Saviez-vous qu’une simple adresse IP, un identifiant de cookie ou même la combinaison d’un code postal et d’une date de naissance peuvent constituer des données personnelles au sens du RGPD ? La qualification d’une information en donnée personnelle est le point de départ de toute obligation de conformité. Si vous traitez des données personnelles, le RGPD s’applique — et avec lui, tout un régime d’obligations. Si vous n’en traitez pas, le règlement ne vous concerne pas. C’est aussi simple que cela.

Ce que dit le RGPD : la définition légale

L’article 4(1) du RGPD définit la donnée à caractère personnel comme :

« Toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Trois éléments sont essentiels dans cette définition.

« Toute information » — le RGPD ne se limite pas aux données écrites. Une photo, un enregistrement vocal, une empreinte digitale, un tracé GPS : tout format est concerné.

« Se rapportant à » — l’information doit concerner une personne physique. Les données relatives à des personnes morales (sociétés, associations) ne sont pas des données personnelles au sens du RGPD. En revanche, les coordonnées professionnelles d’un salarié (nom, email professionnel, ligne directe) sont bien des données personnelles — elles se rapportent à une personne physique identifiable.

« Identifiée ou identifiable » — c’est ici que réside toute la subtilité. L’identification peut être directe (le nom suffit) ou indirecte (par recoupement de plusieurs informations). Le considérant 26 du RGPD précise qu’il faut tenir compte de « l’ensemble des moyens raisonnablement susceptibles d’être utilisés » pour identifier la personne, que ce soit par le responsable de traitement lui-même ou par un tiers.

Exemples concrets de données personnelles

Données directement identifiantes

Ce sont les informations qui permettent d’identifier une personne sans recoupement :

• Nom et prénom — l’exemple le plus évident
• Photographie du visage — y compris une image de vidéosurveillance
• Données biométriques — empreinte digitale, reconnaissance faciale, réseau veineux de la main
• Numéro de sécurité sociale (NIR) — unique à chaque personne en France
• Adresse email nominative — prenom.nom@entreprise.fr

Données indirectement identifiantes

Ces informations ne suffisent pas isolément, mais permettent l’identification par recoupement ou par accès à des informations complémentaires :

• Adresse IP — la CJUE a tranché dans l’arrêt Breyer (C-582/14, 19 octobre 2016) : même une adresse IP dynamique est une donnée personnelle dès lors que le responsable de traitement dispose de moyens légaux pour identifier la personne via le fournisseur d’accès
• Identifiants de cookies et traceurs publicitaires — ils permettent de suivre un utilisateur et de construire un profil
• Numéro de client ou d’employé — personnel par référence à une table de correspondance
• Données de géolocalisation — les déplacements d’un smartphone permettent souvent d’identifier son propriétaire
• Plaque d’immatriculation — rattachable à un propriétaire via le fichier des cartes grises

Les cas limites : le recoupement

Un des aspects les plus mal compris est l’identification par recoupement. Pris isolément, un code postal, une tranche d’âge ou un sexe ne sont pas des données personnelles. Mais leur combinaison peut le devenir. Des études ont montré qu’aux États-Unis, la combinaison code postal + date de naissance + sexe permet d’identifier de manière unique 87 % de la population.

En pratique, si votre base de données contient suffisamment d’attributs pour qu’un individu puisse être distingué des autres, vous traitez des données personnelles — même si aucun nom n’y figure.

Données personnelles vs données sensibles

Il est important de ne pas confondre données personnelles et données sensibles. Toutes les données sensibles sont des données personnelles, mais l’inverse n’est pas vrai.

Les données sensibles bénéficient d’une protection renforcée sous l’article 9 du RGPD. Elles couvrent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques et biométriques (lorsqu’elles servent à identifier une personne de manière unique), les données de santé et les données relatives à la vie sexuelle ou l’orientation sexuelle.

Le traitement de données sensibles est en principe interdit, sauf exceptions limitativement prévues à l’article 9(2) du RGPD — notamment le consentement explicite ou la nécessité pour des motifs d’intérêt public.

Quand une donnée n’est plus personnelle : anonymisation et pseudonymisation

L’anonymisation

Une donnée anonymisée n’est plus une donnée personnelle. L’anonymisation implique que l’identification soit devenue irréversible — il ne doit exister aucun moyen raisonnable de ré-identifier la personne. La CNIL et le CEPD (Comité européen de la protection des données) exigent que l’anonymisation résiste à trois critères : l’individualisation (isoler un individu), la corrélation (relier des enregistrements) et l’inférence (déduire des informations sur un individu).

En pratique, atteindre une véritable anonymisation est beaucoup plus difficile qu’il n’y paraît. Supprimer les noms et prénoms d’une base ne suffit pas si d’autres attributs permettent la ré-identification. Pour approfondir ce sujet, consultez notre guide sur l’anonymisation des données.

La pseudonymisation

La pseudonymisation consiste à remplacer les identifiants directs par un code (pseudonyme), tout en conservant une table de correspondance séparée. Contrairement à l’anonymisation, les données pseudonymisées restent des données personnelles au sens du RGPD (considérant 26 et article 4(5)). La pseudonymisation est toutefois encouragée par le RGPD comme mesure de sécurité (Art. 32(1)(a)) et peut constituer un facteur atténuant en cas de violation de données.

Pourquoi la qualification en donnée personnelle est décisive

Qualifier correctement vos données est la première étape de toute démarche de conformité. Si vous traitez des données personnelles, le RGPD vous impose de :

• Disposer d’une base légale pour chaque traitement (Art. 6(1)) — consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public ou intérêt légitime
• Tenir un registre des traitements (Art. 30) — document obligatoire pour toute organisation employant plus de 250 personnes, ou pour les traitements non occasionnels. En pratique, la CNIL le recommande à toutes les structures. Notre guide sur le registre RGPD détaille la marche à suivre
• Informer les personnes concernées de la collecte et de l’utilisation de leurs données (Art. 13 et 14)
• Garantir les droits des personnes — accès, rectification, effacement, portabilité, opposition
• Sécuriser les données par des mesures techniques et organisationnelles appropriées (Art. 32)
• Réaliser une analyse d’impact (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les personnes (Art. 35)

Le non-respect de ces obligations expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En 2025, la CNIL a prononcé plus de 50 millions d’euros de sanctions, dont plusieurs concernaient directement une qualification incorrecte des données traitées.

Méthodologie : comment identifier les données personnelles dans votre organisation

Dans mon expérience de conseil auprès d’entreprises de toutes tailles, la cartographie des données personnelles est souvent le point de départ le plus efficace. Voici une approche en quatre étapes :

1. Inventorier les flux de données — listez tous les points de collecte : formulaires web, CRM, RH, comptabilité, vidéosurveillance, badges d’accès, etc.

2. Qualifier chaque donnée — pour chaque champ collecté, posez la question : cette information, seule ou combinée à d’autres, permet-elle d’identifier une personne physique ? Si oui, c’est une donnée personnelle.

3. Vérifier les zones grises — portez une attention particulière aux données techniques (logs serveur, adresses IP, identifiants de session), aux données enrichies par des tiers et aux bases de données « anonymisées » qui pourraient ne pas l’être réellement.

4. Documenter dans votre registre — inscrivez chaque catégorie de données personnelles identifiée dans votre registre des traitements, en précisant la finalité, la base légale, la durée de conservation et les destinataires.

Si vous êtes DPO ou responsable conformité dans une PME, cette cartographie est le socle sur lequel repose toute votre démarche de mise en conformité.

Ce qu’il faut retenir

• Une donnée personnelle est toute information permettant d’identifier, directement ou indirectement, une personne physique — la définition de l’article 4(1) du RGPD est volontairement large.
• L’identification indirecte compte autant que l’identification directe — adresses IP, cookies, géolocalisation et combinaisons de données apparemment anodines peuvent constituer des données personnelles.
• La pseudonymisation ne fait pas sortir les données du champ du RGPD — seule l’anonymisation irréversible y parvient, et elle est bien plus difficile à atteindre qu’on ne le pense.
• La qualification correcte des données est le préalable à toute conformité — base légale, registre, information des personnes, sécurité : tout en découle.
• En cas de doute, considérez la donnée comme personnelle — c’est la position constante de la CNIL et du CEPD, et c’est l’approche la plus prudente.

FAQ

Une adresse email professionnelle est-elle une donnée personnelle ?

Oui. Une adresse du type prenom.nom@entreprise.fr est une donnée personnelle car elle permet d’identifier directement une personne physique. Même une adresse générique (contact@entreprise.fr) pourrait le devenir si elle est associée à d’autres informations permettant d’identifier son utilisateur.

Les données d’une personne décédée sont-elles des données personnelles ?

Le RGPD ne s’applique pas aux données des personnes décédées (considérant 27). Toutefois, le droit français (loi Informatique et Libertés, art. 85) prévoit un régime spécifique permettant aux héritiers d’exercer certains droits sur les données du défunt, notamment le droit d’accès et le droit à l’effacement.

Un numéro de SIRET est-il une donnée personnelle ?

Le numéro de SIRET identifie un établissement, pas une personne physique. Il n’est donc pas en soi une donnée personnelle. En revanche, pour les entreprises individuelles (auto-entrepreneurs, professions libérales), le SIRET est directement rattaché à une personne physique et peut alors constituer une donnée personnelle.

Comment savoir si mes données sont vraiment anonymisées ?

Appliquez les trois critères du CEPD : peut-on encore individualiser une personne dans le jeu de données ? Peut-on corréler deux enregistrements pour les attribuer à la même personne ? Peut-on inférer des informations nouvelles sur une personne ? Si la réponse est oui à l’une de ces questions, vos données ne sont pas anonymisées — elles sont au mieux pseudonymisées et restent soumises au RGPD.