Le RGPD s'applique dès que tu traites des données personnelles. Mais qu'est-ce qui compte exactement ? Beaucoup ne pensent qu'au nom et à l'adresse. En réalité, la notion est bien plus large : toute donnée rattachable à une personne compte. Le reconnaître t'indique quand les règles de protection s'appliquent.
La définition : rattachable à une personne
Une donnée personnelle est toute information sur une personne physique identifiée ou identifiable. "Identifiable" est large : même si tu ne peux rattacher quelqu'un qu'avec une information supplémentaire, cela compte.
Cela couvre donc non seulement les données directes comme le nom, mais aussi les indirectes : une combinaison de date de naissance, code postal et sexe peut rendre une personne unique, même sans nom.
Des exemples souvent oubliés
Outre le nom, l'adresse et l'e-mail, comptent aussi :
- Adresse IP et identifiant de cookie : rattachables à un appareil et souvent à une personne.
- Plaque d'immatriculation : liée à un propriétaire.
- Photos et vidéo : où une personne est reconnaissable.
- Données de localisation : où une personne était et quand.
- Numéro de sécurité sociale et matricule : identifiants uniques.
- Voix et écriture : peuvent mener à une personne.
Données sensibles et pénales
Certaines données personnelles sont particulièrement sensibles : santé, origine raciale ou ethnique, religion, opinions politiques, appartenance syndicale, orientation sexuelle et biométrie. Des règles plus strictes s'appliquent.
Les données relatives aux infractions et le numéro de sécurité sociale bénéficient aussi d'une protection renforcée. Quand tu y es confronté, traite-les avec un soin particulier et ne les partage que par des canaux approuvés.
Comment l'intégrer dans ton programme de sensibilisation
La reconnaissance est la compétence de base ; vise la question « quand le RGPD s'applique-t-il ? ».
- Fais classer des exemples par les salariés dans de courts exercices : donnée personnelle ou non.
- Utilise des exemples de leur propre travail, comme un Excel d'adresses e-mail, une photo ou un journal d'adresses IP.
- Répète par microapprentissage, car la reconnaissance s'estompe sans pratique.
- Propose l'approfondissement par public via notre catalogue de formations.
Articles connexes
- Qu'est-ce que le RGPD ? Les bases en langage clair
- Catégories particulières : protection renforcée, règles plus strictes
FAQ
Une adresse e-mail professionnelle est-elle une donnée personnelle ?
En général oui. Une adresse comme prenom.nom@entreprise.fr est rattachable à une personne et relève donc du RGPD. Une adresse générique comme info@entreprise.fr ne l'est en principe pas.
Une adresse IP est-elle une donnée personnelle ?
Oui, en règle générale. Une adresse IP est rattachable à un appareil et souvent à une personne, surtout combinée à d'autres données. Le RGPD la traite donc comme une donnée personnelle.
Les données des personnes décédées relèvent-elles du RGPD ?
Non, le RGPD ne vise que les personnes vivantes. Attention toutefois : des règles nationales ou le secret professionnel peuvent malgré tout protéger ces données, qui peuvent aussi contenir des données de vivants.
Les données anonymisées sont-elles encore des données personnelles ?
Des données réellement anonymisées, non rattachables à une personne, échappent au RGPD. Les données pseudonymisées en relèvent, car elles restent rattachables avec une information supplémentaire.
Une combinaison de données distinctes compte-t-elle ?
Oui. Des données isolées peuvent sembler anodines, mais une combinaison comme date de naissance, code postal et sexe peut identifier une personne de façon unique. Les règles s'appliquent alors pleinement.