[Guide 3/6] Définition des données non sensibles

Les données non sensibles des entreprises

Définition des données non sensibles

 

Nous l’avons vu, les entreprises regorgent de données pouvant être réutilisées pour offrir de nouveaux services innovants aux citoyens. Mais quelles sont ces données pouvant être exploitées ?

• Le  cadre le plus important à respecter relève de l’article 8 de la loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il s’agit pour les entreprises d’utiliser et de mettre à disposition des données non sensibles, c’est-à-dire qu’ « il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».

• La CNIL (Commission Nationale de l’Informatique et des Libertés) définit plus précisément les données personnelles dans l’article 2 de son canevas législatif « Informatique et Libertés ». Ce sont « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Ces éléments peuvent être physiques, physiologiques, sociaux, économiques, culturels…

En ce qui concerne leur traitement et leur réutilisation, l’Autorité administrative indépendante française rajoute dans l’article 6 de ce même canevas que « les données personnelles doivent être collectées et traitées, de manière loyale, licite et non frauduleuse pour des finalités déterminées, explicites et légitimes ; ne pas être utilisées pour d’autres finalités ; être adéquates, proportionnées et pertinentes au regard des finalités pour lesquelles elles sont collectées ou utilisées ; être exactes, complètes et si nécessaire mises à jour et être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées ou utilisées ».

De même, selon l’article 13, il faut que les personnes auprès desquelles sont recueillies les données soient informées « de l’identité du responsable du traitement, de la finalité poursuivie par le traitement, du caractère obligatoire ou facultatif des informations qui lui sont demandées, des destinataires des données, des modalités d’exercice de ses droits d’opposition, d’accès et de rectification ». La personne concernée doit pouvoir obtenir à tout moment ces informations.

 

Ces lois valent notamment pour les entreprises voulant réutiliser leurs données clients dans le cadre d’applications marketing.