Aide-mémoire sur les données personnelles

C’est quoi, pour de vrai, un renseignement personnel ?

La loi 25 considère que définir ce qu’est un renseignement personnel, c’est un jeu de devinette ! Le RGPD ne donne qu’une dizaine d’exemples.

J’ai fait mieux que ça, et je te le partage ici.

On vient nous parler de « Données qui permettent une identification directe ou indirecte » : une belle définition qui peut confondre autant les juristes que les spécialistes en données. Pratique pour les interprétations devant les tribunaux, mais dans notre quotidien, ce n’est pas terrible pour prendre de bonnes décisions avec les données de notre clientèle.

Ajoute à ça la pseudonymisation et l’anonymisation, deux concepts autant difficile à définir au niveau juridique que technique, pour compliquer le tout. Il n’y a pas de doute que tu n’as aucune idée de quoi on parle ici !

C’est pour ça que j’ai pris des heures pour rechercher et publier cette liste de plus de 100 types de données que tu pourrais retrouver dans ton entreprise et qui peuvent constituer des renseignements personnels au sens de la loi 25 et du RGPD.

Identification directe et indirecte

Les renseignements personnels, parfois appelés données personnelles, sont des informations concernant une personne qui permettent de l’identifier directement ou indirectement. Elles nécessitent toujours le consentement de celle-ci avant d’être partagées.

L’identification directe correspond à ces caractéristiques uniques d’une personne, alors que l’identification indirecte est basée sur une incidence statistique.

Par exemple, si dans ton entreprise, il n’y a qu’une seule femme au département d’informatique, si on parle de la “femme aux TI”, on sait de qui on parle. Par contre, s’il y en a deux, on ne sait plus de qui on parle, il faut un deuxième renseignement personnel pour l’identifier indirectement.

L’identification indirecte se fait par accumulation de renseignements personnels. C’est pourquoi il faut protéger tous les renseignements personnels, même s’ils sont insuffisants pour identifier quelqu’un pris séparément.

Attention au contexte

À faire aussi attention, la notion de confidentialité est contextuelle et dépend aussi de la portée du consentement de la personne qui a généré le renseignement. C’est pourquoi on ne peut pas définir ce qu’est un renseignement confidentiel de manière générale. Un renseignement personnel peut être confidentiel ou non, selon la situation.

Les formats de renseignements personnels

Un renseignement personnel peut aussi se trouver sous différents formats : bases de données, formulaires, conversations, enregistrements audio ou vidéo, imprimés, photos…

La liste

Je te présente une liste non exhaustive (et sans aucune valeur légale) de renseignements personnels organisés par catégories. Je veux t’aider à les identifier dans tes bases de données et préparer un plan d’action pour bien les protéger, en conformité avec les lois en vigueur (par exemple, la loi 25 au Québec et le RGPD en Union européenne et au Royaume-Uni).

Croyances et opinions

Appartenance

Données conversationnelles

Finances personnelles

Statut civique et judiciaire

Identifiants uniques et électroniques

Information sur un domicile

Localisation

Données de santé

Données biométriques et génétiques

Données comportementales

Origine ethnique et culturelle

État civil

Identité sexuelle et de genre, orientation sexuelle et intimité

Identité informelle

Enfants

Tu aimerais qu’on fasse l’inventaire des données personnelles dans ton entreprise ? Réserve une Consultation stratégique - Plan de sauvegarde

Étiquettes