La CNIL définit une donnée à caractère personnel comme : « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. ».

Article 2 de la loi n° 78-17 du 6 janvier 1978.

Une personne peut être directement identifiée par son nom de famille, mais elle peut également l’être, de manière indirecte, par d’autres éléments tels qu’un enregistrement vocal ou une photographie. Le responsable de traitement a la responsabilité de mener une politique de sécurité permettant le respect des principes fondamentaux en matière de protection des données à caractère personnel. Les coordonnées d’une organisation ne sont pas considérées comme des données à caractère personnel.

Des opérations variées peuvent donc être considérées comme des traitements au sens de la CNIL. Il s’agit, pour chaque organisation, d’identifier ces opérations à l’intérieur d’un processus clairement défini (exemple : la gestion des formations) afin de repérer les vulnérabilités dans la protection des données à caractère personnel. Un traitement n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Un fichier de données à caractère personnel est constitué d’un ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. Un traitement de données doit avoir un objectif, c’est-à-dire une finalité déterminée.

Cybersécurité : les concepts les plus importants :

Cybersécurité : les concepts les plus importants :