Qu’est-ce qu’une donnée à caractère personnel ?

Les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable. Différentes informations, dont le regroupement permet d’identifier une personne en particulier, constituent également des données à caractère personnel.

Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne constituent toujours des données à caractère personnel et sont couvertes par la législation.

Les données à caractère personnel rendues anonymes de telle manière que la personne ne soit pas ou plus identifiable ne constituent plus des données à caractère personnel. Pour qu’une donnée soit véritablement rendue anonyme, le processus d’anonymisation doit être irréversible.

La législation protège les données à caractère personnel indépendamment de la technologie utilisée pour le traitement de ces données – elle est «neutre sur le plan technologique» et s’applique au traitement automatisé et manuel, à condition que les données soient organisées selon certains critères (par exemple: ordre alphabétique). La législation protège également les données indépendamment de la méthode utilisée pour les conserver – dans un système informatique, au moyen de la surveillance vidéo, ou sur papier. Dans tous les cas, les données à caractère personnel sont soumises aux exigences en matière de protection énoncées dans le RGPD.

Exemples de données à caractère personnel :

  • un prénom et un nom;
  • une adresse personnelle;
  • une adresse e-mail telle que prénom.nom@entreprise.com;
  • un numéro de carte d’identité;
  • des données de localisation (par exemple: la fonction de localisation d’un téléphone portable)*;
  • une adresse de protocole internet (IP);
  • un cookie*;
  • l’identifiant publicitaire de votre téléphone;
  • des données détenues par un hôpital ou un médecin, qui permettraient d’identifier de manière unique une personne.

* Notez que, dans certains cas, une législation sectorielle spécifique s’applique et réglemente, par exemple, l’utilisation des données de localisation ou des cookies – la directive «vie privée et communications électroniques» (directive 2002/58/CE telle que modifiée par la directive 2009/136/CE et le règlement (CE) nº 2006/2004).

Exemples de données non considérées comme des données à caractère personnel :

  • le numéro d’enregistrement d’une société;
  • une adresse e-mail telle que info@société.com;
  • des données anonymisées.

 

Références
Articles 2, 4(1), 4(5); Considérants 14, 15, 26, 27, 29, 30
WP 01248/07/FR, WP 136 Avis 4/2007 sur le concept de données à caractère personnel
Groupe de travail «Article 29» Avis 05/2014 sur les techniques d’anonymisation


(source Commission européenne. M.à.j. 29-01-2018)