Données personnelles

De nos jours, les informations circulent de plus en plus librement. Qu’est-ce qu’une donnée personnelle ? Comment est-elle définie par la directive ?

Mise à jour : Mai 2018

La directive 95/46/CE définit la donnée personnelle comme toute information concernant une personne physique identifiée ou identifiable (appellée « personne concernée ») en précisant qu’est réputée identifiable « une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Sont notamment considérées comme des données personnelles :

  • le nom d’une personne,
  • le numéro de téléphone,
  • sa photo,
  • sa date et son lieu de naissance,
  • son numéro de carte de paiement,
  • ou encore son numéro de sécurité sociale.

Depuis le 25 mai 2018

Le règlement (UE) 2016/679 définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable "directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

L'adresse IP est-elle considérée comme une donnée personnelle ?

Certaines données ont davantage fait l’objet de débats quant à savoir s’il s’agissait bien de données personnelles, comme par exemple l’adresse IP. L'adresse IP est considérée comme une donnée personnelle (confirmé par la Cour de justice des Communautés Européennes dans un arrêt du 29 janvier 2008). Cette décision a été consolidée par un avis du G29, le regroupement des autorités chargées de la protection des données personnelles de chaque Etat membre de l’Union européenne.

Depuis le 25 mai 2018

Le règlement (UE) 2016/679 a précisé que les identifiants en ligne tels que les adresses IP « peuvent laisser des traces qui, notamment, lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. ». L’adresse IP peut donc bien constituer une donnée personnelle dans ce cas.