Les données personnelles sont devenues de plus en plus précieuses pour les entreprises qui peuvent les utiliser pour informer leurs propres activités, puis les vendre à des annonceurs et à d'autres tierces parties.

Le RGPD a établi de nouvelles normes en matière de protection des données, limitant ce que les entreprises pouvaient faire des données qu'elles traitaient.

Pour être conformes au RGPD, les organisations doivent comprendre si les informations qu'elles traitent pourraient être classées comme des données personnelles.

Données personnelles selon le RGPD

Selon le RGPD, les données personnelles sont considérées comme toute information se rapportant à une personne identifiable, directement ou indirectement. Les exemples incluent un numéro de client, une adresse IP, un numéro de téléphone ou de carte de crédit, des données de localisation ou biométriques.

Les exemples ci-dessus sont des exemples relativement simples de données pouvant être utilisées pour identifier une personne. Cependant, il existe d'autres types de données, comme les noms, l'origine ethnique, le sexe et l'affiliation politique ou religieuse, qui pourraient être combinées avec d'autres données — comme une adresse, par exemple — pour identifier une personne. Ces types de données rendent une personne identifiable et entrent donc aussi dans la définition des données personnelles du RGPD.

Par exemple, un nom comme John Smith peut ne pas être un identifiant unique d'une personne. Lorsqu'il est combiné avec son numéro de téléphone, cependant, il est clair de quel John Smith il s'agit.

Cela signifie que les mêmes informations pourraient être classées comme des données personnelles par une organisation mais pas par une autre. Par exemple, un titre de poste seul peut ne pas être des données permettant d'identifier une personne. Mais si le nom de l'organisation est également collecté et qu'il n'y a qu'une seule personne avec ce titre de poste dans l'organisation, alors cela signifie que la personne pourrait être identifiée.

Ainsi, lorsque les organisations envisagent si les informations qu'elles traitent pourraient être classées comme des données personnelles, elles doivent prendre en compte toutes les manières dont les informations pourraient être utilisées pour identifier cette personne.

Vous trouverez ci-dessous quelques exemples pour vous aider à déterminer quelles données pourraient être classées comme des données personnelles selon le RGPD.

Ce qui est considéré comme des données personnelles :

• Noms
• Dates de naissance
• Adresses physiques
• Numéros de téléphone
• Adresses électroniques
• Adresses IP et identifiants de cookies
• Étiquettes d'identification par radiofréquence (RFID)
• Numéros d'identification, tels que les numéros de permis de conduire ou de passeport
• Données de localisation, telles que le GPS
• Enregistrements vidéo/audio et photographies
• Numéros de compte bancaire
• Données de paiement par carte
• Casier judiciaire
• Dossiers médicaux et données d'assurance
• Affiliations religieuses ou politiques
• Données ethniques
• Données génétiques et biométriques
• Adhésions syndicales
• Données de l'employeur actuel ou précédent

Ce qui n'est PAS considéré comme des données personnelles :

• Données relatives aux personnes décédées
• Données inexactes qui ne peuvent pas être associées à une personne
• Informations sur les personnes morales

Données personnelles sensibles selon le RGPD

En vertu du RGPD, certaines données personnelles sont considérées comme sensibles et font l'objet de conditions de traitement spécifiques. Par exemple, le traitement de ces données peut être nécessaire pour des raisons liées à des réclamations juridiques ou à la santé publique.

Les données personnelles sont considérées comme sensibles si elles révèlent :

• l'origine raciale ou ethnique
• les opinions politiques
• les croyances religieuses ou philosophiques
• la vie sexuelle ou l'orientation sexuelle d'une personne
• l'appartenance syndicale
• les données génétiques ou biométriques
• les données de santé