La notion de donnée personnelle constitue la pierre angulaire du Règlement général sur la protection des données (RGPD). Son périmètre détermine l’application — ou non — de l’ensemble du dispositif réglementaire européen.
Depuis l’arrêt CJUE EDPS c. SRB du 4 septembre 2025 (aff. C-413/23 P), la frontière entre donnée personnelle et donnée non personnelle a été significativement précisée. Ce guide analyse la définition légale, les distinctions clés entre anonymisation et pseudonymisation, et les obligations concrètes qui en découlent pour les organisations.
Qu’est-ce qu’une donnée personnelle au sens du RGPD ?
Comment l’article 4 définit-il les données personnelles ?
L’article 4, paragraphe 1, du RGPD définit la donnée personnelle comme :
« toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne […] »
Deux critères cumulatifs doivent être réunis : l’information doit se rapporter à une personne physique, et cette personne doit être identifiable par des « moyens raisonnablement susceptibles d’être utilisés » (considérant 26 du RGPD). Le caractère « raisonnablement susceptible » s’apprécie au regard du coût, du temps nécessaire et des technologies disponibles.
La CJUE a confirmé dans l’arrêt Breyer (C-582/14, 19 octobre 2016) qu’une adresse IP dynamique peut constituer une donnée personnelle si le fournisseur d’accès peut, par voie légale, relier cette adresse à un abonné.
Exemples courants de données personnelles
Les données personnelles se répartissent en catégories variées. Les identifiants directs comprennent le nom, le prénom, le numéro de sécurité sociale ou la photographie. Les identifiants indirects incluent l’adresse IP, l’identifiant de cookie, le numéro d’employé ou les données de géolocalisation.
Des données moins évidentes sont également couvertes. L’arrêt Nowak (C-434/16, 20 décembre 2017) a confirmé que les réponses d’un candidat à un examen constituent des données personnelles, car elles reflètent le niveau de connaissances de la personne.
En pratique, la qualification dépend toujours du contexte. Un identifiant technique isolé n’est pas nécessairement une donnée personnelle pour tout détenteur, comme l’a confirmé l’arrêt EDPS c. SRB de 2025 (voir ci-dessous).
Données anonymisées, pseudonymisées et sensibles
Quelle différence entre anonymisation et pseudonymisation ?
L’anonymisation rend les données irréversiblement non identifiantes. Les données véritablement anonymisées sortent du champ du RGPD (considérant 26). La CNIL rappelle que l’anonymisation doit résister à trois tests : l’individualisation, la corrélation et l’inférence.
La pseudonymisation, définie à l’article 4(5) du RGPD, consiste à traiter les données de sorte qu’elles ne puissent plus être attribuées à une personne sans information supplémentaire. Les données pseudonymisées restent des données personnelles pour le responsable de traitement qui détient la clé de correspondance. Le RGPD encourage la pseudonymisation comme mesure de sécurité (article 32) et la valorise dans le cadre de la recherche scientifique (article 89).
L’arrêt CJUE EDPS c. SRB de 2025 (données pseudonymisées)
Le 4 septembre 2025, la CJUE a rendu un arrêt majeur dans l’affaire C-413/23 P (EDPS c. SRB). Le Comité de résolution unique (SRB) avait transféré 1 104 formulaires pseudonymisés à Deloitte, chaque formulaire étant identifié par un code alphanumérique. Seul le SRB détenait la table de correspondance.
La Cour a jugé que des données pseudonymisées ne constituent pas automatiquement des données personnelles pour tout destinataire. Pour le tiers récepteur (ici Deloitte), si le risque de ré-identification par des « moyens raisonnablement susceptibles d’être utilisés » est insignifiant, les données ne relèvent pas du RGPD à son égard.
C’est la première fois que la CJUE consacre explicitement l’approche relative : une même donnée peut être personnelle pour l’entité qui détient la clé et non personnelle pour le destinataire qui ne dispose d’aucun moyen raisonnable de ré-identification. Cette approche contextuelle a été saluée par le Future of Privacy Forum comme un « tournant » dans la jurisprudence européenne.
En novembre 2025, la Commission européenne a proposé, dans le Digital Omnibus, de codifier cette approche relative dans la définition de l’article 4. Toutefois, un compromis du Conseil de l’UE de février 2026 a éliminé cette modification, maintenant la définition actuelle inchangée.
Les catégories particulières de données (données sensibles)
L’article 9 du RGPD énumère les « catégories particulières » (données sensibles) : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, biométriques, de santé, et données relatives à la vie ou l’orientation sexuelle.
Le traitement de ces données est interdit par principe (article 9, paragraphe 1), sauf exception limitée — consentement explicite, obligation légale en droit du travail, intérêt vital, ou recherche scientifique avec garanties appropriées. En 2025, la CNIL a prononcé 83 sanctions pour un montant total de 486,8 millions d’euros, dont une part significative concernait des manquements liés à la protection des données personnelles.
Conséquences pratiques pour les organisations
Quelles obligations découlent du traitement de données personnelles ?
Dès lors qu’une organisation traite des données personnelles, le RGPD impose un ensemble d’obligations cumulatives.
Le registre des traitements (article 30) doit documenter chaque activité de traitement : finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité. La tenue de ce registre est obligatoire pour toute entreprise de plus de 250 salariés, et en deçà pour les traitements non occasionnels.
La détermination d’une base juridique licite (article 6) est un préalable à tout traitement. Les six bases possibles sont le consentement, l’exécution d’un contrat, l’obligation légale, l’intérêt vital, la mission de service public et l’intérêt légitime.
La désignation d’un DPO est obligatoire pour les organismes publics, les traitements à grande échelle de données sensibles et les activités de suivi systématique. Le DPO veille à la conformité et sert d’interlocuteur avec l’autorité de contrôle.
Les droits des personnes concernées (articles 15 à 22) incluent le droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Le responsable de traitement doit y répondre dans un délai d’un mois, prolongeable de deux mois en cas de complexité.
Enfin, la sécurité des données (article 32) impose des mesures techniques et organisationnelles « appropriées » : pseudonymisation, chiffrement, tests de résistance réguliers. En cas de violation, la notification à la CNIL doit intervenir dans les 72 heures (article 33), et aux personnes concernées si le risque est élevé (article 34).
Pour automatiser la gestion de ces obligations, des plateformes comme Legiscope permettent de structurer le registre, de suivre les demandes d’exercice de droits et de documenter la conformité.
Avertissement juridique : cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour toute question relative à votre situation spécifique, consultez un avocat spécialisé en protection des données.
Conclusion
La définition de donnée personnelle au sens du RGPD dépasse largement le simple nom ou adresse. Elle englobe toute information permettant, directement ou indirectement, d’identifier une personne physique par des moyens raisonnables. L’arrêt EDPS c. SRB de septembre 2025 a clarifié que cette qualification est relative — elle dépend des moyens de ré-identification dont dispose chaque acteur dans la chaîne de traitement.
Pour les organisations, cela signifie qu’une analyse contextuelle est indispensable avant tout traitement. La qualification des données conditionne l’application du RGPD et de l’ensemble de ses obligations : registre, base juridique, droits des personnes, sécurité et notification des violations.
Dernière vérification : mars 2026
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
