Données sensibles et non sensibles au RGPD : une distinction qui fait toute la différence

Qu'est-ce qu'une donnée "personnelle" selon le nouveau réglement européen ? Quelles sont les nouvelles modalités du consentement ?
Mis à jour par février 22, 2023

Par Guillaume Marcerou, Directeur Global Privacy Criteo

Chez Criteo, nous sommes convaincus depuis longtemps que protéger, maintenir et sécuriser les données conformément aux règles établies sur la privatisation des données est un jeu gagnant-gagnant à la fois pour les entreprises et les consommateurs. Avec le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) qui entrera en vigueur le 25 mai 2018, nous nous réjouissons qu’enfin, la question de la conformité des données soit réglementée en Europe. Criteo est totalement prêt à relever les questions et les défis relatifs que présente le RGPD et anticipe un impact limité ou nul de cette nouvelle règlementation sur la capacité de nos clients et partenaires à travailler avec nous.

(En savoir plus : Criteo est prêt pour la conformité du RGPD)

Le RGPD vise à moderniser le système légal de l’UE relatif aux données, à renforcer les droits des citoyens et à améliorer la clarté et la cohérence des lois au sein de l’UE.

Nous savons que nos clients, partenaires et investisseurs, se posent de nombreuses questions sur les conséquences éventuelles de la législation RGPD, en particulier sur les différentes manières de recueillir les données.

Le RGPD établit une distinction claire entre les données personnelles sensibles et les données personnelles non sensibles. Chez Criteo, nous maîtrisons cette distinction, puisque nous ne rassemblons que des données personnelles non sensibles sous forme de cookies.

Voici la manière dont le RGPD définit les données et les points essentiels que les entreprises doivent connaître sur leur gestion :

Commençons par le commencement : pour le RGPD, qu’est-ce qui constitue au juste « donnée personnelle » ?

Pour la nouvelle loi, est considérée comme donnée personnelle :

  • Tout ce qui permet d’identifier directement une information : prénom, nom, numéro de téléphone etc.
  • Toutes les données dites « pseudonymes », c’est-à-dire ne permettant pas directement d’identifier une personnes, mais permettant d’isoler des comportements individuels (par exemple dans le but de diffuser des publicités ciblées et personnalisées)

Le RGPD établit une distinction claire entre les informations d’identification directes et les informations pseudonymisées. Le RGPD encourage l’utilisation de pseudonymes et prévoit expressément que « l’application de la pseudonymisation aux données personnelles peut réduire le risque sur les données concernées et aider les régulateurs et opérateurs à respecter leurs obligations vis-à-vis de la protection des données. » [1] Criteo ne collecte que des identifiants techniques pseudonymisés liés à des événements concernant la navigation.

Quelles données sont considérées comme « sensibles » selon le RGPD ?

Les données sensibles sont toutes les données susceptibles de révéler :

  • Une origine raciale ou ethnique
  • Des opinions politiques
  • Des convictions philosophiques ou religieuses
  • Une adhésion à un syndicat
  • Des données génétiques
  • Des données biométriques dans le but d’identifier une personne
  • Des données concernant la santé, l’orientation ou la vie sexuelle d’une personne

Par nature, les données que recueillent et traitent nos clients et partenaires ne sont pas considérées comme « sensibles » au sens du RGPD. Criteo, pour sa part, ne recueille que les données techniques pseudonymisées liées aux évènements de navigation.

Quel sont les types de données personnelles non sensibles, recueillis par Criteo ?

Quand ils travaillent avec Criteo, nos clients et partenaires ont seulement besoin d’avoir accès aux données pseudonymisées qui ne permettent pas l’identification directe des utilisateurs. Ces données pseudonymisées comprennent :

  • Les identifiants cookies
  • Les adresses email cryptées
  • Les identifiants de publicité mobile
  • Tout autre identifiant technique qui permet à Criteo de distinguer un comportement individuel sans directement identifier un individu

Intérêt légitime et consentement sans ambiguïté

Sur les six règles de bases légales concernant la collecte et le traitement des données en Europe applicables aux entreprises de l’industrie du marketing ou du marketing digital, ou celles recueillant des données à des fins marketing, nous pensons que deux sont applicables :

(1) le consentement sans ambiguïté de l’individu
(2) l’intérêt légitime des organisations étant amenées à collecter les données

Premièrement, l’intérêt légitime du collecteur de données (nos clients et éditeurs) peut avoir pour objectif des dispositifs de marketing direct. Deuxièmement, l’accord sans ambiguïté de l’utilisateur, y compris d’un utilisateur qui continue de naviguer sur un site, peut constituer une base légale pour collecter, traiter et analyser les données personnelles non sensibles. Pour en savoir plus, cliquez sur le lien ci-dessous.

(En savoir plus : Conformité RGPD : Les cookies sont des données personnelles – Base juridique pour leur recueil et usage)

Nos pratiques en termes de sécurité et de respect de la vie privée assurés dès la conception, constituent une base solide pour répondre immédiatement aux exigences du RGPD. Nos clients et partenaires ont l’obligation de fournir des informations complètes à leurs utilisateurs et nos services incluent la responsabilité partagée à travers notre réseau. L’expertise avérée de Criteo dans la protection des données et le respect de la vie privée des utilisateurs est la preuve qu’avec les bonnes informations et les outils de contrôle adéquats, nous pouvons préparer efficacement nos clients et partenaires à relever le défi du RGPD.

[1] Règlement Général sur la Protection des Données – Comme suivant