Quelles sont les données que le RGPD n’interdit pas de collecter ?

Le RGPD ne fonctionne pas comme une liste noire de données interdites. Le règlement européen encadre la collecte de toute donnée personnelle, sans en prohiber aucune catégorie par défaut. La distinction repose sur les conditions de collecte, pas sur la nature de la donnée elle-même.

Comprendre ce que le RGPD autorise suppose de cartographier trois zones : les données hors champ du règlement, les données personnelles collectables sous conditions, et les données sensibles soumises à un régime renforcé.

A lire aussi : Qu'est-ce que l'audit ISO 27001 ?

Données hors champ du RGPD : ce qui échappe au règlement

Avant de parler de collecte autorisée, il faut identifier ce que le RGPD ne couvre tout simplement pas. Deux catégories de données sortent intégralement de son périmètre.

Données relatives aux personnes morales

Les informations qui se rapportent à une entreprise, une association ou un organisme public ne sont pas des données personnelles au sens du RGPD. Raison sociale, numéro de TVA intracommunautaire, bilan financier, adresse du siège social, email générique de type contact@ ou info@ : les données de personnes morales sont collectables sans contrainte RGPD.

A lire en complément : Est-il possible de bloquer un paiement en ligne ?

Cette distinction a une limite pratique. Dès qu’un nom de dirigeant, un email nominatif ([email protected]) ou un numéro de ligne directe entre dans le jeu de données, le RGPD s’applique à cette portion du fichier.

Données anonymisées de façon irréversible

Le RGPD ne s’applique pas aux données anonymisées lorsqu’aucune ré-identification n’est raisonnablement possible. Un même jeu de données peut entrer ou sortir du champ du règlement selon le degré d’anonymisation appliqué.

La pseudonymisation (remplacer un nom par un identifiant) ne suffit pas : la donnée reste personnelle tant qu’un croisement permet de remonter à la personne. L’anonymisation complète, en revanche, coupe définitivement ce lien.

Type de donnée Champ du RGPD Collecte
Donnée de personne morale (raison sociale, SIRET, email générique) Hors champ Libre
Donnée anonymisée de façon irréversible Hors champ Libre
Donnée pseudonymisée Dans le champ Soumise au RGPD
Donnée personnelle courante (nom, email, adresse IP) Dans le champ Base légale requise
Donnée sensible (santé, opinion politique, biométrie) Dans le champ – régime renforcé Interdite sauf exceptions

Consultant en protection des données présentant les catégories autorisées par le RGPD devant un tableau interactif

Collecte de données personnelles courantes : les bases légales du RGPD

Nom, prénom, adresse postale, email, numéro de téléphone, adresse IP, donnée de géolocalisation, identifiant en ligne : toute donnée personnelle courante peut être collectée si une base légale la justifie. Le RGPD en prévoit six.

  • Le consentement de la personne concernée, qui doit être libre, spécifique, éclairé et univoque.
  • L’exécution d’un contrat auquel la personne est partie, ou de mesures précontractuelles prises à sa demande.
  • Le respect d’une obligation légale imposée au responsable de traitement (conservation de factures clients, déclarations sociales).
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
  • L’intérêt légitime du responsable de traitement ou d’un tiers, à condition que cet intérêt ne soit pas supplanté par les droits de la personne concernée.

La base légale la plus utilisée par les entreprises pour la collecte de données clients reste le contrat et l’intérêt légitime. Le consentement est mobilisé principalement pour la prospection commerciale et les cookies non essentiels.

Une collecte qui repose sur une base légale valide doit aussi respecter le principe de minimisation : ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité déclarée. Collecter la date de naissance pour envoyer une newsletter, par exemple, dépasse ce cadre.

Données sensibles et régime renforcé : la seule vraie interdiction du RGPD

Le RGPD ne contient qu’une interdiction de principe, et elle vise les données dites sensibles. L’article 9 du règlement interdit par défaut le traitement de catégories particulières de données personnelles :

  • Origine raciale ou ethnique
  • Opinions politiques, convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données génétiques et données biométriques aux fins d’identification
  • Données concernant la santé
  • Données relatives à la vie sexuelle ou à l’orientation sexuelle

Cette interdiction n’est pas absolue. Dix exceptions permettent de collecter des données sensibles, parmi lesquelles le consentement explicite de la personne, la nécessité liée au droit du travail, la protection des intérêts vitaux, ou encore le traitement à des fins de recherche scientifique encadré par l’article 89 du règlement.

En revanche, les données relatives aux condamnations pénales et aux infractions (article 10) relèvent d’un régime distinct : leur traitement est réservé à l’autorité publique ou doit être autorisé par le droit de l’Etat membre.

Durée de conservation et droits des personnes : les obligations qui conditionnent la collecte

Même lorsqu’une donnée est licitement collectée, le responsable de traitement doit fixer une durée de conservation proportionnée à la finalité. La CNIL rappelle que les données personnelles ne peuvent pas être conservées indéfiniment « au cas où ».

Pour les données clients, la durée de conservation courante correspond à la durée de la relation contractuelle, prolongée du délai de prescription applicable.

Droits des personnes sur les données collectées

Le RGPD impose au responsable de traitement de garantir l’exercice effectif des droits de la personne concernée : droit d’accès, de rectification, d’effacement, de portabilité, d’opposition et de limitation du traitement. Ces droits s’appliquent quelle que soit la base légale utilisée pour la collecte, avec des modalités qui varient selon cette base.

Mains tapant sur un ordinateur portable avec un guide RGPD posé sur un bureau en bois, symbolisant la gestion des données personnelles autorisées

Le RGPD ne dresse pas de liste de données interdites à la collecte. Le règlement structure un cadre où la licéité dépend de la base légale, de la finalité, de la minimisation et du respect des droits des personnes. Seules les données sensibles de l’article 9 font l’objet d’une interdiction de principe, levée par des exceptions précises.

Pour toute entreprise, la question n’est donc pas « quelles données ai-je le droit de collecter », mais « quelle base légale justifie cette collecte et cette durée de conservation ».

Ne ratez rien de l'actu