Réponse

Les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable. Différentes informations, dont le regroupement permet d’identifier une personne en particulier, constituent également des données à caractère personnel.

Des données à caractère personnel qui ont été rendues anonymes, chiffrées ou pseudonymisées, mais qui peuvent être utilisées pour identifier à nouveau une personne constituent toujours des données à caractère personnel et sont couvertes par le RGPD.

Les données à caractère personnel rendues anonymes de telle manière que la personne ne soit pas ou plus identifiable ne constituent plus des données à caractère personnel. Pour qu’une donnée soit véritablement rendue anonyme, le processus d’anonymisation doit être irréversible.

Le RGPD protège les données à caractère personnel indépendamment de la technologie utilisée pour le traitement de ces données – elle est «neutre sur le plan technologique» et s’applique au traitement automatisé et manuel, à condition que les données soient organisées selon certains critères prédéterminés (par exemple: ordre alphabétique). La législation protège également les données indépendamment de la méthode utilisée pour les conserver – dans un système informatique, au moyen de la surveillance vidéo, ou sur papier. Dans tous les cas, les données à caractère personnel sont soumises aux exigences en matière de protection énoncées dans le RGPD.

Exemples de données à caractère personnel:

  • un prénom et un nom;
  • une adresse personnelle;
  • une adresse e-mail telle que prénom.nom@entreprise.com;
  • un numéro de carte d’identité;
  • des données de localisation (par exemple: la fonction de localisation d’un téléphone portable)*;
  • une adresse de protocole internet (IP);
  • un cookie*;
  • l’identifiant publicitaire de votre téléphone;
  • des données détenues par un hôpital ou un médecin, qui permettraient d’identifier de manière unique une personne.

*Notez que, dans certains cas, une législation sectorielle spécifique s’applique et réglemente, par exemple, l’utilisation des données de localisation ou des cookies – la directive «vie privée et communications électroniques» (directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 (JO L 201 du 31.7.2002, p.37 ) et le règlement (CE) nº 2006/2004 du Parlement européen et du Conseil du 27 octobre 2004 (JO L 364 du 9.12.2004, p.1).

Exemples de données non considérées comme des données à caractère personnel:

  • le numéro d’enregistrement d’une société;
  • une adresse e-mail telle que info@société.com;
  • des données anonymisées.

Références

  • Article 2 et article 4, points 1 et 5 et considérants 14), 15), 26), 27), 29) et 30) du RGPD
  • WP 01248/07/FR, WP 136 Avis 4/2007 sur le concept de données à caractère personnel
  • Groupe de travail «Article 29», Avis 05/2014 sur les techniques d’anonymisation