Des données pertinentes
Fondamental :
En application de l'article 4 de la
Loi Informatique et libertés[1], les données collectées doivent être « adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives »
. Cela signifie que ne doivent être collectées que les données à caractère personnel qui sont nécessaires aux finalités préalablement exprimées.
Par ailleurs ce même article 4 indique que ces données doivent être « exactes et, si nécessaire, tenues à jour »
. Le responsable de traitement est tenu de prendre les mesures nécessaires pour que les données inexactes ou incomplètes soient mises à jour ou, à défaut, effacées.
Exemple :
Le recueil d'informations sur la situation de famille d'un candidat ou de son NIR[2] n'est a priori pas nécessaire dans l'objectif d'un recrutement.
Si le recueil de la tranche d'âge des personnes concernées s'avère suffisant à la finalité du traitement prévu, alors le recueil de la date de naissance peut être estimé comme excessif.
Complément :
Certains types de données à caractère personnel ont des statuts particuliers :
L'article 6 de la Loi Informatique et libertés[1] (en lien avec l'article 9 du RGPD[3]) précise notamment que :
« Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. »
. Ces données, dénommées "données sensibles" dans certains texte et notamment dans le considérant 10 du RGPD[3], ne peuvent être ni collectées, ni traitées, sauf dans certains cas spécifiques définis dans la suite de l'article 6 de la Loi Informatique et libertés[1].l'article 46 de la Loi Informatique et libertés[1] limite le droit de traitement des
« données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes »
à un nombre restreint de personnes physiques ou morales, et uniquement dans le cadre d'activités bien définies.le traitement du NIR[2], en tant que numéro identifiant et signifiant, est encadré par l'article 30 de la Loi Informatique et libertés[1] . Les catégories de responsables de traitement et les finalités de ces traitements sont définies par un décret en Conseil d'Etat[4],
« pris après avis motivé et publié »
de la CNIL.