Les données personnelles sont soumises à une réglementation stricte en matière de sécurité et de confidentialité, contrairement aux données industrielles (parfois appelées données non personnelles), qui peuvent être partagées plus librement.
Afin d’éviter toute violation potentielle de la loi, il est impératif de s’assurer qu’aucune donnée personnelle ne sera transmise lorsqu’un partage de données industrielles est envisagé.
Clarifiez en quelques clics si oui ou non vous pouvez partager vos données à un tiers.
Commencer le questionnaireDonnées personnelles et données industrielles : quelle différence ?
Qu’est-ce qu’une donnée personnelle ?
La loi considère comme des données personnelles toutes les informations concernant une personne physique identifiée ou identifiable. Dans certains cantons, cette définition s’étend aux personnes morales (sociétés, associations). On utilise aussi parfois le terme de « données à caractère personnel ».
La donnée personnelle établit un lien direct avec la personne (exemple : prénom et nom) ou permet de l’identifier de manière indirecte par corrélation avec d’autres données (exemple : données de géolocalisation, adresse IP). Dans le premier cas, la personne est identifiée, dans le second, elle est identifiable.
Qu’est-ce qu’une donnée personnelle sensible ?
- Les données personnelles concernant
- les activités religieuses, philosophiques, politiques ou syndicales
- la santé, la sphère intime, l’origine raciale ou ethnique
- les poursuites ou sanctions pénales et administratives
- les mesures d’aide sociale
- Les données génétiques
- Les données biométriques permettant d’identifier une personne physique
Qu’est-ce qu’une donnée industrielle ?
On parle de données industrielles pour désigner toutes les données qui ne sont pas des données personnelles et ne permettent donc pas – ou plus – d’identifier une personne. Cette capacité d’identification peut varier : plus les données sont nombreuses, plus les possibilités d’identification augmentent. Les évolutions techniques peuvent également faciliter les possibilités d’identification.
L’utilisation des données industrielles n’est cependant pas exempte de toute restriction. Dans certains cas, les dispositions relatives à la propriété intellectuelle ou à la protection des secrets rendent le partage illicite.
Quelques exemples des deux types de données (liste non exhaustive)
Données personnelles
- Données d’identité (prénom, nom, état civil)
- Données de contact (adresse postale, adresse électronique, numéro de téléphone)
- Données de localisation d’une personne
- Numéro d’identification (numéro AVS, numéro de carte de crédit, IBAN, plaque d’immatriculation, numéro de lecteur)
- Extrait du casier judiciaire
- Dossier médical
- Certificat de travail
- Adresses IP, cookies, empreinte numérique
Données industrielles
- Données statistiques agrégées
- Données anonymes
- Données industrielles générées par des machines (ne se rapportant pas à des personnes)
- Cartes ou plans (ne contenant pas de données personnelles)
- Images satellites (ne contenant pas de données personnelles)
- Données météorologiques
- Données de production agricole ou industrielle (ne contenant pas de données personnelles)
Peut-on transformer des données personnelles en données industrielles ?
C’est possible par une procédure d’anonymisation qui rompt de manière irréversible le lien entre une donnée et la personne à laquelle elle se rapporte. L’identification devient impossible. Il existe plusieurs techniques d’anonymisation telles que l’agrégation, l’ajout de bruit, la substitution, etc.
Dans le cas de données pseudonymes, on remplace un attribut par un autre dans l’enregistrement (par exemple « M. Dupont » par « 3178938 »). L’identification reste possible pour les personnes qui détiennent la clé ou le dictionnaire ayant servi à l’opération. Les données pseudonymes demeurent donc des données personnelles, mais peuvent être considérées comme des données industrielles pour les personnes qui ne possèdent pas cette clé si l’identification, bien que théoriquement possible, exige des efforts disproportionnés.
Comment procéder si les données que vous souhaitez partager contiennent des données personnelles ?
Trier les données
Les données personnelles sont rarement nécessaires et peuvent être supprimées pour ne communiquer que les données industrielles. Demandez-vous lesquelles de vos données permettent d’identifier directement ou indirectement la personne. Si vous avez le moindre doute, ne les partagez pas.
Anonymiser les données
Utilisez une technique fiable et adaptée comme l’agrégation pour supprimer tout lien avec la ou les personnes concernées. Une autre méthode est le remplacement aléatoire d’information, en prenant soin de s’assurer que la réidentification n’est pas possible.
Avoir un motif justificatif
La communication de certaines données personnelles est autorisée dans les cas suivants :
- Consentement libre et éclairé des personnes concernées
- Communication nécessaire à la conclusion ou l’exécution d’un contrat (données concernant le cocontractant)
- Traitements à des fins de recherche, de planification ou de statistique ne se rapportant pas à des personnes (les données devront cependant être anonymisées dès que cela est techniquement possible, et ne figureront pas dans la communication des résultats).
- Données relatives à une personnalité publique et à son activité publique.
Nous vous recommandons d’envisager l’une ou l’autre de ces trois options dès la collecte ou la création des données. Vous vous assurez ainsi que le fichier à partager ne contiendra plus de données personnelles ou que celles-ci auront été anonymisées au fur et à mesure.