Donnée personnelle RGPD : définition, exemples et droits 2026

L’essentiel. Une donnée personnelle (ou “donnée à caractère personnel”) est toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est posée par l’article 4(1) du RGPD et conditionne l’application de toute la réglementation européenne de protection des données.

La définition de la donnée personnelle au sens du RGPD

Le RGPD pose la définition de référence à son article 4(1) :

“On entend par ‘données à caractère personnel’ toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée ‘personne concernée’) ; est réputée être une ‘personne physique identifiable’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.”

Cette définition couvre toute information se rapportant à une personne. Elle ne concerne ni les personnes morales, ni les personnes décédées (sauf dispositions spécifiques de la loi Informatique et Libertés française), ni les données entièrement anonymisées de manière irréversible. En revanche, elle s’applique très largement : nom, prénom, email, photo, numéro de téléphone, adresse IP, identifiant publicitaire, données de géolocalisation, données biométriques, et de nombreuses autres catégories analysées plus bas.

Identification directe et indirecte

La donnée peut identifier une personne directement (nom, photo identifiable) ou indirectement (numéro client, identifiant interne, croisement de données). Le critère central est la possibilité d’identification, prise en compte de l’ensemble des moyens raisonnablement à disposition du responsable ou d’un tiers (considérant 26 du RGPD).

La CJUE a précisé cette analyse dans l’arrêt Breyer (C-582/14, 19 octobre 2016) : une adresse IP dynamique peut constituer une donnée personnelle dès lors que le responsable de traitement dispose de moyens légaux de remonter à l’identité de la personne (par exemple en obtenant les informations d’un fournisseur d’accès dans le cadre d’une procédure judiciaire). Cette décision a établi le test d’identifiabilité “raisonnable” qui domine toute l’analyse aujourd’hui.

Qu’est-ce qu’une donnée personnelle (formulation simplifiée) ?

La manière la plus simple de le comprendre est la suivante : toute donnée permettant d’identifier directement ou indirectement une personne physique. La définition légale est un peu plus complexe et comporte certaines nuances (v. ci-dessous), mais l’essentiel tient dans ces quelques mots.

Cela signifie que mon carnet d’adresses personnel doit être déclaré à la CNIL ?

Non, la loi a prévu ce type d’exception. D’un point de vue juridique, le carnet d’adresses personnel contient effectivement des données personnelles mais la loi ne s’applique pas aux traitements « mis en œuvre pour l’exercice d’activités exclusivement personnelles ». C’est raisonnable, et d’un autre côté, est-ce que l’on peut vraiment imaginer dans une société démocratique que la loi impose à chaque citoyen de faire une déclaration CNIL avant d’envoyer un email, ou de passer un appel téléphonique ? Attention toutefois au carnet d’adresses d’entreprise devra faire l’objet d’un processus de mise en conformité.

En quoi est-il important de déterminer si une donnée est personnelle ? Quels sont les enjeux exactement ?

L’enjeu principal est de définir si la loi s’applique ou pas ; en fait, juridiquement les choses sont simples : si vous traitez des données personnelles la loi s’applique. Et si vous n’en traitez pas, la loi Informatique et Libertés ne s’applique pas.

L’enjeu est de déterminer si vous allez engager votre responsabilité au regard des données que vous collectez.

Toute la question est donc de savoir si allez engager votre responsabilité ou pas au regard des informations que vous collectez. On peut s’étonner d’ailleurs de la simplicité des stratégies que les organisations peuvent mettre en place pour « contourner » la loi Informatique et Libertés : vous souhaitez éviter un processus de mise en conformité ? Il suffit d’éviter les DCP (données à caractère personnelles) ! Même la loi l’encourage. Dans certaines situations cela peut être une stratégie très simple et opérationnelle à adopter (ex : dans le cas de traitements statistiques). Mais cela n’est pas toujours possible en pratique, car ces données constituent une part importante des richesses des organisations. On voit mal une entreprise constituer un fichier d’employés ou un fichier client, sans disposer des noms, prénoms, adresses, emails ou numéros de téléphone des personnes concernées… Cela n’aurait pas grand intérêt. Et a contrario, lorsqu’on traite ce type de données, la loi s’applique pleinement.

Pourriez-vous nous donner quelques exemples de données personnelles (DCP) ?

En fait il faut distinguer deux types : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne.  On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…),qui sont également directement personnelles.

Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance). Un des meilleurs exemples que l’on puisse prendre à mon sens est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions. Mais cette question peut être résolue très simplement en réalité. Et dès lors que vous traitez une de ces données, la loi s’applique pleinement et vous devrez mettre en œuvre un processus de mise en conformité.

Pourriez-vous nous donner quelques exemples des traitements que l’on rencontre fréquemment ?

Voici quelques exemples de traitements réalisés par la majorité des organisations :

1. Fichiers clients (entreprises) / usagers (administrations)
2. Fichiers fournisseurs
3. Annuaire interne
4. Contrôle d’accès (badgeuses)
5. Cantine
6. Fichiers de mauvais payeurs
7. Site Internet
8. Logs de serveurs

Il existe de très nombreux « traitements types » que l’on peut segmenter selon le type d’organisation (administration, entreprise, association, syndicat…) ou l’industrie (aéronautique, banque, télécoms…).

La jurisprudence s’est-elle prononcée sur cette notion ?

Oui, nous avons de nombreuses illustrations. En voici quelques unes, en matière pénale :

1. Constitue un traitement automatisé l’enregistrement sur l’autocommutateur téléphonique de numéros de téléphone appelés par chaque poste  ainsi que la durée et le coût des communications (Cass. crim., 23 mai 1991).
2. Le numéro de téléphone est une donnée personnelle (T. corr. Briey, 15 sept. 1992).
3. Un ordinateur connecté à aucun périphérique opérant des tests de personnalité sans mémorisation des réponses ne réalise pas un traitement de données personnelles (TGI Lille, 18 déc. 1996).
4. Constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques (Cass. Crim. 14 mars 2006).

J’ai un cas vraiment difficile à qualifier… Comment doit-on gérer cela ?

Cette situation est parfaitement normale. On peut dire schématiquement que la loi règle 80% des problèmes de manière explicite, les 20% restant devant faire l’objet d’une analyse juridique. Et globalement en pratique dans ces 20%, on a à peu près 1 à 2% de cas qui sont très complexes à gérer et nécessitent une réflexion approfondie. Voici un exemple d’un cas nécessitant une petite analyse juridique : est-ce que l’ajout d’un bouton « Like » de Facebook sur sa page web constitue un traitement de données personnelles ? Pour résoudre cette question, nous devons faire appel à la définition légale. Jusqu’à présent nous avons utilisé une définition simple de cette notion de données personnelles qui permet de comprendre la majorité des cas, mais la loi est plus complète ; elle précise que (art. 2, alinéa 2) :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

On l’observe, des nuances importantes sont introduites, en particulier sur la prise en compte des moyens à disposition permettant de procéder à l’identification des personnes physiques. Ce sont, la plupart du temps, ces nuances qu’il faudra analyser pour déterminer si oui ou non le traitement relève d’un traitement de données personnelles.

Catégories particulières de données : les “données sensibles”

Le RGPD distingue, parmi les données personnelles, une catégorie à haut risque appelée catégories particulières de données (article 9), couramment désignées sous le nom de “données sensibles”. Sept catégories sont visées :

1. L’origine raciale ou ethnique
2. Les opinions politiques
3. Les convictions religieuses ou philosophiques
4. L’appartenance syndicale
5. Les données génétiques
6. Les données biométriques aux fins d’identifier une personne de manière unique
7. Les données concernant la santé, la vie sexuelle ou l’orientation sexuelle

Le traitement de ces données est interdit par principe (Art. 9(1) RGPD), sauf à pouvoir invoquer l’une des dix exceptions limitativement énumérées à l’article 9(2) : consentement explicite, droit du travail et sécurité sociale, intérêts vitaux, fondation/association à but politique-religieux-syndical, manifestement rendues publiques par la personne, défense d’un droit en justice, motif d’intérêt public, médecine préventive, santé publique, recherche scientifique.

Les données d’infraction et de condamnation (article 10 RGPD) font l’objet d’un régime particulier en droit français : leur traitement est très strictement encadré, et certains traitements sont réservés à des autorités spécifiques.

Le traitement de données sensibles à grande échelle déclenche en principe l’obligation de réaliser une analyse d’impact (AIPD) au titre de l’article 35.

Pseudonymisation et anonymisation : la frontière du RGPD

La distinction entre pseudonymisation et anonymisation est l’une des plus importantes en pratique :

• Pseudonymisation (article 4(5)) : remplacer un identifiant direct par un identifiant de substitution (token, hash), tout en conservant la possibilité technique de remonter à l’identité originelle via une table de correspondance ou une clé. Les données pseudonymisées restent des données personnelles et le RGPD continue de s’appliquer pleinement. La pseudonymisation est en revanche une mesure de sécurité encouragée (art. 25, art. 32).

• Anonymisation : transformer les données de manière à rendre l’identification de la personne impossible par tout moyen raisonnablement susceptible d’être utilisé. Les données anonymisées ne sont plus des données personnelles au sens du RGPD, et sortent du champ d’application du règlement.

La frontière est plus floue qu’il n’y paraît. L’avis 05/2014 du G29 (devenu EDPB) sur les techniques d’anonymisation rappelle que la véritable anonymisation est techniquement difficile : il faut résister à trois types de risques — singularisation, corrélation, inférence. Une simple suppression du nom ne suffit pas à anonymiser une base de données : les combinaisons de quasi-identifiants (date de naissance, code postal, sexe) permettent souvent une ré-identification.

En pratique, présumez que les données restent personnelles sauf à pouvoir démontrer formellement (analyse de risque documentée, méthode k-anonymity, l-diversity, ou différentielle confidentialité) que l’anonymisation est effective.

Les enjeux opérationnels : appliquer le RGPD à toute donnée personnelle

L’enjeu de la qualification “donnée personnelle” est binaire : si oui, l’ensemble du RGPD s’applique, ce qui implique :

• Une base légale documentée (article 6) — consentement, exécution d’un contrat, obligation légale, intérêt légitime, etc.
• Une information transparente des personnes (articles 12 à 14)
• Le respect des principes de l’article 5 : licéité, finalité, minimisation, exactitude, limitation de la conservation, intégrité-confidentialité, accountability
• Le respect des droits des personnes (articles 15 à 22) : accès, rectification, effacement, opposition, portabilité, limitation
• L’obligation de tenir un registre des traitements (article 30)
• L’éventuelle obligation de notifier les violations sous 72h à la CNIL (article 33)
• L’éventuelle obligation de désigner un DPO (article 37)
• Les sanctions de l’article 83 : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial

FAQ : la qualification de “donnée personnelle”

Une adresse IP est-elle une donnée personnelle ?

Oui, dès lors que le responsable de traitement (ou un tiers ayant des moyens raisonnables d’identification) peut remonter à l’identité de la personne. La jurisprudence Breyer (CJUE C-582/14, 2016) a clarifié cette analyse pour les adresses IP dynamiques. En pratique, considérez toute adresse IP comme une donnée personnelle.

Une donnée professionnelle (email pro, téléphone pro) est-elle protégée ?

Oui. La donnée professionnelle nominative (prenom.nom@entreprise.com, ligne directe attribuée à une personne) reste une donnée personnelle. Seules les coordonnées génériques d’une personne morale (contact@entreprise.com, numéro de standard) ne sont pas couvertes.

Les données d’un mort sont-elles des données personnelles ?

Le RGPD ne s’applique pas aux personnes décédées (considérant 27). Toutefois, la loi française Informatique et Libertés permet à toute personne de définir des directives anticipées sur le sort de ses données après son décès, et les héritiers disposent de droits spécifiques (article 85 LIL).

Un identifiant chiffré ou hashé reste-t-il une donnée personnelle ?

Oui, dans la mesure où la table de correspondance permettant la ré-identification existe quelque part. C’est une pseudonymisation, pas une anonymisation. Le RGPD continue de s’appliquer aux données pseudonymisées.

Les données agrégées sont-elles toujours anonymisées ?

Non. Une agrégation simple (par exemple, par tranche d’âge ou par code postal) peut laisser des cellules trop petites permettant l’identification. Le test d’anonymisation doit être rigoureux : résistance à la singularisation, à la corrélation et à l’inférence. À défaut, les données restent personnelles.

Un site web peut-il traiter des données personnelles sans le savoir ?

Oui, et c’est très fréquent. Un simple formulaire de contact, un cookie publicitaire, un script Google Analytics, un pixel Facebook : autant de mécanismes qui collectent ou transmettent des données personnelles, déclenchant l’application complète du RGPD. La conformité d’un site web nécessite un examen technique aussi rigoureux que juridique.