Donnée personnelle : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La donnée personnelle, formellement dénommée « donnée à caractère personnel » dans la terminologie du droit européen, désigne toute information se rapportant à une personne physique identifiée ou identifiable.

La donnée personnelle, formellement dénommée « donnée à caractère personnel » dans la terminologie du droit européen, désigne toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition centrale du droit de la protection des données est posée à l'article 4 paragraphe 1 du Règlement (UE) 2016/679 (RGPD) et conditionne l'application de l'ensemble du dispositif RGPD : un traitement qui ne porte pas sur des données personnelles échappe entièrement à la régulation européenne.

Le critère d'identifiabilité est volontairement large. Une personne est considérée comme identifiable lorsqu'elle peut être distinguée d'autres personnes, directement ou indirectement, par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Cette élasticité du périmètre conduit à inclure dans le champ du RGPD des informations qui pourraient sembler anodines isolément (adresse IP, cookie de suivi, identifiant de navigation) mais qui, recoupées avec d'autres données, permettent d'individualiser une personne.

Le RGPD ne s'applique pas aux données concernant les personnes morales (entreprises, associations, administrations) ni aux données concernant des personnes décédées. La loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ouvre toutefois certaines protections post-mortem permettant à toute personne de définir des directives sur le sort de ses données après son décès (article 85 de la loi).

Vous traitez des données personnelles dans votre activité ? Le Cabinet Aurore Bonavia accompagne les responsables de traitement et les sous-traitants dans l'identification de leurs flux de données et la mise en conformité avec le RGPD. → Voir l'accompagnement en droit du numérique

Le périmètre des informations qualifiées de données personnelles

Le considérant 26 du RGPD précise que pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable de traitement ou par toute autre personne pour identifier la personne directement ou indirectement. Cette appréciation tient compte des coûts, du temps nécessaire à l'identification et de l'état de la technique au moment du traitement.

Sont qualifiées de données personnelles, à titre d'illustration non limitative :

  • les données d'identification directe : nom, prénom, date et lieu de naissance, adresse postale, photographie, numéro de sécurité sociale, numéro de téléphone, adresse électronique nominative ;
  • les identifiants en ligne : adresse IP, identifiants de cookies, identifiants publicitaires de smartphones (IDFA, GAID), empreintes numériques de navigateur, identifiants de comptes sur les plateformes ;
  • les données économiques : revenus, comptes bancaires, transactions, identifiants fiscaux, références cadastrales associées à un occupant identifiable ;
  • les données comportementales : historique de navigation, géolocalisation, habitudes de consommation, choix de loisirs ou de transports ;
  • les données techniques combinables : modèle de terminal, version de système d'exploitation, langue paramétrée, fuseau horaire, lorsque leur recoupement permet l'individualisation.

L'arrêt CJUE Breyer du 19 octobre 2016 (C-582/14) a confirmé que les adresses IP dynamiques constituent des données personnelles entre les mains d'un fournisseur de contenus en ligne dès lors qu'il dispose de moyens légaux d'obtenir auprès du fournisseur d'accès l'identification du visiteur.

Les données à caractère sensible et leur régime renforcé

L'article 9 paragraphe 1 du RGPD identifie une catégorie particulière de données dites sensibles, dont le traitement est par principe interdit, sauf exceptions limitativement énumérées :

  • les données qui révèlent l'origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l'appartenance syndicale ;
  • les données génétiques ;
  • les données biométriques aux fins d'identifier une personne physique de manière unique ;
  • les données concernant la santé ;
  • les données concernant la vie sexuelle ou l'orientation sexuelle.

L'article 9 paragraphe 2 du RGPD énumère dix exceptions au principe d'interdiction, parmi lesquelles le consentement explicite de la personne concernée, l'exécution d'obligations en matière de droit du travail, la sauvegarde des intérêts vitaux de la personne, le traitement par une fondation ou association à finalité politique, philosophique, religieuse ou syndicale, la manifestation publique des données par la personne concernée elle-même, l'exercice de la médecine préventive ou des soins, la santé publique ou la recherche scientifique.

Les données relatives aux condamnations pénales et aux infractions font l'objet d'un régime distinct posé à l'article 10 du RGPD. Leur traitement n'est autorisé que sous le contrôle de l'autorité publique ou lorsque le droit national le prévoit en assortissant ce traitement de garanties appropriées.

Les données pseudonymisées et anonymisées

L'article 4 paragraphe 5 du RGPD définit la pseudonymisation comme le traitement par lequel les données personnelles ne peuvent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires conservées séparément et soumises à des mesures techniques et organisationnelles. Les données pseudonymisées restent des données personnelles au sens du règlement et demeurent soumises à l'intégralité de ses obligations.

L'anonymisation se distingue radicalement de la pseudonymisation. Elle suppose une transformation irréversible des données qui empêche toute réidentification de la personne, même par le responsable de traitement. Le considérant 26 du RGPD précise que le règlement ne s'applique pas aux informations anonymes, c'est-à-dire celles ne se rapportant pas à une personne physique identifiée ou identifiable. Cette distinction conditionne la stratégie de réutilisation des données à des fins statistiques, scientifiques ou commerciales secondaires.

Le Comité européen de la protection des données (EDPB), reprenant l'avis 05/2014 du Groupe de l'article 29 (G29), retient trois critères cumulatifs pour qualifier une anonymisation : impossibilité d'individualiser un enregistrement, impossibilité de relier des données entre elles, impossibilité d'inférer de nouvelles informations sur une personne.

Spécificité juridique sur les exclusions du champ d'application

L'article 2 du Règlement (UE) 2016/679 délimite le champ d'application matériel du règlement et exclut expressément certains traitements :

« 2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué : a) Dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union ; b) Par les États membres dans le cadre d'activités qui relèvent du chapitre 2 du titre V du traité sur l'Union européenne ; c) Par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ; d) Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière. »

L'exception de l'activité strictement personnelle ou domestique mérite une attention particulière. Elle couvre par exemple la gestion d'un carnet d'adresses privé, la publication de photos familiales sur un cercle fermé ou la tenue d'un journal personnel. Dès lors que l'activité présente une dimension professionnelle, lucrative ou publique (compte ouvert sur un réseau social, blog public, plateforme de revente entre particuliers à titre habituel), l'exception ne joue plus et le RGPD redevient applicable.

La jurisprudence française a consacré la qualification de donnée personnelle pour les adresses IP dès l'arrêt Cass. 1ère civ. 3 novembre 2016 (n° 15-22.595). La Cour de cassation a retenu que les adresses IP, en ce qu'elles permettent l'identification indirecte d'une personne physique par recoupement avec les données du fournisseur d'accès, constituent des données personnelles soumises aux obligations de la loi Informatique et Libertés. Cette solution, antérieure à l'arrêt CJUE Breyer du 19 octobre 2016 mais convergente, a structuré l'application française du droit des données personnelles aux identifiants techniques en ligne.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de donnée personnelle

  • la cartographie des flux de données personnelles dans votre organisation et la qualification juridique de chaque catégorie ;
  • la distinction des données pseudonymisées et anonymisées et l'évaluation des garanties techniques associées ;
  • l'identification des traitements de données sensibles soumis aux exigences renforcées de l'article 9 du RGPD ;
  • la rédaction des mentions d'information adaptées à la nature des données collectées ;
  • la gestion des demandes d'exercice des droits formulées par les personnes concernées ;
  • les analyses d'impact (AIPD) requises pour les traitements de données sensibles ou à grande échelle ;
  • les notifications de violation impliquant des données sensibles ;
  • la défense face aux contrôles et procédures de sanction de la CNIL portant sur la qualification des données.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.1, art. 9, art. 10, considérant 26, Loi Informatique et Libertés n° 78-17 du 6 janvier 1978, EDPB Lignes directrices 1/2020, G29 avis 05/2014 sur l'anonymisation, jurisprudence CJUE 19 octobre 2016 (Breyer C-582/14), Cass. 1ère civ. 3 novembre 2016 (n° 15-22.595) sur la qualification des adresses IP. Fiche mise à jour le 4 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.