Données à caractère personnel
Données à caractère personnel
Les données à caractère personnel (ou données personnelles) constituent l’ensemble des informations permettant d’identifier, directement ou indirectement, une personne physique (personne concernée). Leur protection fait l’objet d’un cadre légal rigoureux, notamment dans l’Union européenne et en France, qui impacte l’administration publique, le secteur privé, et de nombreux métiers de la fonction publique.
Définition
Selon le RGPD (Règlement (UE) 2016/679), une donnée à caractère personnel est « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s’agir d’éléments comme le nom, le prénom, la date de naissance, les coordonnées, une adresse IP, un identifiant, ou encore des données biométriques et des données de santé.
Exemples de données à caractère personnel
{{| ! Type de donnée ! Exemple |- | État civil | Nom, prénom, date et lieu de naissance |- | Coordonnées | Adresse postale, téléphone, e-mail |- | Informations administratives | Numéro de sécurité sociale, numéro de carte d'identité ou de passeport |- | Données en ligne | Adresse IP, identifiant de connexion, historique de navigation |- | Données sensibles | Origine raciale ou ethnique, opinions politiques, convictions religieuses |- | Données biométriques | Empreinte digitale, image du visage, voix |- | Données de santé | Dossier médical, informations sur un handicap |}
Cadre juridique en France et en Europe
Législation européenne
Au niveau de l’Union européenne, la principale référence est le RGPD, entré en application le 25 mai 2018. Ce texte encadre la collecte, le traitement, la conservation et la protection des données à caractère personnel. Il impose des obligations strictes aux responsables de traitement et prévoit des droits pour les personnes concernées.
Législation française
En France, la protection des données à caractère personnel repose sur la Loi Informatique et Libertés du 6 janvier 1978, régulièrement modifiée pour s’aligner au RGPD, et sur l'action de la CNIL. La CNIL est l’autorité administrative indépendante chargée de veiller au respect des droits des citoyens en la matière.
Encadrement dans la fonction publique
Les agents de la fonction publique sont soumis au respect de ce cadre légal lors du traitement de toute donnée personnelle, notamment dans les domaines de la gestion des ressources humaines, du recrutement, de la gestion des dossiers agents et usagers.
Les acteurs clés du traitement des données
- Responsable de traitement : personne morale ou physique qui détermine les finalités et moyens du traitement.
- Sous-traitant : traite des données pour le compte du responsable de traitement.
- DPO : chargé de veiller au respect du règlement et de conseiller l’organisme.
- Personne concernée : dont les données sont collectées ou traitées.
Droits des personnes concernées
Les personnes dont les données sont traitées bénéficient de droits garantis au titre du RGPD et de la loi française. On distingue notamment :
- Accès à leurs données
- Rectification des données
- Effacement (« droit à l’oubli »)
- Opposition
- Portabilité
- Droit à la limitation du traitement
En cas de manquement, elles peuvent exercer un recours auprès de la CNIL.
Obligations des organismes publics
Les administrations publiques traitent de nombreuses données à caractère personnel dans le cadre de leurs missions. Elles ont l’obligation de :
- Désigner un délégué à la protection des données (DPO) dans certains cas
- Réaliser une analyse d’impact
- Tenir un registre des activités de traitement
- Sécuriser les données contre les fuites et accès non autorisés
- Former le personnel à la protection des données
Données sensibles et traitements particuliers
Certaines données, dites « sensibles », bénéficient d’une protection renforcée. Selon le RGPD, il s’agit notamment :
- De l’origine raciale ou ethnique
- Des opinions politiques, religieuses, philosophiques
- De l’appartenance syndicale
- Des données génétiques, biométriques et relatives à la santé
- De l’orientation sexuelle
Le traitement de ces données est en principe interdit sauf exceptions encadrées (consentement explicite, obligation légale, protection de la santé...).
Données personnelles et numérique
Le développement de l’administration électronique (e-administration) et du numérique dans la fonction publique accroît le volume des données traitées et impose une vigilance renforcée, à travers :
- Des systèmes d’identification électronique
- La sécurisation des plateformes
- Le chiffrement des échanges
- La gestion des accès aux applications
Sanctions et responsabilités
Le non-respect des obligations liées aux données à caractère personnel peut entraîner des sanctions pécuniaires par la CNIL ou, au niveau européen, par l’European Data Protection Board. Les agents publics et entités concernées peuvent voir leur responsabilité engagée en cas de négligence ou de failles de sécurité.
Les métiers liés à la protection des données dans la fonction publique
{{| ! Métier / Fonction ! Rôle principal |- | DPO | Supervision de la conformité et conseil |- | Juriste en protection des données | Conseil juridique et veille réglementaire |- | Informaticien sécurité | Protection technique des systèmes d’information |- | Archiviste | Gestion des données archivées et respect des durées de conservation |}
Ressources et accompagnement
La CNIL propose de nombreux guides, modèles et formations à destination des agents publics et des employeurs, accompagnant la fonction publique d’État, la fonction publique territoriale, et la fonction publique hospitalière dans la conformité à la réglementation.
Voir aussi
Références
- CNIL, « Guide du RGPD »
- Règlement (UE) 2016/679
- Loi Informatique et Libertés modifiée du 6 janvier 1978