Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des ...
Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins ...
Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.
Une personne physique peut être identifiée : directement (exemple : nom et prénom) ; indirectement (exemple : par un numéro de téléphone ou de plaque d'immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l'image).
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.
Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
Pour la nouvelle loi, est considérée comme donnée personnelle : Tout ce qui permet d'identifier directement une information : prénom, nom, numéro de téléphone etc.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données à caractère personnel en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.
Le numéro de sécurité sociale (NIR)
Dans la mesure où il est unique à chaque personne, particulièrement identifiant et signifiant, son utilisation présente un risque de fichage de la population et de rapprochements de fichiers sans cesse plus importants. Aussi, l'usage du NIR est strictement encadré par la loi.
Un numéro de sécurité sociale est une donnée personnelle, de toute évidence. Un âge (« 13 ans », ou « 54 ans ») est aussi une donnée personnelle : quoique cette information semble a priori anodine et sans enjeu, elle permet d'identifier quelqu'un si on la croise avec une adresse.
Le Règlement général sur la protection des données, mieux connu sous le nom de RGPD, entre en application. Il constitue le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel.
Pour les données pouvant permettre la constatation, la défense ou l'exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du prospect (cela en application du délai de prescription de droit commun).
Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement : doit documenter, en interne sous forme d'un registre, la violation qui vient de se produire ; doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.
L'obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à l'article 33 du règlement général sur la protection des données (RGPD). Elle concerne tous les responsables de traitement de données à caractère personnel.
Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
Le RGPD : qui est concerné ? Le RGPD est susceptible de s'appliquer à tout organisme traitant des données personnelles dans le cadre de son activité ou pour le compte d'un tiers, et ce quels que soient son pays d'implantation, sa taille et son activité.
La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations. Notamment : Recueillir l'accord préalable des clients. Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées.
Une donnée à caractère personnel ou DCP (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont ...
les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)