Il est courant pour les entreprises de collecter des données personnelles auprès des consommateurs, mais connaissez-vous les types de données spécifiques que vous traitez réellement ?
Bon nombre de ces catégories relèvent des définitions juridiques des données à caractère personnel ou des informations personnelles en vertu de lois telles que le RGPD, le CCPA et d'autres réglementations mondiales en matière de confidentialité.
Dans ce guide, je présente les neuf types de données les plus couramment collectées et je fournis des informations utiles à leur sujet afin que vous puissiez rester en conformité avec la loi.
Quels types de données sont protégés par les lois sur la protection de la vie privée ?
Bien que la définition des «données à caractère personnel »varie en fonction de la législation en matière de protection de la vie privée, ces textes législatifs collectent généralement des informations qui, seules ou combinées à d'autres détails, peuvent être utilisées pour identifier une personne ou un ménage.
Certaines lois énumèrent des catégories spécifiques de données, comme la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
D'autres, comme le Règlement général sur la protection des données (RGPD), sont rédigés de manière générale et neutre sur le plan technologique afin de garantir qu'ils couvrent presque toutes les informations relatives à une personne identifiable.
Mon entreprise collecte-t-elle certains types de données ?
Votre entreprise collecte très probablement un ou plusieurs types de données, en particulier si vous effectuez l'une des opérations suivantes :
- Vendre des biens ou des services en ligne,
- Permettre aux utilisateurs de créer des comptes de connexion,
- Demander les noms et adresses e-mail pour envoyer des newsletters ou des e-mails marketing,
- Déployer des cookies Internet sur les navigateurs des visiteurs du site, qui sont considérés comme des données à caractère personnel.
- Utilisez des services tiers tels que Google Analytics, HubSpot, etc.
Vous devriez effectuer un audit de confidentialité afin de savoir exactement quelles données votre entreprise collecte, où et comment elles sont collectées, et pourquoi vous les collectez.
Si le RGPD à votre entreprise, vous devez identifier une base légale pour le traitement.
En vertu des lois américaines telles que la CCPA/CPRA, vous devez plutôt fournir un avis au moment de la collecte et respecter les refus, mais vous n'avez pas besoin d'une base légale.
Tout au long de cet audit, vous vous assurerez également de mettre en place les mesures techniques et de sécurité appropriées pour protéger toutes les données contre tout accès non autorisé, toute fuite et toute violation.
Quels sont les types de données les plus couramment collectés ?
Maintenant que j'ai passé en revue l'impact des lois sur la confidentialité sur la collecte de données personnelles, examinons neuf des catégories d'informations les plus couramment collectées.
1. Informations personnelles identifiables (PII)
Les informations personnelles identifiables ou PII sont principalement un terme juridique et réglementaire américain. Dans le cadre RGPD de nombreuses lois internationales, le concept équivalent est simplement appelé « données personnelles ».
Les informations personnelles identifiables désignent toute information qui, seule ou combinée à d'autres, permet d'identifier une personne.
Il s'agit d'un type de données très couramment collectées, qui peuvent inclure des détails tels que :
- Noms (prénom et nom)
- Adresses électroniques
- Numéros de téléphone
- Adresses personnelles/adresses postales
Ce type d'informations est généralement collecté lorsque les visiteurs d'un site web remplissent leurs informations dans un portail de paiement ou créent des comptes ou des identifiants.
Les adresses e-mail et les noms sont souvent collectés afin d'envoyer des e-mails marketing ou des newsletters.
Ce que vous devez savoir
Les informations personnelles identifiables sont presque toujours protégées par les lois sur la confidentialité.
Assurez-vous de fournir aux utilisateurs des informations appropriées et transparentes en mettant politique de cookies à jour votre politique de confidentialité et politique de cookies , avec des détails sur les informations personnelles identifiables que votre entreprise collecte.
2. Données relatives au compte et à l'authentification
Un autre type de données très couramment collectées concerne les données relatives aux comptes et à l'authentification, qui peuvent inclure des informations telles que :
- Noms d'utilisateur
- Mots de passe
- Questions et réponses relatives à la sécurité
- Codes de connexion
Les entreprises demandent souvent ces informations afin que les utilisateurs puissent remplir des formulaires d'inscription, créer des comptes ou se connecter à des sites web, des applications ou toute autre plateforme.
Ce que vous devez savoir
Des lois telles que le RGPD le CCPA protègent les informations relatives aux comptes et autres types d'informations similaires.
Si vous traitez ce type d'informations de quelque manière que ce soit, incluez-les dans la catégorie des données que vous collectez dans votre politique de confidentialité.
Si des cookies d'authentification sont utilisés pour stocker des identifiants de session et des jetons, ces informations doivent être incluses dans votre politique de cookies.
3. Données analytiques, données d'engagement et informations de navigation sur Internet
De nombreux sites Web collectent des données analytiques sur leurs visiteurs, qui comprennent de nombreux détails, notamment leurs habitudes de navigation et des informations telles que :
- Pages vues
- Taux de rebond
- Informations sur l'appareil ou le navigateur
- Données de géolocalisation
- Taux de clics
- Temps passé sur les pages
- Partages sociaux
- Adresses IP
- Requêtes de recherche
- URL de référence
La plupart des entreprises utilisent un service tiers pour collecter et analyser ces informations, comme Google Analytics, SEMrush, HubSpot
Certaines données analytiques et d'engagement sont considérées comme des données personnelles et sont protégées par les lois sur la confidentialité des données.
Dans l'UE, les cookies analytiques nécessitent un consentement préalable, sauf s'ils sont strictement nécessaires. Cette exigence découle de la directive ePrivacy, et non du RGPD.
Ce que vous devez savoir
Il s'agit d'une catégorie de données complexe, car elle englobe de nombreux types d'informations différentes, dont la plupart relèvent de la définition juridique des informations personnelles.
Si toutes les données analytiques ne permettent pas d'identifier une personne (par exemple, les taux de rebond), d'autres informations le permettent, et certaines sont même considérées comme une catégorie particulière d'informations personnelles sensibles, soumises à des exigences légales encore plus strictes (par exemple, la géolocalisation précise).
La géolocalisation précise est un sujet sensible dans le cadre du CCPA/CPRA. Dans le cadre RGPD, elle ne relève pas automatiquement des données de catégorie spéciale, sauf si elle révèle des caractéristiques protégées (par exemple, visites dans des cliniques, des édifices religieux, etc.).
4. Détails du paiement/Informations financières
De nombreux sites Web disposent de portails de paiement qui facilitent les transactions financières, et ces portails collectent généralement les types d'informations financières suivants auprès des utilisateurs :
- Numéros de carte de crédit/débit
- Informations relatives au compte bancaire
- Adresses de facturation
Il est courant de collecter ces informations afin de garantir la sécurité et la réussite des paiements et des transactions entre le consommateur et votre entreprise.
Ce que vous devez savoir
Ces informations sont protégées par la plupart des lois sur la confidentialité, et les numéros de carte de crédit et les détails de compte sont considérés comme une catégorie particulière d'informations sensibles en vertu de la législation.
En vertu de la CPRA, les numéros de carte de crédit et les identifiants de compte sont classés comme des informations personnelles sensibles.
En vertu du RGPD, les données financières sont des données à caractère personnel, mais ne constituent pas des données de catégorie particulière. Cependant, les responsables du traitement doivent mettre en œuvre des mesures de sécurité renforcées, car les données financières présentent un risque élevé de préjudice en cas de violation.
Vous informez les utilisateurs dans votre politique de confidentialité que vous collectez des informations relatives aux paiements et des informations financières. Si vous détenez ces données et qu'elles font l'objet d'une violation illégale, les lois sur la confidentialité pourraient vous tenir financièrement responsable.
5. Données démographiques
Les entreprises collectent généralement certaines données démographiques auprès des utilisateurs, par exemple :
- L'âge
- Genre
- Date de naissance
- Nationalité
Vous pouvez collecter les dates de naissance et les données démographiques afin d'envoyer des documents promotionnels ou des coupons, de vérifier que les utilisateurs qui s'inscrivent sur votre plateforme ont l'âge requis ou d'en savoir plus sur la culture de vos utilisateurs.
Ce que vous devez savoir
Les données démographiques telles que l'âge ou le sexe sont des données à caractère personnel au sens du RGPD du CCPA.
Les profils démographiques utilisés pour la publicité ciblée peuvent entraîner des obligations supplémentaires, telles que des options de refus en vertu de la CCPA et d'autres lois américaines sur la protection de la vie privée.
Les données relatives à l'âge des mineurs sont soumises à des exigences plus strictes (par exemple, la loi COPPA aux États-Unis, la protection renforcée des données des enfants RGPD).
6. Données relatives au service client et à la communication
De nombreuses entreprises collectent les informations que les utilisateurs fournissent volontairement lorsqu'ils interagissent avec le service client ou remplissent des formulaires.
Cette catégorie peut inclure un large éventail de données, telles que :
- Tickets d'assistance et messages du service d'assistance
- E-mails envoyés au service clientèle
- Transcriptions des conversations et interactions avec les chatbots
- Formulaires de contact
- Commentaires sur les produits ou enquêtes
- Fichiers téléchargés, captures d'écran ou pièces jointes
- Contenu généré par les utilisateurs (par exemple, avis, commentaires ou messages sur les forums)
Ces informations sont recueillies lorsque des personnes sollicitent une assistance, demandent un dépannage, soumettent des demandes de renseignements ou participent à des fonctionnalités communautaires ou à des programmes de satisfaction client.
Ce que vous devez savoir
Les données relatives à l'assistance clientèle et à la communication contiennent souvent un mélange de données personnelles, notamment des noms, des adresses électroniques, des informations sur les appareils et des informations potentiellement sensibles si les utilisateurs les divulguent volontairement.
C'est pourquoi des lois telles que le RGPD, le CCPA/CPRA et d'autres réglementations mondiales en matière de confidentialité exigent des entreprises qu'elles :
- Indiquer clairement dans leur politique de confidentialité qu'ils collectent des données de communication.
- Limiter l'accès aux seuls employés ou prestataires de services qui en ont besoin,
- Surveiller la collecte accidentelle d'informations personnelles sensibles,
- Veillez à ce que les plateformes d'assistance (par exemple, Zendesk, Intercom, HubSpot) soient couvertes par des accords de traitement des données valides.
- Mettre en œuvre des mesures de sécurité appropriées telles que le cryptage et les contrôles d'accès,
- Respectez les demandes de suppression et les limites de conservation, car les journaux de communication sont souvent conservés plus longtemps que nécessaire.
Si des cookies, des traceurs ou des outils de relecture de session sont utilisés pour collecter des données d'interaction (par exemple, via des widgets de chat en direct), cela doit également être indiqué dans votre politique de cookies.
7. Données de localisation
Certaines entreprises peuvent collecter des données de localisation auprès des utilisateurs, notamment :
- Adresses IP
- coordonnées GPS
- Adresses d'expédition
Les entreprises peuvent collecter ces données afin d'envoyer des marchandises à l'adresse préférée du client, d'améliorer l'expérience utilisateur ou à des fins de marketing ciblé.
Ce que vous devez savoir
Étant donné que ces données permettent d'identifier une personne ou un ménage, elles sont presque toujours protégées par les lois sur la confidentialité et ne peuvent être collectées légalement que dans le cadre de leurs limites spécifiques.
Certaines de ces lois, comme la CCPA et d'autres législations au niveau des États américains, donnent aux individus le droit de refuser que leurs données soient utilisées à des fins de publicité ciblée.
En vertu de la CPRA, la « géolocalisation précise » est définie comme les données situées dans un rayon de 1 850 pieds (environ 564 mètres). Cette catégorie bénéficie d'une protection renforcée.
8. Informations sur l'appareil et données techniques
Certaines entreprises collectent des informations sur les appareils et d'autres données techniques auprès des utilisateurs, par exemple :
- Type et modèle de l'appareil
- Système d'exploitation
- Type de navigateur
- Cookies et autres identifiants de suivi
Ces informations peuvent être utilisées par les entreprises qui cherchent à améliorer leurs produits et services, à optimiser leurs options d'assistance à la clientèle, ou même à des fins de cybersécurité et autres mesures de sécurité.
Il peut également être utilisé à des fins de marketing ciblé, de publicité et d'analyse générale.
Ce que vous devez savoir
Il est important que vous mentionniez toutes les informations techniques et relatives aux appareils que votre entreprise recueille directement auprès des consommateurs dans votre politique de confidentialité.
Mais il est tout aussi important de les informer sur les cookies ou les traceurs utilisés pour collecter ces données.
De nombreuses lois, comme le RGPD, vous obligent à indiquer comment vous collectez les informations auprès des utilisateurs. Dans ce cas, cela peut se faire en plaçant un cookie sur leur navigateur.
Il est important de savoir que les adresses IP peuvent être considérées comme des données à caractère personnel au sens du RGPD selon l'arrêt CJUE Breyer c. Allemagne).
Les identifiants d'appareils, les identifiants publicitaires et les identifiants de cookies peuvent également constituer des données à caractère personnel s'ils permettent d'identifier raisonnablement un utilisateur ou un foyer.
9. Renseignements personnels sensibles
Certaines entreprises peuvent collecter une catégorie particulière de données appelées « informations personnelles sensibles », qui peuvent inclure :
- Informations sur la santé
- Données biométriques
- Opinions politiques
- Croyances religieuses
- Race/ethnicité
- Sexe/genre
- Orientation sexuelle
Cependant, la définition spécifique peut varier en fonction de la législation applicable à votre entreprise ou protégeant vos consommateurs.
En vertu du RGPD, les « catégories particulières de données à caractère personnel » sont définies à l'article 9 et comprennent les données relatives à la santé, les données biométriques à des fins d'identification, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, l'origine raciale ou ethnique et l'orientation sexuelle.
Le traitement de ces catégories nécessite une justification spécifique au titre de l'article 9, telle que le consentement explicite, les obligations en matière de droit du travail ou l'intérêt public important.
En vertu de la CPRA (California Privacy Rights Act) et des lois similaires sur la protection de la vie privée en vigueur dans les États américains, les « informations personnelles sensibles » constituent une catégorie définie qui comprend :
- Numéros d'identification gouvernementaux,
- Identifiants de connexion au compte,
- Géolocalisation précise,
- Origine raciale ou ethnique,
- Statut de citoyenneté ou d'immigration,
- Données génétiques, et
- Le contenu des communications, entre autres.
Les consommateurs ont le droit de limiter l'utilisation et la divulgation de ces données personnelles.
Il est important de ne pas confondre les catégoriesRGPD avec les informations personnelles sensibles du CCPA/CPRA.
Les deux cadres utilisent une terminologie différente et imposent des obligations différentes, même lorsque les types de données semblent similaires.
Bien que les noms soient similaires, les exigences légales, les droits des consommateurs et les conditions de traitement diffèrent considérablement d'une juridiction à l'autre.
Il existe de nombreuses raisons différentes pour lesquelles une entreprise peut collecter des données sensibles.
Certaines raisons sont spécifiques à certains secteurs, comme les compagnies d'assurance ou les hôpitaux qui collectent et analysent des données de santé, ou les services GPS et cartographiques qui collectent des informations de géolocalisation.
Ce que vous devez savoir
En vertu de la plupart des lois sur la protection de la vie privée, les catégories de données personnelles sensibles sont généralement soumises à des exigences plus strictes en matière de confidentialité des données.
En vertu du RGPD, le traitement des données de catégorie spéciale nécessite à la fois une base légale en vertu de l'article 6 et une condition spécifique en vertu de l'article 9.
En vertu de la CPRA, les entreprises doivent fournir un « avis de droit de limitation » lorsqu'elles utilisent des informations personnelles sensibles à des fins telles que le profilage ou la publicité ciblée.
Par exemple, vous devrez peut-être évaluer les risques liés à la confidentialité des données, demander le consentement explicite des utilisateurs avant de collecter ces données et leur présenter des avis de confidentialité très clairs.
Comment Termly les entreprises à communiquer les types de données qu'elles collectent
Si votre site web collecte des données personnelles, Termly votre guichet unique pour la conformité en matière de confidentialité.
Avec un Termly , vous pouvez utiliser des outils tels que notre Générateur de politique de confidentialité pour répertorier facilement toutes les catégories et tous les types de données nécessaires.
Notre générateur, qui s'appuie sur la législation en vigueur, vous pose des questions simples sur votre entreprise et ses activités de traitement des données. Il comprend une liste des catégories de données courantes et vous offre la possibilité de saisir vos propres informations.
Vous pouvez également utiliser le scanner de sites WebTermly pour vérifier quels cookies votre site utilise ; il les classe ensuite par catégorie et les répertorie dans une politique de cookies unique.
C'est rapide, facile et vous pouvez vous inscrire gratuitement.
En savoir plus sur l'auteur
Écrit par Natasha Piirainen
Natasha est une spécialiste du contenu avec plus de 10 ans d'expérienceprofessionnelle dans le développement de contenubasé sur la recherche. Elle est diplômée du Wheaton College en anglais et en philosophie. Chez Termly, ellese concentre sur les meilleures pratiques en matière de confidentialité des données et de gestion des consentements . Elleest responsable de la maintenance et de la mise à jour desdocuments relatifs à la confidentialité des données .
En savoir plus sur l'auteur
Révisé par Teodor Stanciu, CIPP/E, CIPM Coordinateur juridique et DPD
