Guides & Ressources pratiques
Convocation disciplinaire pendant un arrêt maladie : modèle de lettre et mode d'emploi
Données personnelles et RGPD : définition, exemples et obligations pour l'entreprise
Points clés de l'article
- Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
- L'identification indirecte (croisement de données, adresse IP, identifiant technique) suffit à déclencher l'application du RGPD.
- Les données sensibles (santé, opinions politiques, biométrie…) relèvent d'un régime d'interdiction de principe avec exceptions limitées (article 9).
- Une donnée véritablement anonymisée, de manière irréversible, sort du périmètre du RGPD ; une donnée pseudonymisée y reste soumise.
- Dès qu'un traitement porte sur une donnée personnelle, l'entreprise doit tenir un registre, définir une base légale, informer les personnes et garantir leurs droits.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Donnée personnelle : définition légale (article 4 RGPD)
Identification directe et indirecte : le critère clé
Exemples concrets de données personnelles
Données sensibles : la catégorie particulière de l'article 9
Ce qui n'est pas une donnée personnelle : cas limites
Les obligations RGPD dès qu'une donnée personnelle est traitée
Comment qualifier un traitement en pratique
FAQ : questions fréquentes sur les données personnelles RGPD
Donnée personnelle : définition légale (article 4 RGPD)
Le règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, pose une définition large à son article 4, paragraphe 1. Est qualifiée de donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte précise qu'une personne est identifiable dès lors qu'elle peut être reconnue, directement ou indirectement, par référence à un identifiant : nom, numéro d'identification, données de localisation, identifiant en ligne, ou tout élément propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Cette définition est volontairement extensive. La CNIL le rappelle dans ses lignes directrices : le périmètre ne se limite pas aux données évidentes comme le nom ou l'adresse. Il englobe toute information qui, seule ou combinée à d'autres, permet de remonter à un individu. Pour une direction juridique, la conséquence est directe : le champ des traitements soumis au RGPD est bien plus large que ce que les équipes opérationnelles imaginent spontanément.
En France, la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 20 juin 2018, transpose et complète ce cadre. Les 2 textes s'appliquent simultanément. Toute entreprise établie en France ou traitant des données de personnes situées sur le territoire français est concernée.
Identification directe et indirecte : le critère clé
Le RGPD distingue 2 modes d'identification. L'identification directe repose sur un élément qui désigne la personne sans ambiguïté : nom, prénom, photographie du visage, numéro de sécurité sociale. L'identification indirecte procède par recoupement : une combinaison de données apparemment anodines (poste occupé, entreprise, ville) peut suffire à isoler un individu au sein d'un groupe.
La Cour de justice de l'Union européenne (CJUE) a confirmé cette lecture dans l'arrêt Breyer c/ Allemagne (C-582/14, 19 octobre 2016). Elle a jugé qu'une adresse IP dynamique constitue une donnée personnelle lorsque le responsable de traitement dispose de moyens légaux raisonnables pour obtenir l'identité de l'utilisateur auprès du fournisseur d'accès. Le critère retenu n'est donc pas la capacité technique immédiate, mais l'ensemble des moyens raisonnablement susceptibles d'être utilisés.
En pratique, cela signifie qu'un identifiant de cookie, un numéro de badge, un matricule interne ou une plaque d'immatriculation sont des données personnelles dès lors qu'un lien avec une personne physique reste possible, même via un tiers.
| Mode d'identification | Exemples | Donnée personnelle ? |
|---|---|---|
| Directe | Nom, prénom, photo, n° de sécurité sociale | Oui |
| Indirecte par recoupement | Poste + entreprise + ville | Oui, si la combinaison isole un individu |
| Indirecte par identifiant technique | Adresse IP, cookie ID, IMEI | Oui, selon l'arrêt Breyer (CJUE, 2016) |
| Anonymisation irréversible | Statistique agrégée sans possibilité de ré-identification | Non |
Exemples concrets de données personnelles
Pour une direction juridique, la qualification passe par un inventaire précis des flux de données au sein de l'entreprise. Voici les catégories les plus fréquentes rencontrées en contexte professionnel :
- Données d'identité : nom, prénom, date de naissance, nationalité, numéro de pièce d'identité.
- Données de contact : adresse postale, adresse e-mail professionnelle ou personnelle, numéro de téléphone.
- Données RH : bulletin de paie, évaluation annuelle, arrêt maladie, relevé d'heures, CV.
- Données clients / prospects : historique d'achats, réclamations, scoring commercial, coordonnées bancaires (IBAN).
- Données techniques : adresse IP, logs de connexion, identifiant de session, géolocalisation du véhicule de fonction.
- Données de vidéosurveillance : images captées par les caméras installées dans les locaux de l'entreprise.
Chacune de ces catégories déclenche l'application du RGPD dès lors qu'elle se rapporte à une personne physique identifiée ou identifiable. Un fichier Excel contenant des noms de contacts commerciaux constitue un traitement de données personnelles, au même titre qu'une base CRM de 500 000 enregistrements.
Un inventaire rigoureux des données traitées est le point de départ de toute mise en conformité RGPD.
Consultez des avocats spécialisés en protection des données
Données sensibles : la catégorie particulière de l'article 9
L'article 9 du RGPD identifie des catégories de données dont le traitement est interdit par principe, en raison du risque élevé d'atteinte aux droits fondamentaux. Ces données sensibles comprennent :
- L'origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques
- L'appartenance syndicale
- Les données génétiques et biométriques (lorsqu'elles servent à identifier une personne)
- Les données de santé
- Les données relatives à la vie sexuelle ou à l'orientation sexuelle
Le traitement de ces données n'est autorisé que dans des cas limitativement énumérés : consentement explicite, obligation en droit du travail ou de la protection sociale, sauvegarde des intérêts vitaux, ou encore motif d'intérêt public dans le domaine de la santé publique.
En entreprise, les situations les plus courantes concernent les données de santé (médecine du travail, arrêts maladie, déclarations d'accident) et l'appartenance syndicale (gestion des heures de délégation). La CNIL a prononcé en 2023 une amende de 380 000 € à l'encontre d'une société pour traitement illicite de données de santé de salariés, rappelant que le simple stockage non sécurisé de ces informations constitue une infraction.
| Catégorie article 9 | Exemple en entreprise | Base légale fréquente |
|---|---|---|
| Données de santé | Arrêt maladie, aptitude médicale | Obligation légale (Code du travail) |
| Appartenance syndicale | Heures de délégation | Obligation légale |
| Données biométriques | Contrôle d'accès par empreinte digitale | Consentement explicite ou intérêt public |
| Opinions politiques | Fichier de sympathisants (hors entreprise classique) | Consentement explicite |
Ce qui n'est pas une donnée personnelle : cas limites
Toute donnée n'entre pas dans le périmètre du RGPD. 3 situations méritent une attention particulière.
Les données anonymisées. Une donnée est anonyme lorsque l'identification de la personne est devenue irréversible, y compris par croisement avec d'autres sources. Le groupe de travail Article 29 (devenu le Comité européen de la protection des données, CEPD) a précisé en 2014 que l'anonymisation suppose de résister à 3 risques : l'individualisation, la corrélation et l'inférence. En pratique, peu de jeux de données atteignent ce seuil. La pseudonymisation (remplacement du nom par un code, avec table de correspondance conservée) ne constitue pas une anonymisation : les données pseudonymisées restent des données personnelles RGPD.
Les données relatives aux personnes morales. Le RGPD protège les personnes physiques. L'adresse du siège social, le numéro SIREN ou le chiffre d'affaires d'une société ne sont pas des données personnelles. En revanche, l'adresse e-mail nominative d'un dirigeant (prenom.nom@entreprise.fr) en est une, car elle identifie directement une personne physique.
Les données véritablement agrégées. Un taux de turnover par département, un panier moyen par région ou un nombre de connexions par jour, sans possibilité de remonter à un individu, sortent du champ du RGPD.
La frontière entre donnée anonymisée et donnée pseudonymisée est un point de vigilance récurrent pour les directions juridiques.
Faites qualifier vos traitements par un avocat en protection des données
Les obligations RGPD dès qu'une donnée personnelle est traitée
Dès qu'une entreprise collecte, stocke, modifie, consulte ou transmet une donnée personnelle, elle effectue un « traitement » au sens de l'article 4(2) du RGPD. Ce traitement déclenche un ensemble d'obligations cumulatives.
Tenir un registre des traitements (article 30). Toute entreprise de plus de 250 salariés y est tenue. En dessous de ce seuil, l'obligation s'applique dès que le traitement est régulier ou porte sur des données sensibles. En pratique, la CNIL recommande à toutes les entreprises de tenir ce registre.
Définir une base légale (article 6). Chaque traitement doit reposer sur l'une des 6 bases prévues : consentement, exécution d'un contrat, obligation légale, intérêt vital, mission d'intérêt public ou intérêt légitime. Le choix de la base conditionne les droits des personnes et les modalités d'information.
Informer les personnes concernées (articles 13 et 14). L'entreprise doit communiquer, de manière claire et accessible, l'identité du responsable de traitement, la finalité, la base légale, la durée de conservation et les droits exercables.
Garantir les droits des personnes : accès, rectification, effacement, portabilité, opposition, limitation. Le délai de réponse est fixé à 1 mois, prolongeable de 2 mois en cas de complexité.
Sécuriser les données (article 32). Les mesures techniques et organisationnelles doivent être proportionnées au risque : chiffrement, contrôle d'accès, journalisation, plan de continuité.
Réaliser une analyse d'impact (AIPD, article 35) lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés. La CNIL a publié une liste de 14 types de traitements soumis à cette obligation.
Comment qualifier un traitement en pratique
La qualification d'un traitement de données personnelles suit une démarche en 4 étapes.
Cartographier les flux de données. Identifier toutes les données collectées, leur source, leur destination et les acteurs impliqués (responsable de traitement, sous-traitants, destinataires).
Vérifier le caractère personnel. Pour chaque donnée, se poser la question : cette information, seule ou combinée, permet-elle d'identifier directement ou indirectement une personne physique ? Si oui, le RGPD s'applique.
Classer les données par niveau de sensibilité. Distinguer les données courantes (identité, contact) des données sensibles (article 9) et des données à risque (données bancaires, géolocalisation continue, profilage).
Documenter la conformité. Inscrire le traitement au registre, rédiger la fiche de traitement (finalité, base légale, durée de conservation, mesures de sécurité), mettre à jour la politique de confidentialité et, le cas échéant, réaliser l'AIPD.
Cette démarche doit être renouvelée à chaque nouveau projet impliquant des données : lancement d'un outil SaaS, déploiement d'un CRM, mise en place de télésurveillance, ou recours à un prestataire extra-européen. Le principe de privacy by design (article 25) impose d'intégrer la protection des données dès la conception du traitement.
La qualification des traitements est un exercice structurant qui conditionne l'ensemble de la conformité RGPD.
Échangez avec un avocat spécialisé en protection des données
FAQ : questions fréquentes sur les données personnelles RGPD
Une adresse e-mail professionnelle est-elle une donnée personnelle ?
Oui. Une adresse au format prenom.nom@entreprise.fr identifie directement une personne physique. Elle constitue une donnée personnelle soumise au RGPD. Même une adresse générique (contact@entreprise.fr) peut le devenir si elle est associée à d'autres informations permettant d'identifier son utilisateur.
Quelle différence entre anonymisation et pseudonymisation ?
L'anonymisation rend l'identification irréversible : aucune donnée résiduelle ne permet de retrouver la personne, même par croisement. La pseudonymisation remplace l'identifiant par un code, mais conserve une table de correspondance. Les données pseudonymisées restent des données personnelles au sens du RGPD. Seules les données anonymisées en sortent.
Un numéro de téléphone professionnel est-il une donnée personnelle ?
Oui, dès lors qu'il est attribué à une personne identifiable. Un numéro de standard général, sans lien avec un individu, ne l'est pas. Le critère déterminant est la possibilité d'identifier la personne physique qui utilise ce numéro.
L'entreprise doit-elle nommer un DPO pour traiter des données personnelles ?
La désignation d'un délégué à la protection des données (DPO) est obligatoire dans 3 cas : organismes publics, traitements exigeant un suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles (article 37). En dehors de ces cas, la nomination reste recommandée par la CNIL, notamment pour les entreprises de plus de 250 salariés.
Quelles sanctions en cas de non-respect des obligations sur les données personnelles ?
Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En France, la CNIL a prononcé en 2024 des sanctions allant de 5 000 € pour des TPE à 32 millions d'euros pour des groupes internationaux. Au-delà de l'amende, la publication de la décision constitue un risque réputationnel significatif.
Pour aller plus loin
RGPD : de quoi parle-t-on ? - CNIL
Chapitre I - Dispositions générales (article 4 définitions) - CNIL
Le règlement général sur la protection des données (RGPD), mode d'emploi - Economie.gouv.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
