Données personnelles : définition, exemples & quiz

Vous avez des doutes sur la nature des données que vous traitez ? Depuis l’entrée en vigueur du RGPD, il est essentiel que vous identifiiez précisément quel type de données vous utilisez. En fonction du type de données, vous pourrez identifier le niveau de protection requis. Cet article est là pour vous y aider.

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Qu’est-ce qu’une donnée personnelle ? Définition

Une donnée personnelle, ou encore appelée donnée à caractère personnel, c’est une information ou plusieurs informations, concernant un individu, une personne et permettant de l’identifier.

Dans le cadre de notre vie privée ou de nos activités professionnelles, nous sommes en permanence confrontés aux données personnelles. Quelle que soit notre activité, quel que soit le domaine de notre activité, peu importe. Nous ne sommes pas (encore) dans un monde entouré de robots et d’intelligence artificielle, nous sommes amenés à échanger avec des humains, des personnes physiques.

La notion de donnée personnelle est très large et très inclusive. Elle concerne également les entreprises en B-to-B ou en B-to-B-to-C.

Comment savoir si une donnée est personnelle ?

Il faut partir du postulat que dès que vous échangez avec une personne physique dans le cadre de votre activité personnelle ou professionnelle, et même si celle-ci intervient uniquement comme représentante d’une entreprise, ses données personnelles (comme son nom, son prénom, sa voix, son adresse mail) doivent être protégées.

Qu’il s’agisse de nos collègues, de notre hiérarchie, de nos salariés mais aussi d’un agent d’entretien, d’un agent de sécurité ; en bref de toute personne avec laquelle nous sommes en relation, posséder une information sur quelqu’un c’est posséder une donnée personnelle.

Comment identifier une donnée personnelle ? Exemples

Et cette information, qu’elle soit inscrite sur un petit carnet ou enregistrée sur un appareil électronique, qu’elle soit utilisée dans un cadre privé ou dans un cadre professionnel, est protégée par le RGPD.

Cette définition peut paraître très vague et très large.
Voici donc quelques exemples de données personnelles courantes :

  • un nom
  • un prénom
  • un numéro de téléphone
  • une description physique
  • une adresse mail
  • une fonction
  • la taille
  • l’enregistrement d’une voix
  • une photo
  • un numéro de carte de fidélité
  • un QR code permettant un accès
  • un identifiant

Voici quelques documents contenant des données personnelles :

  • une carte d’identité
  • un badge d’entrée
  • un badge de connexion
  • une fiche de paie
  • un compte rendu de réunion
  • une carte de visite
  • une facture adressée à un client personne physique

Voici les endroits susceptibles de comporter des données personnelles :

  • un ordinateur
  • un smartphone
  • une montre connectée
  • un fichier excel
  • un document word
  • un Google drive
  • une boite mail
  • une réunion Zoom
  • une conversation Whatsapp

Et ces exemples de données personnelles ne sont pas exhaustifs.

Et s’il est si important de savoir si on est en présence ou non de données personnelles, c’est précisément pour savoir si le RGPD est applicable.

Vous êtes une entreprise située en Suisse ou vous visez une clientèle suisse ? Attention ! Vous êtes soumis à des obligations en matière de collecte, traitement et conservation de données personnelles ! En effet, la Loi sur la Protection des Données Suisse prévoit un grand nombre d’obligations pour les entreprises traitant de données personnelles. Si vous êtes concernés, consultez notre article : LPD Suisse : le Guide Complet de la Conformité. 

Qu’est ce qu’une donnée hautement personnelle ? Définition et exemples

Une donnée hautement personnelle est une donnée personnelle dont le traitement augmente les risques d’atteinte aux droits et libertés fondamentaux d’une personne, ou dont la violation suppose une incidence réelle sur la vie quotidienne d’une personne concernée.
Par exemple, les données de localisation, les données financières, les données relatives aux communications électroniques ou les données relatives à une carte de paiement sont des données hautement personnelles.

Une fuite de données relatives à vos données bancaires aurait une incidence réelle sur votre vie quotidienne.

Un traitement de vos données de localisation augmente les risques d’atteinte à la liberté de circulation, prévue à l’article 13 de la Déclaration Universelle des Droits de l’Homme.

La donnée hautement personnelle se situe dans la frontière entre donnée sensible et donnée personnelle.

Le traitement d’une donnée hautement personnelle requiert au préalable de son traitement la réalisation d’une analyse d’impact (AIPD).

Qu’est ce que le croisement de données ? Définition

On parle de croisement de données lorsque l’association de plusieurs données permet d’identifier une personne physique.

Nous l’avons vu, un prénom est une donnée personnelle. A coup sûr, un prénom permet d’identifier quelqu’un. Mais si dans mon entreprise, plusieurs personnes portent le même prénom, quid de la condition d’identification ?

Peut-on parler de données personnelles lorsque plusieurs données sont nécessaires à l’identification ?

Dans ce cas, le prénom, en tant que donnée isolée, ne permet pas l’identification. Mais s’il est associé à une autre donnée, telle qu’un nom, il permet l’identification. Le prénom associé à une autre donnée, devient une donnée personnelle.

Si initialement, il n’est pas possible d’identifier précisément la personne, l’addition de deux données personnelles (et donc le croisement de données), permettant l’identification de quelqu’un attribue la qualité de donnée personnelle à chacune des deux données.

Qu’est-ce qu’une donnée non personnelle ? Définition

Une donnée non personnelle, c’est une donnée qui ne concerne pas une personne physique, un individu.

S’il existe des données personnelles, c’est qu’il existe des données non personnelles.

Il n’existe pas non plus de liste exhaustive des données non personnelles.

Il existe deux grandes catégories de données non personnelles :
Des données initialement non personnelles

Ce sont les données qui dès l’origine ne sont pas des données personnelles car elles ne concernent pas les personnes physiques, les individus, comme par exemple :

  • Tout ce qui concerne les sociétés (siège social, n° de SIREN, statistiques, rapport d’activité, adresse mail : sociétéx@gmail.com…),
  • les commerces ,
  • les grilles tarifaires,
  • Les données financières des entreprises,
  • Des processus de production,
  • Des caractéristiques d’un produit,
  • Les données de capteur intelligent
  • les statistiques, etc.

Données initialement personnelles

Cel sont les données qui à l’origine sont des données personnelles, mais qui sont devenues des données non personnelles car elles ne permettent plus l’identification grâce à des procédés techniques (anonymisation, pseudonymisation), comme par exemple :

  • les sondages,
  • les enquêtes consommateurs,
  • les études de marché,
  • les décisions de justice,
  • les visages floutés,
  • les voix modifiées etc…

On le voit les données non personnelles sont tout aussi nombreuses que les données personnelles.

Les données non personnelles ne sont pas soumises au RGPD.

Qu’est-ce qu’une donnée sensible ? Les données sensibles : des données particulières

Il existe des données personnelles qui méritent encore plus de protection. Le RGPD parle de données particulières, communément appelées données sensibles.

Une donnée sensible est une donnée qui révèle :

  • une origine raciale ou ethnique ( “Mme Y est d’origine américaine”)
  • une opinion politique (“Mme X est membre du parti …”)
  • une conviction religieuse ou philosophique (exemple : “Mr X appartient à l’association Musulmans / Chrétiens / Juifs de France”)
  • une appartenance syndicale (“Mr Y fait parti du syndicat de l’entreprise A”)
  • des informations biométriques, (la reconnaissance faciale, une empreinte digitale),
  • des informations génétiques (un test de paternité), des données concernant la santé (une ordonnance, un traitement, un suivi médical, le nom du médecin traitant …)
  • concernant la vie sexuelle ou l’orientation sexuelle (préférences sexuelles sur des sites de rencontre)

Le RGPD est très strict pour l’utilisation de ces données et leur traitement (c’est à dire l’usage que l’on en fait), ne peut être réalisé que dans l’une des situations suivantes :

  • la personne consent au traitement
  • la personne rend elle même publique ces informations
  • le traitement concerne le droit du travail, la sécurité sociale ou la protection sociale
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne
  • le traitement est fait par des associations, fondations à but non lucratif poursuivant des finalités politiques, philosophiques, religieuses, syndicales et les personnes concernées sont des membres de cet organisme
  • le traitement prend place dans une action judiciaire
  • le traitement est nécessaire pour des motifs d’intérêt public
  • le traitement prend place dans le secteur médico-social
  • le traitement est nécessaire à des fins d’archives, de recherche scientifique ou historique

Le traitement de données sensibles requiert des précautions supplémentaires précisées par le RGPD. Pour en savoir plus sur les règles encadrant la collecte de données sensibles, consultez notre article :  Données sensibles : les règles à respecter .

La protection de ces données est très importante : elles sont particulièrement visées lors de cyberattaques. Il est essentiel de protéger ces données, en choisissant par exemple un logiciel de mise en conformité sécurisé ou un DPO externe.

Ainsi, vous l’aurez compris, en réalité, le RGPD nous concerne tous. Dans tous les secteurs, à toutes les échelles, que les données soient internes à la structure ou externes, dans un cadre privé ou professionnel.

Si j’ai une donnée qui me permet d’identifier quelqu’un, j’ai une donnée personnelle et je dois de ce fait appliquer le RGPD.

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €