationale. Elle peut :

• émettre des avis sur les textes législatifs et réglementaires relatifs aux données,
• mener des contrôles auprès des organismes publics et privés,
• prononcer des sanctions allant jusqu’à des amendes significatives en cas de manquement,
• publier des recommandations et référentiels pratiques à destination des acteurs.

Pourquoi c’est utile en affaires publiques

La réglementation sur les données personnelles s’impose à tous les acteurs qui collectent ou traitent des informations sur des individus : administrations, entreprises, associations, acteurs du numérique. Pour les professionnels des affaires réglementaires, suivre l’activité de la CNIL (délibérations, sanctions, consultations publiques) et les évolutions du cadre européen (révisions sectorielles, actes délégués) est indispensable pour anticiper les obligations de mise en conformité et les risques contentieux. La souverainete-numerique est étroitement liée à ces enjeux de localisation et de contrôle des données.