Guides & Ressources pratiques
Contrat de distribution : définition, types et clauses à sécuriser
Définition d'une donnée : qu'est-ce qu'une donnée personnelle selon le RGPD et la CNIL ?
Points clés de l'article
- Une donnée désigne toute information brute, structurée ou non, quel que soit son support ; elle devient donnée personnelle dès qu'elle permet d'identifier directement ou indirectement une personne physique.
- Le RGPD (article 4) et la Loi Informatique et Libertés encadrent exclusivement les données personnelles, pas les données d'entreprise (SIREN, raison sociale).
- Les données personnelles se classent en 3 niveaux de sensibilité : identifiantes courantes, sensibles (santé, opinions politiques) et biométriques, chacun soumis à des obligations distinctes.
- Une qualification erronée expose l'entreprise à des sanctions CNIL pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
- Chaque traitement doit être inscrit au registre, couvert par une base légale et, le cas échéant, encadré par un Data Processing Agreement (DPA).
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Définition d'une donnée : la notion juridique de base
Donnée personnelle vs donnée d'entreprise : la distinction posée par le RGPD
Catégories de données personnelles : identifiantes, sensibles, biométriques
Cadre légal applicable : RGPD européen et Loi Informatique et Libertés
Cas concrets : adresses IP, cookies, données salariés, données de connexion
Obligations de l'entreprise qui traite des données personnelles
Risques et sanctions CNIL en cas de qualification erronée
Quand mobiliser un avocat spécialisé en protection des données
Définition d'une donnée : la notion juridique de base
La définition d'une donnée en droit ne se limite pas à un fichier numérique. Une donnée est toute information, quel que soit son format : un nom manuscrit sur un formulaire papier, une ligne dans un tableur, un enregistrement vocal ou une image de vidéosurveillance. Le support est indifférent. Ce qui compte, c'est le contenu informationnel et l'usage qui en est fait.
En droit français et européen, la notion de donnée n'a de portée réglementaire que lorsqu'elle se rattache à une personne physique identifiable. C'est ce rattachement qui déclenche l'application du RGPD (Règlement général sur la protection des données, UE 2016/679) et de la Loi Informatique et Libertés de 1978, modifiée en 2018. Tant qu'une information reste purement technique ou anonyme — par exemple, la température relevée par un capteur industriel sans lien avec un individu — elle échappe à ce cadre.
Pour une direction juridique, la première étape d'un programme de conformité consiste donc à répondre à une question simple : l'information traitée permet-elle, seule ou par recoupement, d'identifier une personne physique ? Si oui, le régime de la donnée personnelle s'applique intégralement.
Donnée personnelle vs donnée d'entreprise : la distinction posée par le RGPD
L'article 4, paragraphe 1, du RGPD définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte précise qu'une personne est identifiable lorsqu'elle peut être reconnue, directement ou indirectement, par référence à un identifiant : nom, numéro, données de localisation, identifiant en ligne, ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Cette définition exclut par construction les données d'entreprise pures. Un numéro SIREN, une raison sociale, un chiffre d'affaires consolidé ou une adresse de siège social ne se rapportent pas à une personne physique. Ils ne relèvent donc pas du RGPD.
| Critère | Donnée personnelle | Donnée d'entreprise |
|---|---|---|
| Rattachement | Personne physique identifiable | Personne morale |
| Exemples | Nom, e-mail professionnel nominatif, matricule salarié | SIREN, raison sociale, adresse siège |
| Régime applicable | RGPD + Loi Informatique et Libertés | Droit commercial, secret des affaires |
| Obligation de registre | Oui (article 30 RGPD) | Non |
Toutefois, la frontière n'est pas toujours nette. L'adresse e-mail professionnelle nominative (prenom.nom@entreprise.fr) constitue une donnée personnelle, car elle identifie directement un individu. De même, le numéro de téléphone portable professionnel d'un dirigeant relève du RGPD. La direction juridique doit donc analyser chaque flux d'information au cas par cas, sans se fier à l'étiquette « donnée entreprise » ou « donnée RH ».
Catégories de données personnelles : identifiantes, sensibles, biométriques
Le RGPD distingue plusieurs niveaux de protection selon la nature de la donnée personnelle traitée. Cette classification conditionne directement les obligations du responsable de traitement.
Données identifiantes courantes. Nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, identifiant client. Leur traitement repose sur l'une des 6 bases légales prévues à l'article 6 du RGPD (consentement, exécution d'un contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime).
Données sensibles (article 9). Origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données de santé, données relatives à la vie sexuelle ou l'orientation sexuelle. Leur traitement est interdit par principe, sauf exceptions limitatives (consentement explicite, obligation en droit du travail, intérêt public dans le domaine de la santé, etc.).
Données biométriques et génétiques. Empreintes digitales, reconnaissance faciale, ADN. Elles bénéficient du même régime d'interdiction de principe que les données sensibles, avec des exigences renforcées en matière de sécurité technique.
| Catégorie | Exemples | Base légale | Niveau de risque CNIL |
|---|---|---|---|
| Identifiantes courantes | Nom, e-mail, téléphone | Article 6 RGPD (6 bases) | Modéré |
| Sensibles | Santé, opinions politiques, appartenance syndicale | Article 9 RGPD (exceptions) | Élevé |
| Biométriques / génétiques | Empreinte digitale, ADN | Article 9 + mesures techniques renforcées | Très élevé |
Qualifier correctement la catégorie de chaque donnée traitée conditionne le niveau d'exigence réglementaire applicable à l'ensemble du programme de conformité.
Consulter un avocat spécialisé en protection des données
Cadre légal applicable : RGPD européen et Loi Informatique et Libertés
Deux textes structurent le droit de la protection des données en France. Le RGPD, entré en application le 25 mai 2018, s'impose directement dans les 27 États membres de l'UE. Il fixe les principes généraux : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité.
La Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modifiée par la loi du 20 juin 2018) complète le RGPD sur plusieurs points spécifiques au droit français : âge du consentement des mineurs fixé à 15 ans, régime des traitements de données pénales, pouvoirs et procédures de la CNIL, dispositions relatives à la recherche en santé.
En pratique, la direction juridique doit articuler ces 2 textes avec les lignes directrices du Comité européen de la protection des données (CEPD) et les recommandations de la CNIL. Par exemple, la délibération CNIL n° 2019-160 du 14 novembre 2019 précise les modalités de recueil du consentement pour les cookies et traceurs, en complément de l'article 82 de la Loi Informatique et Libertés.
Cas concrets : adresses IP, cookies, données salariés, données de connexion
La qualification de donnée personnelle se joue souvent sur des cas limites. Voici les situations les plus fréquentes en entreprise.
Adresse IP. La CJUE (arrêt Breyer, 19 octobre 2016, C-582/14) a jugé qu'une adresse IP dynamique constitue une donnée personnelle lorsque le responsable de traitement dispose de moyens légaux pour identifier l'utilisateur via le fournisseur d'accès. En pratique, toute collecte d'adresses IP sur un site web d'entreprise relève du RGPD.
Cookies et traceurs. Un cookie déposé sur le terminal d'un utilisateur est une donnée personnelle dès lors qu'il permet, seul ou par recoupement, d'identifier un individu. La CNIL a sanctionné Google LLC à hauteur de 150 millions d'euros en décembre 2021 pour non-respect des règles de consentement aux cookies.
Données salariés. Matricule, bulletin de paie, évaluation annuelle, arrêt maladie : toutes ces informations sont des données personnelles. Certaines (arrêt maladie) relèvent de la catégorie sensible (données de santé).
Données de connexion. Logs de connexion au réseau d'entreprise, horodatage des accès aux applications : ces données identifient indirectement un salarié et entrent dans le champ du RGPD. Leur conservation est encadrée par la recommandation CNIL sur la gestion des logs (durée maximale de 6 mois en règle générale).
Identifier précisément quelles données relèvent du RGPD dans chaque flux opérationnel est un prérequis pour construire un registre des traitements fiable.
Faire appel à un avocat en protection des données
Obligations de l'entreprise qui traite des données personnelles
Toute entreprise qui collecte ou traite des données personnelles doit respecter un socle d'obligations cumulatives.
Registre des traitements (article 30 RGPD). Chaque traitement doit être documenté : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité. Ce registre est le document de référence en cas de contrôle CNIL.
Base légale. Chaque traitement doit reposer sur l'une des 6 bases légales de l'article 6. Le choix de la base légale conditionne les droits des personnes concernées (droit d'opposition, droit à la portabilité, etc.).
Information des personnes. Les articles 13 et 14 du RGPD imposent une information claire, complète et accessible au moment de la collecte.
Analyse d'impact (AIPD). Obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (article 35). La CNIL a publié une liste de 14 types de traitements soumis à AIPD obligatoire.
Contrat de sous-traitance (DPA). Tout recours à un sous-traitant (hébergeur cloud, prestataire paie, outil SaaS) impose la signature d'un Data Processing Agreement conforme à l'article 28 du RGPD.
Transferts hors UE. Depuis l'invalidation du Privacy Shield par la CJUE (arrêt Schrems II, 16 juillet 2020), les transferts vers les États-Unis nécessitent des clauses contractuelles types (CCT) ou le recours au nouveau cadre EU-US Data Privacy Framework adopté le 10 juillet 2023.
Risques et sanctions CNIL en cas de qualification erronée
Une erreur de qualification — considérer qu'une donnée n'est pas personnelle alors qu'elle l'est — expose l'entreprise à 3 niveaux de risque.
Sanctions administratives. La CNIL peut prononcer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 83 RGPD). En 2023, la CNIL a prononcé 42 sanctions pour un montant cumulé de plus de 89 millions d'euros.
Risque contentieux. Les personnes concernées peuvent exercer un recours individuel ou collectif (action de groupe, article 80 RGPD). Les associations de défense des droits numériques (La Quadrature du Net, NOYB) multiplient les plaintes collectives.
Risque réputationnel. La CNIL publie systématiquement les sanctions sur son site. Une mise en demeure publique ou une sanction nommée affecte directement la confiance des clients, partenaires et investisseurs.
La qualification juridique de chaque donnée traitée constitue le socle de tout programme de conformité RGPD. Une erreur à ce stade se propage à l'ensemble du dispositif.
Structurer votre conformité avec un avocat en protection des données
Quand mobiliser un avocat spécialisé en protection des données
Certaines situations justifient l'intervention d'un avocat spécialisé en protection des données, au-delà du DPO interne ou externe.
Qualification incertaine. Lorsqu'un flux de données mêle informations personnelles et données d'entreprise (CRM contenant des données de contacts B2B nominatifs), l'analyse juridique requiert une expertise croisée droit des données / droit commercial.
Transferts internationaux. La mise en place de CCT ou l'évaluation du niveau de protection d'un pays tiers (Transfer Impact Assessment) nécessite une analyse juridique pays par pays.
Contrôle CNIL. En cas de contrôle sur place ou sur pièces, l'entreprise dispose de délais courts pour répondre. Un avocat coordonne la réponse, protège le secret professionnel et limite l'exposition.
Violation de données. L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte d'une violation. L'avocat qualifie la gravité, rédige la notification et gère la communication aux personnes concernées (article 34).
Négociation de DPA complexes. Les contrats avec des fournisseurs cloud américains ou asiatiques comportent des clauses de responsabilité, d'audit et de localisation des données qui nécessitent une négociation juridique spécialisée.
FAQ
Qu'est-ce qu'une donnée personnelle au sens du RGPD ?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, photo) ou indirectement (adresse IP, matricule salarié). Cette définition figure à l'article 4, paragraphe 1, du RGPD.
Une adresse e-mail professionnelle est-elle une donnée personnelle ?
Oui, dès lors qu'elle contient le nom ou le prénom du salarié (prenom.nom@entreprise.fr). Elle permet d'identifier directement une personne physique et relève donc du RGPD. Une adresse générique (contact@entreprise.fr) n'est pas une donnée personnelle.
Quelle différence entre donnée sensible et donnée personnelle courante ?
Toute donnée sensible est une donnée personnelle, mais l'inverse n'est pas vrai. Les données sensibles (santé, opinions politiques, biométrie) sont listées à l'article 9 du RGPD et soumises à une interdiction de traitement par principe, sauf exceptions limitatives.
Quel est le montant maximal d'une sanction CNIL ?
Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé, le montant le plus élevé étant retenu. En 2023, la CNIL a prononcé 42 sanctions pour un total cumulé supérieur à 89 millions d'euros.
Quand faut-il réaliser une analyse d'impact (AIPD) ?
L'AIPD est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD, incluant notamment la vidéosurveillance à grande échelle et le profilage automatisé.
Pour aller plus loin
Donnée personnelle - définition - CNIL
RGPD : de quoi parle-t-on ? - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
