Définitions
On cause, on cause, mais si on veut parvenir à se comprendre (et à comprendre les normes), il faut d'abord que l'on se mette d'accord sur les termes.
Vous trouverez, ci-dessous, certaines définitions de concepts dont il est question dans ce dossier. Ce sont des mots courants que nous lisons tous chaque jour en navigant sur internet mais qui recouvrent, en droit, quelques aspects qui ne sont pas forcément évidents.
Qu'est-ce qu'une donnée à caractère personnel ?
Il peut s'agir, dans certains cas, d'une seule donnée (par exemple un nom, une photo, un numéro de téléphone, un numéro de sécu, etc.) et, dans d'autres cas, d'un résultat du croisement de plusieurs données (un homme de 40 ans client de telle boulangerie et qui travaille à tel endroit...). Dans ce dernier exemple, la personne n'est pas identifiée directement, mais l'ensemble des éléments permettent de savoir exactement de qui il s'agit. Ce n'est pas parce que c'est moins direct que ça ne permet pas aux organismes qui croisent ces données de faire exactement la même chose. Demandez aux stalkers...
Il faut cependant noter que seules les personnes physiques sont concernées et que les personnes morales comme les administrations ou les entreprises (même les micro-entreprises composées d'une seule personne) ne peuvent faire valoir une atteinte à leurs données personnelles en ce qui concerne leurs coordonnées (adresse, standard téléphonique, adresse courriel de contact publique).
Qu'est-ce qu'une donnée sensible ?
Les données dites sensibles sont des données à caractère personnel relatives à la santé des personnes, leurs opinions politiques, leurs opinions religieuses, leur appartenance syndicale, leur vie sexuelle, leur origine raciale ou ethnique, leurs données génétiques ou biométriques, leurs antécédents judiciaires ainsi que, globalement, les données personnelles des mineurs.
Il va de soi qu'un profilage basé sur ces données doit être très strictement encadré car les risques qui pèsent sur les personnes concernées peuvent avoir des conséquences gravissimes.
Par défaut, tout traitement de ces données est interdit, sauf dans des cas très particuliers et, généralement, après avoir recueilli l'assentiment préalable de la CNIL.
Qu'est-ce qu'un traitement ?
Un traitement de données personnelles désigne toute opération effectuée sur ces données comme, par exemple, leur organisation (tri, classement), leur conservation, leur modification, leur extraction, leur consultation, leur communication, leur mise à disposition ou leur diffusion. Ce qui semble moins évident et qui constitue généralement le premier des traitements est la collecte ou l'enregistrement de ces données. Ainsi, même si l'organisme qui a collecté vos données n'en fait strictement rien et les supprime dans la minute qui suit leur enregistrement, il s'agit tout de même d'un traitement qui doit donc être en conformité avec la loi.
Qu'est-ce qu'une base légale ?
Pour que la mise en œuvre d'un traitement soit autorisée, ce dernier doit pouvoir répondre à l'un des six fondements juridiques reconnus par le RGPD. Ils ne connaissent pas de hiérarchie entre eux et ne sont pas toujours faciles à déterminer.
Ces fondements sont le consentement (d'où les nombreux formulaires vous incitant à consentir à tout et n'importe quoi), le contrat (qui implique lui-aussi une forme de consentement, personne ne peut contraindre quelqu'un à signer un contrat), l'obligation légale (un FAI est, par exemple, obligé par la loi à conserver vos données de connexion pendant une durée déterminée), la sauvegarde des intérêts vitaux de la personne concernée ou d'un tiers, la mission d'intérêt public (fondement réservé à l'administration et organismes assimilés) et, très courant sur internet, l'intérêt légitime. Pour ce dernier fondement, l'acteur du traitement doit opérer une pondération entre son intérêt propre et les intérêts et droits fondamentaux des personnes concernées. Il s'agit de la base légale la plus large (on pourrait y coller n'importe quoi) et donc celle qui nécessite le plus de minutie dans sa mise en œuvre.
Qu'est-ce qu'un cookie ?
A priori, tout le monde sait qu'il s'agit de la version numérisée d'un biscuit rond et plat provenant du côté obscur et comprenant des pépites de cho... *esquive le regard en biais du rédac' chef*. Ahem.
Un cookie informatique, disais-je, est un fichier déposé sur le terminal d'un utilisateur et relié à un domaine internet qui sera consulté par un site web chaque fois que l'utilisateur de ce terminal ira le visiter. Qu'ils soient internes au site visité ou qu'il soient externes (c'est-à-dire déposés par un autre domaine que celui visité directement par l'utilisateur), les cookies peuvent être divisés en deux catégories : ceux qui ont le pistolet chargé sont strictement nécessaires à des fonctionnalités demandées par l'utilisateur (par exemple pour vous permettre de vous connecter automatiquement à votre compte, basculer automatiquement sur le thème sombre - le nôtre arrive très bientôt - etc.) ou ceux qui creusent sont facultatifs, par exemple pour des mesures d'audience ou de la publicité ciblée. C'est à cause de ces derniers, qui nécessitent un consentement exprès de l'utilisateur, que nous sommes harcelés par des encarts ou popups relatifs aux cookies.
