Définition des données personnelles
La donnée personnelle se définit comme toute information qui se rapporte à une personne physique, identifiée ou identifiable, soit directement, par le biais de données telles que son nom et prénom, soit indirectement, par la compilation de plusieurs informations telles que son numéro de téléphone, son numéro de sécurité sociale, ou encore son adresse postale. Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Caractérisation des atteintes aux données personnelles
Caractérisent des atteintes aux données personnelles, au sens de la loi Informatique et libertés et du règlement général de protection des données (RGP), le non-respect des formalités préalables, le manquement à la sécurité informatique, la collecte des données par un moyen frauduleux, déloyal ou illicite, le non-respect des droits des personnes concernées, la mise ou conservation en mémoire informatisée des données sensibles sans le consentement exprès de l’intéressé, le détournement de la finalité des données personnelles, la divulgation de données à caractère personnel, ou le transfert de données hors l’Union européenne.
Formalités déclaratives obligatoires auprès de la CNIL
Avant la mise en œuvre d’un traitement de données personnelles, des formalités déclaratives doivent être effectuées auprès de la CNIL. En fonction du traitement, il s’agira d’une déclaration ou d’une demande d’autorisation. Le fait, y compris par négligence, de procéder à un traitement de données à caractère personnel sans respecter ces formalités est réprimé pénalement par l’article 226-16 du Code pénal, sans que soit exigé le franchissement d’un seuil de données ou de fichiers.
