Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Cette identification se réalise par l’intermédiaire de son nom, son numéro d’identification, ses données de localisation, ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale. À titre d’information, le RGPD protège certaines données, considérées comme sensibles, de manière plus poussée.

Le consentement de la personne physique pour l’obtention des données est primordial. Cet accord peut être exprimé de différentes manières : il peut prendre la forme d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Il peut également se manifester par la décision de cocher une case lors de la consultation d’un site internet (dans le cas où des cases seraient cochées par défaut, il n’y a pas de consentement cependant). Les entreprises doivent clairement expliquer les raisons pour lesquelles elles utilisent ces données et chaque personne physique dispose toujours d’un droit d’accès, de rectification et de suppression de ses données.

Le traitement vise toute opération de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, de consultation, d’utilisation, ou de communication des informations d’une personne physique.

Concrètement, une personne peut directement transmettre ses informations via la création d’un profil sur le site d’une enteprise ou au moyen d’un échange de courriels. L’entreprise peut aussi elle-même recolter ces données de manière plus discrète via les cookies, le moteur de recherche, ou le navigateur internet de la personne physique.

La récolte des données peut avoir lieu lors de la passation d’un contrat de vente ou de prestation de services, en ligne ou en présentiel. Chaque entreprise doit mettre elle-même en œuvre des mesures techniques et organisationnelles appropriées pour assurer la conformité de son traitement avec le cadre légal. Il s’agit du principe d’accountability. Ces mesures varient : il s’agit de la formation du personnel sur les aspects liés à la protection des données, la sécurisation de certains locaux où sont stockées des données, de la tenue d’une documentation interne qui reprend toutes les informations pertinentes sur les traitements que l’entreprise effectue...

Il convient de préciser qu’une entreprise peut transmettre la base de données de son personnel ou de sa clientèle à un autre entreprise localisée dans un état membre de l’Union européenne. Cela se justifie par le fait que la législation européenne est uniforme ; les données personnelles bénéficient du même niveau de protection partout dans l’Union européenne.

L’aspect le plus apparent d’utilisation des données personnelles est sans doute la diffusion de publicités spécifiques. A l’aide des données personnelles et des études qui y sont associées, une entreprise peut également envisager de vendre sur un marché déterminé son nouveau produit. Mais même à l’égard d’entreprises qui n’envisagent pas ce type d’activités, la protection des données personnelles reste importante puisque dès qu’il y a un échange avec une personne physique, la récolte des données est presque inévitable. Il convient de faire preuve de prudence car les entreprises doivent être en mesure de prouver qu’elles respectent et appliquent correctement le RGPD.