Toute information permettant d'identifier, directement ou indirectement, une personne physique vivante, conformément à l'article 4(1) du RGPD.
Définition complète
Selon l'article 4(1) du RGPD, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est dite « identifiable » dès lors qu'elle peut être reconnue, soit directement (nom, prénom), soit indirectement, en recoupant plusieurs informations (numéro de téléphone, plaque d'immatriculation, adresse IP ou identifiant client).
Pour un dirigeant de PME, il est crucial de comprendre que la notion de donnée personnelle est extrêmement large. Elle ne se limite pas aux informations d'état civil, mais englobe tout élément qui permet de singulariser un individu au sein d'un groupe. Cela inclut les données comportementales, les données de localisation, ainsi que les données professionnelles lorsqu'elles sont liées à une personne précise (par exemple, une adresse email professionnelle du type prenom.nom@entreprise.fr).
Il convient également de distinguer les données personnelles classiques des « données sensibles » (article 9 du RGPD), telles que l'origine raciale, les opinions politiques, les convictions religieuses ou les données de santé. Le traitement de ces dernières est, par principe, interdit, sauf exceptions strictement encadrées par la loi, et impose des mesures de sécurité renforcées.
Exemple concret en PME
Dans une PME de distribution, le fichier client est une mine de données personnelles. Au-delà du nom et de l'adresse de livraison, l'historique des achats, le numéro de téléphone du contact commercial et même les notes internes sur les préférences d'un client sont des données personnelles. Si l'entreprise stocke ces informations dans un Excel ou un CRM, elle doit justifier d'une base légale pour chaque traitement et garantir la sécurité de ces accès.
L'erreur fréquente à éviter
L'erreur classique est de croire que l'anonymisation consiste simplement à supprimer le nom et le prénom. C'est souvent de la pseudonymisation : si l'on peut retrouver l'identité de la personne en recoupant le fichier avec une autre source (ex: un numéro de commande), la donnée reste personnelle et le RGPD s'applique pleinement. L'anonymisation réelle doit être irréversible.