Qu'est-ce qu'une donnée personnelle au sens du RGPD¹ ?

Une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est considérée comme identifiable si elle peut être reconnue :

• - Directement (par exemple par son nom, son prénom ou une photo).
• - Indirectement, en lien avec un identifiant (numéro client, adresse IP...) ou par le recoupement de plusieurs indices spécifiques (âge, profession, localisation, habitudes de navigation...).

Dès lors que ce lien d’identification est possible, même via un pseudonyme que vous pouvez « ré-identifier », le RGPD s’applique intégralement à votre traitement.

Exemples concrets de données personnelles

Le périmètre est souvent plus vaste qu’on ne l’imagine. Voici les catégories principales  :

• - Identité et contact : nom, prénom, email (pro ou perso), téléphone, adresse postale.
• - Vie numérique : adresse IP, identifiants publicitaires (IDFA/GAID), cookies, logs de connexion, empreinte navigateur.
• - Données contextuelles : géolocalisation, habitudes d’achat, données RH, situation familiale...

Une erreur fréquente est de croire que les données professionnelles (B2B) échappent au RGPD. Or, l’email « prenom.nom@entreprise.com » est bien une donnée personnelle, même si elle ouvre la voie à une petite différence.

B2B ou B2C : une nuance capitale

Si la définition de la donnée reste la même, les règles d’utilisation pour la prospection diffèrent en France (doctrine de la CNIL) :

• - En B2C (grand public), le principe est l’OPT-IN strict : vous devez obtenir un consentement libre, spécifique, éclairé et univoque avant toute sollicitation commerciale
• - En B2B (professionnels), la CNIL tolère l’OPT-OUT : vous pouvez prospecter sans consentement préalable et bénéficier d'une présomption d'intérêt, à deux conditions strictes :
  • → La personne doit être informée (au moment de la collecte ou au premier message) et pouvoir s’opposer simplement (lien unsubscribe ou autre procédure simple et efficace).
  • → L’objet de la sollicitation doit être en rapport clair et direct avec son activité professionnelle : si vous vendez des ustensiles de cuisine, vous pouvez démarcher des restaurateurs, mais en aucun cas des avocats, des plombiers ou des personnels d'hôpital quand bien même ils font certainement aussi la cuisine chez eux !

Obligations de sécurité et d’hébergement

Qualifier une donnée de « personnelle » déclenche l’obligation de la protéger (Article 32). Vous devez mettre en œuvre des mesures techniques (chiffrement, pseudonymisation) et organisationnelles (gestion des accès) adaptées au niveau de risque.

Concernant l’hébergement et les transferts hors Union Européenne (par exemple vers des outils SaaS hébergés aux Etats-Unis) :

• - Contrairement à ce que l'on croit parfois, ils ne sont pas formellement interdits, mais « juste » encadrés.
• - Vous devez vérifier si le pays de destination offre un niveau de protection « adéquat » (décision d’adéquation de la Commission européenne).
• - À défaut, vous devez signer des Clauses Contractuelles Types (CCT) et parfois réaliser une analyse d’impact (TIA) pour garantir que les données restent aussi protégées qu’en Europe.

Données sensibles

Le RGPD isole certaines données dont le traitement présente un risque élevé pour les libertés fondamentales. Ces données sensibles incluent notamment :

• - L’origine raciale ou ethnique, les opinions ou convictions personnelles (politiques, religieuses, philosophiques), l’appartenance syndicale.
• - Les données de santé, génétiques, biométriques (si utilisées pour l’identification unique), ainsi que la vie ou l’orientation sexuelle.

→ Leur collecte est par principe interdite (Article 9), sauf exceptions strictes (consentement explicite, obligation légale, sauvegarde de la vie humaine, etc.). Pour ces types de données, la distinction B2B/B2C s’efface devant la gravité du risque pour les droits des personnes, et une tolérance zéro est appliquée.

Pourquoi cette notion est critique pour votre entreprise

Savoir qualifier vos données n’est pas un exercice de style, c’est la clé de voûte de votre conformité.

• - Gestion des risques : Traiter des données sensibles sans mesures adéquates expose à des sanctions maximales (jusqu’à 20 M€ ou 4% du CA mondial), et à une perte de confiance client dévastatrice.
• - Optimisation opérationnelle : en cartographiant précisément ce que vous collectez, vous pouvez appliquer le principe de minimisation (=ne garder que ce qui est vraiment utile), réduisant ainsi vos coûts de stockage... et votre surface d’attaque en cas de cyberattaque !

¹ Le texte réglementaire intégral, qui seul fait foi, est disponible en ligne sur le site de la CNILLe texte réglementaire intégral, qui seul fait foi, est disponible en ligne sur le site de la CNIL.