Cas client & Retours d'experience
Avocat en droit de la construction : comment choisir le bon expert
Données personnelles : définition et enjeux pour l'entreprise
Points clés de l'article
- Une donnée personnelle est toute information permettant d'identifier une personne physique, directement ou indirectement.
- Le RGPD distingue données directes (nom, email), indirectes (adresse IP, identifiant client) et données sensibles (santé, opinions politiques).
- Toute opération sur ces données constitue un traitement soumis à des obligations précises : base légale, information, sécurité, registre.
- Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
- Le directeur juridique doit cartographier les traitements et structurer la conformité pour limiter l'exposition de l'entreprise.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce qu'une donnée personnelle ?
Données personnelles directes et indirectes
Données sensibles et catégories particulières
Le traitement des données personnelles
Obligations de l'entreprise sous le RGPD
Risques et sanctions en cas de manquement
Chaque entreprise collecte, stocke et exploite des données personnelles au quotidien : fichiers clients, bulletins de paie, cookies de navigation, bases CRM. Pourtant, la notion même de donnée personnelle reste floue pour de nombreuses organisations. En 2024, la CNIL a reçu 16 433 plaintes, un record qui traduit la vigilance croissante des personnes concernées. Pour le directeur juridique, maîtriser la définition des données personnelles et les obligations qui en découlent est un prérequis pour sécuriser l'activité de l'entreprise face au RGPD.
Qu'est-ce qu'une donnée personnelle ?
Le RGPD (règlement général sur la protection des données, UE 2016/679) définit la donnée à caractère personnel à son article 4 : il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est « identifiable » dès lors qu'elle peut être reconnue, directement ou indirectement, par référence à un identifiant.
Concrètement, qu'est-ce qu'une donnée personnelle ? C'est un nom, un numéro de téléphone, une adresse email, mais aussi une adresse IP, un identifiant de cookie, une plaque d'immatriculation ou un enregistrement vocal. Le critère déterminant n'est pas la nature de l'information, mais sa capacité à rattacher l'information à un individu.
En revanche, les données anonymisées de manière irréversible ne sont pas des données personnelles. La pseudonymisation (remplacement du nom par un code) ne suffit pas : la donnée reste personnelle tant qu'un recoupement permet de ré-identifier la personne.
Données personnelles directes et indirectes
Le droit distingue deux modes d'identification, qui déterminent le périmètre des informations personnelles couvertes par le RGPD.
| Type | Mécanisme d'identification | Exemples concrets |
|---|---|---|
| Donnée directe | Identifie la personne sans recoupement | Nom, prénom, photo, numéro de sécurité sociale |
| Donnée indirecte | Identifie par croisement avec d'autres données | Adresse IP, identifiant client, données de géolocalisation, numéro de badge |
Cette distinction a une portée pratique directe. Un fichier contenant uniquement des identifiants internes semble anodin. Toutefois, dès qu'il peut être croisé avec un autre fichier contenant des noms, il constitue un traitement de données à caractère personnel. Le directeur juridique doit donc évaluer non seulement les données isolées, mais aussi les possibilités de recoupement au sein du système d'information.
La CJUE a confirmé cette approche large dans l'arrêt Breyer (C-582/14, 2016) : une adresse IP dynamique constitue une donnée personnelle lorsque le responsable de traitement dispose de moyens légaux raisonnables pour identifier l'internaute via le fournisseur d'accès.
Identifier précisément les données personnelles traitées par l'entreprise est la première étape d'une mise en conformité structurée.
Consultez un avocat spécialisé en protection des données
Données sensibles et catégories particulières
L'article 9 du RGPD interdit par principe le traitement de certaines catégories de données personnelles, qualifiées de « sensibles » en raison du risque accru d'atteinte aux droits fondamentaux :
- Origine raciale ou ethnique
- Opinions politiques, convictions religieuses ou philosophiques
- Appartenance syndicale
- Données de santé
- Données génétiques et biométriques (aux fins d'identification)
- Vie sexuelle ou orientation sexuelle
Des exceptions limitées autorisent leur traitement : consentement explicite, obligation légale en droit du travail, intérêt vital de la personne, ou motif d'intérêt public. En pratique, les entreprises traitent des données sensibles plus souvent qu'elles ne le pensent. Un arrêt maladie dans un logiciel RH, un badge biométrique à l'entrée des locaux ou un questionnaire de satisfaction mentionnant des convictions religieuses suffisent à déclencher le régime renforcé.
Par ailleurs, les données d'infraction pénale (article 10 du RGPD) font l'objet d'un régime distinct : seules les autorités publiques ou les personnes morales autorisées peuvent les traiter.
Le traitement des données personnelles
Le traitement des données personnelles désigne toute opération effectuée sur ces données : collecte, enregistrement, organisation, conservation, modification, consultation, communication, effacement ou destruction. Un simple stockage dans un tableur constitue un traitement au sens du RGPD.
Chaque traitement doit reposer sur l'une des 6 bases légales prévues à l'article 6 du règlement :
| Base légale | Cas d'usage fréquent |
|---|---|
| Consentement | Newsletter, cookies non essentiels |
| Exécution d'un contrat | Livraison d'une commande, gestion de la paie |
| Obligation légale | Déclarations fiscales, conservation des factures |
| Intérêt vital | Urgence médicale sur le lieu de travail |
| Mission d'intérêt public | Traitement par une administration |
| Intérêt légitime | Prospection B2B, vidéosurveillance des locaux |
Le choix de la base légale n'est pas interchangeable. Il doit être déterminé avant le lancement du traitement et documenté dans le registre des traitements. Un consentement recueilli a posteriori pour « régulariser » un traitement fondé initialement sur l'intérêt légitime expose l'entreprise à une requalification par la CNIL.
Structurer la base légale de chaque traitement réduit le risque de contestation et de sanction.
Faites appel à un avocat en protection des données
Obligations de l'entreprise sous le RGPD
Le RGPD impose au responsable de traitement un ensemble d'obligations cumulatives. Le directeur juridique doit s'assurer de leur mise en œuvre effective :
- Registre des traitements (article 30) : document obligatoire pour toute entreprise de plus de 250 salariés, et pour toute entreprise traitant des données sensibles ou de manière non occasionnelle.
- Information des personnes (articles 13 et 14) : mentions d'information claires sur la finalité, la durée de conservation, les droits exercables et l'identité du responsable.
- Analyse d'impact (DPIA, article 35) : obligatoire lorsque le traitement présente un risque élevé (profilage, vidéosurveillance à grande échelle, données sensibles).
- Désignation d'un DPO : obligatoire pour les organismes publics, les entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou un traitement de données sensibles à grande échelle.
- Notification de violation (article 33) : toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures lorsqu'elle présente un risque pour les droits des personnes.
- Sécurité (article 32) : mesures techniques et organisationnelles adaptées au niveau de risque (chiffrement, contrôle d'accès, pseudonymisation).
Risques et sanctions en cas de manquement
Les sanctions prévues par le RGPD sont graduées mais dissuasives. L'article 83 prévoit 2 paliers :
- Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les manquements aux obligations du responsable (registre, DPO, sécurité).
- Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux (base légale, droits des personnes, transferts hors UE).
En France, la CNIL a prononcé des amendes significatives : 150 millions d'euros contre une plateforme technologique en 2022, 40 millions d'euros contre un acteur publicitaire en 2023. Les PME ne sont pas épargnées : en 2023, plusieurs entreprises de moins de 500 salariés ont été sanctionnées pour des manquements à la sécurité ou à l'information des personnes.
Au-delà des amendes, les conséquences incluent :
- Mise en demeure publique : atteinte réputationnelle immédiate
- Injonction de cesser le traitement : paralysie opérationnelle
- Actions de groupe : depuis la loi du 18 novembre 2016, les associations peuvent agir en réparation au nom des personnes concernées
- Contentieux contractuels : les clauses data mal rédigées dans les contrats fournisseurs génèrent des litiges entre co-contractants
Anticiper les risques RGPD passe par un audit régulier des traitements et des contrats associés.
Identifiez un avocat spécialisé en protection des données
FAQ
Une adresse email professionnelle est-elle une donnée personnelle ?
Oui. Une adresse du type prenom.nom@entreprise.fr permet d'identifier directement une personne physique. Elle constitue une donnée à caractère personnel soumise au RGPD, y compris dans un contexte B2B.
Quelle différence entre anonymisation et pseudonymisation ?
L'anonymisation rend l'identification irréversible : la donnée sort du champ du RGPD. La pseudonymisation remplace l'identifiant par un code, mais la ré-identification reste possible avec la clé de correspondance. La donnée pseudonymisée reste une donnée personnelle.
Le RGPD s'applique-t-il aux données des salariés ?
Oui. Les fichiers RH (paie, évaluations, arrêts maladie) constituent des traitements de données personnelles. L'entreprise doit informer les salariés, tenir un registre et respecter des durées de conservation précises.
Faut-il désigner un DPO dans toutes les entreprises ?
Non. La désignation est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi systématique à grande échelle ou un traitement de données sensibles à grande échelle. Pour les autres, elle reste recommandée par la CNIL.
Que faire en cas de violation de données ?
Le responsable de traitement doit documenter l'incident, évaluer le risque pour les personnes concernées et notifier la CNIL dans les 72 heures si le risque est avéré. Lorsque le risque est élevé, les personnes concernées doivent également être informées directement.
Pour aller plus loin
RGPD : de quoi parle-t-on ? - CNIL
Le règlement général sur la protection des données (RGPD), mode d'emploi - economie.gouv.fr
Obligations en matière de protection des données personnelles - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
