Tout savoir sur les données personnelles : définition, exemples et enjeux 2026

17/4/2026
Tous les guides
📚 Notions de base

Les données personnelles, on en parle beaucoup depuis que des géants du web se sont vu infliger de lourdes amendes pour non-respect du RGPD. Google (90 millions €), Amazon (746 millions €), Meta (1,2 milliard €)... Les sanctions RGPD ont dépassé 2,8 milliards d'euros en Europe depuis 2018.

Mais de quoi parle-t-on exactement quand on dit "donnée personnelle" ? Est-ce qu'une adresse IP est une donnée personnelle ? Un numéro de client ? Une adresse email professionnelle ? Et quelle est la différence avec une donnée "sensible" ?

Dans ce guide, on vous explique tout ce qu'il faut savoir pour bien manipuler les données personnelles dans votre entreprise : définition juridique, catégories, exemples concrets, et surtout les bonnes pratiques pour être conforme au RGPD.

Qu’est-ce qu’une donnée personnelle ?

Un peu d’histoire…

La France était très en avance en matière de protection des données personnelles. Tout commence dans les années 1970 avec le projet gouvernemental SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) : il s’agit de recenser dans un fichier des données personnelles – adresse et numéro de sécurité sociale – concernant les individus.Un journaliste publie alors la célèbre tribune « Safari » ou la chasse aux Français pour dénoncer une grave entrave aux libertés individuelles. Le projet est abandonné.

Le 06 janvier 1978, la France vote la loi Informatique et Libertés. Deux apports majeurs : la création de la Commission Informatique et Libertés, ancêtre de la CNIL, et la réglementation des traitements des « informations nominatives », ancêtres des données personnelles.

Depuis le 25 mai 2018, c’est le RGPD (Règlement Général sur la Protection des Données) qui s’applique partout en Europe pour protéger les données personnelles.

Donnée personnelle : la définition officielle

Une donnée à caractère personnel, au sens de l’article 4 du RGPD, est une information directe ou indirecte qui se rapporte à une personne physique identifiée ou identifiable. Les données relatives aux personnes morales ne sont pas protégées par le RGPD.

  • Les nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement. L'adresse mail est également une donnée personnelle.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement. Des informations comme une adresse IP peuvent être utilisées pour identifier indirectement un individu.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier. 

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. 

En bref

Une donnée personnelle, c'est toute information qui permet d'identifier une personne, directement ou indirectement.

Trois critères clés :

1. Information : Ça peut être n'importe quoi (chiffre, mot, photo, son, vidéo...)

2. Personne physique : Ça concerne un être humain vivant (pas une entreprise, pas une personne décédée)

3. Identifiée ou identifiable : Soit on sait directement qui c'est, soit on peut le découvrir en croisant plusieurs informations

Identification directe vs identification indirecte

Identification directe : On sait immédiatement qui est la personne.

Exemples :

Identification indirecte : On peut identifier la personne en croisant plusieurs informations.

Exemples :

  • Numéro de téléphone (croisement avec annuaire)
  • Adresse postale complète (croisement avec cadastre)
  • Plaque d'immatriculation (fichier des cartes grises)
  • Numéro de client (fichier interne de l'entreprise)
  • Combinaison date de naissance + code postal + sexe
Exemple concret :
"Marie Dupont" → Donnée personnelle ✅ (identification directe)
"La personne qui habite au 12 rue de la République à Lyon" → Donnée personnelle ✅ (identification indirecte possible)
"Quelqu'un aime le chocolat" → PAS une donnée personnelle ❌ (impossible d'identifier qui)
"Client #45892 a commandé un livre" → Donnée personnelle ✅ (l'entreprise peut identifier qui est le client #45892)

Les grandes catégories de données personnelles

Pour vous aider à identifier les données personnelles dans votre entreprise, voici les principales catégories.

1. Données d'identification

Ce qui vous identifie directement.

Exemples : Nom, prénom, date et lieu de naissance, numéro de sécurité sociale, numéro de passeport, photo d'identité, signature, numéro de téléphone.

À noter : Un pseudonyme peut être une donnée personnelle si vous pouvez faire le lien avec l'identité réelle.

2. Données de contact

Informations pour vous joindre.

Exemples : Adresse postale, numéro de téléphone, adresse email, comptes réseaux sociaux, identifiant Skype/Teams/Slack.

Piège : "contact@entreprise.com" seul n'est PAS une donnée personnelle, mais "contact@entreprise.com + Marine Legrand" SONT des données personnelles.

3. Données de vie personnelle et professionnelle

Informations sur votre vie privée et votre activité pro.

Vie personnelle : Situation familiale, nombre d'enfants, hobbies, adhésions associations, habitudes de consommation, géolocalisation.

Vie professionnelle : Fonction, employeur, CV, adresse email pro, matricule, salaire, évaluations, formations, emails pros.

Important : Les données professionnelles (email pro, fonction) sont des données personnelles protégées par le RGPD.

4. Données économiques et financières

Tout ce qui touche à votre argent.

Exemples : Numéro de carte bancaire, IBAN, relevés bancaires, revenus, déclarations fiscales, historique d'achats, scoring de solvabilité.

5. Données de connexion

Traces numériques que vous laissez en ligne.

Exemples : Adresse IP (fixe ou dynamique), cookies, logs de connexion, historique de navigation, géolocalisation GPS, identifiant unique d'appareil.

Important : L'adresse IP est toujours une donnée personnelle selon le RGPD, même dynamique, car votre FAI peut faire le lien avec votre identité.

6. Données biométriques

Caractéristiques physiques ou biologiques uniques.

Exemples : Empreintes digitales, reconnaissance faciale, reconnaissance vocale, iris, ADN, silhouette.

Attention : Les données biométriques sont toujours des données sensibles (protection renforcée).

Qu’est ce qu’une donnée sensible ? 

Parmi les données personnelles, il existe une catégorie de données qui bénéficient d’une protection accrue : les données sensibles

L’article 9 du RGPD énonce les catégorie de données considérées comme sensibles, et donc interdites de tout traitement à ce titre, sauf exceptions. Il s’agit des données suivantes : 

  • Informations relatives à l’origine raciale ou ethnique,
  • Informations relatives aux opinions politiques,
  • Informations relatives aux convictions religieuses ou philosophiques,
  • Informations relatives à l’appartenance syndicale,
  • Informations relatives à la vie sexuelle ou orientation sexuelle,
  • Données génétiques,
  • Données biométriques (permettant l’identification d’une personne unique),
  • Donnée de santé.

💡 Pour rappel, les informations relatives aux condamnations pénales bénéficient d’une protection similaire prévue à l’article 10 RGPD.

En vérité, les catégories de données listées à l’article 9 RGPD sont extrêmement larges. Par exemple :

  • La photo ou le nom d’un candidat à un emploi, peuvent contenir des informations sur ses origines ethniques et raciales que l’employeur traite lors de la procédure de recrutement.
  • L’achat d’un livre religieux est une information relative aux convictions religieuses qu’un site de e-commerce peut être amené à traiter.
  • Les données de santé correspondent à une catégorie particulièrement large : identité du médecin en charge de cette personne, type de traitement pris, état de santé passé, présent et futur etc.

Qu'est-ce qui N'EST PAS une donnée personnelle ?

Les données relatives aux personnes morales ne sont pas protégées par le RGPD.

Exemples :

  • Nom d'une SARL, SAS, SA
  • Numéro de SIRET
  • Adresse d'un siège social (entreprise)
  • Email générique (contact@entreprise.com seul)

Attention : Dans une relation B2B, il y a TOUJOURS des données personnelles derrière. Le nom du dirigeant, l'email nominatif du commercial (prenom.nom@entreprise.com), le téléphone pro... sont des données personnelles.

Autre cas : Les données d'une personne décédée ne sont plus protégées par le RGPD (qui protège les vivants), mais le droit français prévoit des protections spécifiques post-mortem.

15 cas pratiques : donnée personnelle ou pas ?

Testez vos connaissances avec ces situations concrètes.

C'EST une donnée personnelle

1. Adresse IP dynamique
Oui, toujours. Le fournisseur d'accès peut faire le lien avec l'abonné.

2. Adresse email professionnelle nominative
Oui. prenom.nom@entreprise.com = identification directe.

3. Plaque d'immatriculation
Oui. Le fichier des cartes grises permet l'identification.

4. Photo d'une personne identifiable
Oui. On peut reconnaître le visage.

5. Numéro de client dans votre CRM
Oui. Vous avez la table de correspondance Client_X = Personne Y.

6. Cookie identifiant unique
Oui. Il permet de suivre une personne dans le temps.

7. Numéro de téléphone
Oui. Croisement possible avec annuaires, réseaux sociaux.

Ce n'EST PAS une donnée personnelle

8. Statistiques agrégées
Non. "50% des clients ont plus de 40 ans" → Impossible d'identifier quelqu'un.

9. Nom d'une entreprise (SARL, SAS)
Non. Les personnes morales ne sont pas protégées par le RGPD.

10. Email générique seul
Non. "info@entreprise.com" seul n'identifie pas une personne physique.

11. Numéro de SIRET
Non. C'est l'identifiant d'une entreprise (personne morale).

12. Données d'une personne décédée
Non. Le RGPD protège les vivants (mais droit français a protections spécifiques).

ÇA DÉPEND du contexte

13. Pseudonyme sur un forum
Ça dépend. Si vous pouvez faire le lien avec l'identité réelle → Oui. Sinon → Non.

14. Adresse postale sans nom
Ça dépend. Si vous pouvez identifier l'occupant (cadastre, annuaire) → Oui. Sinon → Non.

15. Numéro de dossier
Ça dépend. S'il est lié à une personne dans votre système → Oui. S'il est totalement déconnecté → Non.

Les 5 erreurs courantes sur les données personnelles

Erreur 1 : "C'est des données pros, pas du RGPD"

Faux. Les données professionnelles (email pro, fonction, téléphone pro) sont des données personnelles protégées par le RGPD.

Vous ne pouvez pas envoyer de prospection à "marie.durand@entreprise.com" sans base légale, même si c'est une adresse pro.

Erreur 2 : "J'ai anonymisé, donc plus de RGPD"

Faux dans 99% des cas. Ce que vous appelez "anonymisation" est presque toujours de la pseudonymisation. Si vous pouvez refaire le lien, ce sont toujours des données personnelles.

Erreur 3 : "C'est public, donc je peux l'utiliser"

Faux. Ce n'est pas parce qu'une donnée est publique (LinkedIn, annuaire) que vous pouvez l'utiliser librement. Le RGPD s'applique même aux données publiques. Vous devez avoir une base légale.

Erreur 4 : "C'est indirect, donc pas grave"

Faux. L'identification indirecte est tout aussi protégée que l'identification directe. Si vous pouvez identifier en croisant des infos, ce sont des données personnelles.

Erreur 5 : "Les personnes morales sont protégées"

Faux. Le RGPD protège les personnes physiques (humains). Les entreprises (SARL, SAS) ne sont pas protégées (sauf entreprises individuelles où l'entrepreneur est identifiable).

3 bonnes raisons d’assurer la protection des données personnelles

1 - Éviter les sanctions de la CNIL

Jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial, c'est ce qu'une entreprise risque si elle ne respecte pas le RGPD. Les sanctions RGPD ont dépassé 2,8 milliards d'euros en Europe depuis 2018.

2 - Inspirer confiance

Vos clients sont attentifs à la manière dont vous traitez leurs données personnelles. En appliquant une politique protectrice, vous gagnez leur confiance.

Exemples concrets :

  • Mettez en valeur "Continuer sans accepter" sur vos bannières cookies (ne forcez pas la main)
  • Proposez un moyen simple d'effacer les données (pas un parcours du combattant)
  • Si un client ne lit jamais votre newsletter, proposez-lui de se désinscrire
  • Désencombrez vos formulaires (pas besoin de 20 champs pour une demande de contact)

3 - Gagner de nouveaux marchés

La conformité RGPD est devenue un atout concurrentiel majeur. Les grands comptes auditent leurs futurs partenaires qui doivent montrer patte blanche avant signature.

Les formulaires de cybersécurité et conformité sont le quotidien des relations commerciales. Avoir la documentation prête (registre, DPA, AIPD...) permet de remporter des marchés face à des concurrents moins organisés.

5 bonnes pratiques de gestion des données personnelles

De leur collecte à leur conservation, manipuler des données personnelles peut s’apparenter à un numéro de haute voltige, notamment pour les petites entreprises qui n’ont ni DPO (Délégué à la Protection des Données) ni service juridique. Pourtant quelques pratiques simples permettent de se conformer au RGPD.

1. Collecter les seules données nécessaires

Est-il nécessaire de demander la date de naissance dans le formulaire de commande en ligne ? Pourquoi collecter les adresses postales de vos clients si vous fournissez un service 100 % dématérialisé ? Est-ce qu’un outil de web analytics qui n’utilise pas de cookies pourrait vous suffire ?

Évaluez systématiquement la pertinence de la collecte. Moins vous manipulez de données personnelles, plus vous en facilitez la gestion. Dans cet objectif, pensez également à supprimer les informations dès que vous n’en avez plus besoin : inutile de conserver des données obsolètes…

Cette objectif est l’un des principes fondateurs de la protection des données personnelles : la minimisation des données.  

Ce principe signifie qu’il revient à une entreprise de ne collecter que les données strictement nécessaires à l’objectif (finalité) pour laquelle elles sont collectées. 

En pratique comment mettre en oeuvre ce principe : 

  • Faites un choix en amont de ne collecter que les informations nécessaires. 
  • Supprimez les données dont vous n’avez plus besoin.
  • Anonymisez les données pour lesquelles l’identité de la personne n’est plus un besoin. Une donnée anonymisée ne peut pas être associée à une personne identifiée. Dès lors, la donnée est non-personnelle, le RGPD ne s’applique plus, vous en faites ce qu’il vous plaît. 

Par exemple, pour analyser le panier moyen de vos clients sur une année, vous consignez le montant total dépensé, le nombre d’achats et l’âge de l’acheteur. Si vous anonymisez totalement ces données, elles sont plus reliées à un client, il s’agit d’une simple data. 

2. Informer les personnes

Le RGPD vous oblige à informer les personnes, à deux égards.

  • Vous leur expliquez ce que vous faites de leurs données personnelles : motif de la collecte, moyen et durée de conservation, sécurisation, personnes autorisées à y accéder…
  • Vous les informez de leurs moyens d’action : droit de modifier leurs données et de retirer leur consentement, droit à la portabilité, droit à l’oubli… Bien sûr, vous leur permettez d’exercer facilement leurs droits. Idéalement, vous mettez en place sur votre site un module dédié à l’exercice des droits RGPD, pour permettre aux personnes de gérer leurs données personnelles de manière autonome et pour alléger la tâche de vos équipes.

3. Avoir une organisation infaillible

Quand vous commencez à avoir un gros volume de données, vous les classez sous forme de fichiers informatisés. On parle aussi de traitements. Et quand vous accumulez les traitements, vous les cartographiez pour avoir une vision d’ensemble sur les données personnelles que vous manipulez. La bonne organisation des traitements participe à la gestion efficace et sans risque des données personnelles :

  • Classer les données permet d’identifier rapidement celles qui sont devenues inutiles et celles dont la durée de conservation a expiré, pour les supprimer.
  • Tracer et ordonner les données permet de justifier la base légale de la collecte en cas de contrôle (exécution de contrat, intérêt légitime ou consentement, notamment).
  • CRM, logiciel de ventes, solution d’e-mailing ou encore outil de web analytics : disposer d’une vue globale sur toutes les données personnelles collectées via vos diverses plateformes SaaS facilite leur lisibilité et leur exploitation.
  • Mettre en place un système performant de gestion des droits des personnes accélère et fiabilise le process.

4. Protéger les données personnelles

La protection des données personnelles doit être envisagée à deux niveaux :

  • Sécurisez vos réseaux informatiques. Vous stockez sans doute un volume important d’informations sur vos serveurs en interne. De la même manière que vous protégez vos secrets commerciaux, protégez les données personnelles ! Mettez en place un système de sécurisation renforcé et veillez à le mettre à jour régulièrement. Utilisez des sites web sécurisés, notamment ceux utilisant HTTPS, pour protéger les données personnelles des utilisateurs.
  • Mettez en place des mesures organisationnelles : Les mesures organisationnelles sont liées au facteur humain. Le responsable de traitement comme le sous-traitant doivent s’assurer que les personnes physiques qui travaillent sous leur autorité ne traitent les données personnelles que sur leurs instructions ou par ce qu’elles y sont obligés en vertu de la loi. Par exemple, le RGPD oblige le sous-traitant à veiller à ce que ses employés soient soumis à une obligation de confidentialité. 

Ne pas oublier les données personnelles des salariés !

5. Documenter vos actions ! 

Protéger les données personnelles c’est bien, pouvoir le prouver c’est mieux. Certes, l’idéal est de disposer d’un un registre de traitement des données personnelles à jour, un registre des sous-traitants (et leurs DPA) etc. Mais en l’absence, n’hésitez pas à documenter toutes vos actions en matière de protection des données personnelles. L’esprit autour du RGPD est de sensibiliser les acteurs à la protection des données. Il est quasiment impossible d’être 100% conforme, trop de données transitent en permanence. Mais adopter la bonne attitude, décrire vos réflexions et votre feuille de route est déjà un élément de conformité. 

Si en plus, vous choisissez une solution qui permet d’automatiser toutes votre documentation, vous vous assurez de conduire votre activité sereinement. 

Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.

Questions fréquemment posées

Une adresse IP est-elle toujours une donnée personnelle ?

Oui, selon le RGPD et la jurisprudence européenne. Même une IP dynamique est considérée comme une donnée personnelle car le FAI peut faire le lien avec l'abonné.

Les données d'une entreprise sont-elles des données personnelles ?

Ça dépend. Le nom d'une société (SARL Machin) n'est pas une donnée personnelle. Mais le nom du dirigeant, les emails nominatifs des salariés, une entreprise individuelle (Jean Dupont auto-entrepreneur) sont des données personnelles.

Peut-on traiter des données personnelles trouvées sur Internet ?

Oui, mais pas librement. Le fait qu'une donnée soit publique (LinkedIn, annuaire) ne dispense pas du RGPD. Vous devez avoir une base légale (intérêt légitime généralement), informer les personnes, respecter leurs droits.

Les données anonymisées sont-elles encore soumises au RGPD ?

Non, si l'anonymisation est vraiment irréversible. Mais 99% des "anonymisations" sont des pseudonymisations, qui restent soumises au RGPD.

Pour être sûr : vous ne devez plus pouvoir ré-identifier les personnes, même avec tous vos moyens. C'est très difficile à garantir.

Combien de temps peut-on conserver des données personnelles ?

Ça dépend de la finalité. Le RGPD impose de garder les données uniquement le temps nécessaire.

Exemples :

  • CV candidats non retenus : 2 ans max
  • Données clients actifs : durée relation + 3 ans (prescription)
  • Données comptables : 10 ans (obligation légale)
  • Cookies : 13 mois max (recommandation CNIL)

Passé ce délai : suppression ou anonymisation obligatoire.

Faut-il le consentement pour toute collecte de données personnelles ?

Non. Le consentement n'est qu'une des 6 bases légales du RGPD. Les autres :

  • Contrat (nécessaire pour exécuter un contrat)
  • Obligation légale (la loi impose de collecter)
  • Intérêt vital (protection de la vie)
  • Mission d'intérêt public (service public)
  • Intérêt légitime (intérêt commercial équilibré)

Beaucoup d'entreprises utilisent l'intérêt légitime pour la prospection B2B, par exemple.

Leto vous aide à identifier et protéger vos données personnelles

Identifier toutes les données personnelles dans votre entreprise, les classer, les documenter, les protéger... c'est un travail titanesque fait manuellement. Leto automatise l'essentiel.

Ce que Leto fait pour vous :

Audit automatisé : Leto identifie automatiquement les données personnelles dans vos outils (CRM, emails, fichiers). Vous voyez immédiatement ce qui est protégé par le RGPD.

Registre pré-rempli : Pour chaque traitement identifié, Leto génère automatiquement la fiche registre des traitements avec les catégories de données détectées.

Classification sensible/non-sensible : Leto repère les données sensibles (santé, religion, origine) et vous alerte sur les obligations renforcées.

Cartographie des flux : Visualisez où circulent vos données : de quel outil vers quel outil, quels sous-traitants ont accès, quels transferts hors UE.

Alertes durées de conservation : Leto vous prévient quand des données dépassent la durée légale. Fini les données oubliées.

Gestion des droits automatisée : Quand une personne exerce son droit d'accès ou d'effacement, Leto identifie automatiquement où sont ses données dans tous vos systèmes.

Formation équipes : Module "Reconnaître les données personnelles" avec quiz interactifs.

Demandez une démonstration pour découvrir comment Leto simplifie votre conformité RGPD.

En résumé

Les données personnelles sont au cœur du RGPD. Si vous ne savez pas les identifier, vous ne pouvez pas vous conformer.

Les 5 points clés :

1. Définition large : Toute information permettant d'identifier une personne, directement ou indirectement. C'est très large : nom, email, IP, cookie, plaque immat, numéro client...

2. Identification indirecte = identification : Pas besoin du nom-prénom. Si vous pouvez identifier en croisant des infos, ce sont des données personnelles.

3. Données sensibles = protection renforcée : Santé, origine, religion, orientation sexuelle, biométrie, génétique, opinions politiques, syndicat → Interdites par défaut.

4. Pseudonymisation ≠ Anonymisation : Remplacer le nom par un code n'est PAS anonymiser. Tant que vous pouvez refaire le lien, c'est du RGPD.

5. Public ≠ Libre d'usage : Une donnée sur LinkedIn reste une donnée personnelle protégée. Vous ne pouvez pas l'utiliser comme vous voulez.

Notre conseil : En cas de doute, considérez la donnée comme personnelle et appliquez le RGPD. Vous ne risquez rien à être prudent, mais vous risquez gros à être laxiste.

Pour aller plus loin

RGPD : Définition et Guide Complet 2026

Registre des Traitements : Comment le Créer

AIPD : Quand et Comment la Réaliser

Anonymisation des Données : Techniques RGPD

Violation de Données : Que Faire en 72h

Sous-Traitant RGPD : Obligations et DPA

ChatGPT et RGPD : Guide Conformité

Données Sensibles : Guide de Conformité

CNIL : Rôle et Pouvoirs 2026

Sanctions RGPD : Montants et Exemples

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Employeurs : quel est le sort des données personnelles de votre salarié ?
16/11/2022
Sous-traitant RGPD : définition, obligations et audit de conformité
2/4/2024
RGPD : quelle est la durée de conservation de vos données ?
26/1/2024
Finalité RGPD : Définition, Principe et Exemples Pratiques
22/5/2024
Comment pratiquer le scraping de données en toute légalité ? 
9/7/2024
Non conformité au RGPD et concurrence déloyale
18/4/2023

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026