Passer au contenu principal

RGPD et données personnelles : définition, obligations et bonnes pratiques

Auteur
Mouna Hrizi
Temps de lecture
5 mins
Publié
Mar 5, 2026
Ressources / Blog / RGPD et données personnelles : définition, obligations et bonnes pratiques
Résumé
  • Définition large : Une donnée personnelle est toute info permettant d’identifier quelqu’un (IP et cookies inclus).
  • Données sensibles : Interdiction de principe sauf exceptions (santé, opinions, etc.).
  • Conservation limitée : Pas de stockage « à vie » ; la durée doit être justifiée par la finalité.
  • Accountability : L’entreprise doit être capable de prouver sa conformité à tout moment.

Qu’est-ce qu’une donnée personnelle selon le RGPD ?

La définition des données personnelles RGPD figure à l’article 4(1) :

« Toute information se rapportant à une personne physique identifiée ou identifiable. »

Une personne est identifiable lorsqu’elle peut être reconnue directement (nom, photo) ou indirectement (identifiant en ligne, adresse IP, données de localisation).

Exemples de données personnelles

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone
  • Adresse IP
  • Identifiant publicitaire
  • Données de géolocalisation
  • Identifiant de cookie

La notion est volontairement large. Elle couvre également les données collectées automatiquement via un site web.

Quels types de données personnelles sont concernés ?

Données d’identification

Ce sont les informations permettant d’identifier directement une personne : nom, prénom, date de naissance, numéro d’identification, etc.

Données sensibles

Les données sensibles RGPD bénéficient d’un régime renforcé. Leur traitement est par principe interdit (Article 9), sauf exceptions très strictes. Elles incluent notamment :

Données à caractère personnel

Données à caractère personnel
Origine raciale ou ethnique
Opinions politiques
Convictions religieuses
Appartenance syndicale
Données de santé
Vie sexuelle ou orientation sexuelle
Données génétiques

Ces données ne peuvent être traitées que dans des conditions strictes prévues par l’article 9 du RGPD, notamment sur la base d’un consentement explicite ou d’une obligation légale.

En savoir plus sur les données sensibles

Données biométriques

Empreintes digitales, reconnaissance faciale ou vocale utilisées à des fins d’identification unique.

Données de localisation

Coordonnées GPS, historique de déplacement, données issues d’applications mobiles.

Données en ligne (cookies, IP…)

Les cookies, identifiants publicitaires et adresses IP sont considérés comme des données personnelles lorsqu’ils permettent d’identifier un utilisateur.

Quelles sont les données sensibles au sens du RGPD ?

L’article 9 du RGPD interdit par principe le traitement des données sensibles, sauf exceptions précises (consentement explicite, obligations légales, intérêt public, etc.).

Ces données présentent un risque accru pour les droits et libertés fondamentaux en cas d’usage abusif.

Selon la Commission européenne, leur protection renforcée vise à prévenir les discriminations et atteintes graves à la vie privée.

Les principes fondamentaux du RGPD

Le traitement des données personnelles RGPD repose sur 6 principes clés (article 5) :

6 principes clés

6 principes clés

Licéité, loyauté et transparence

Limitation des finalités

Minimisation des données

Exactitude

Limitation de la conservation

Intégrité et confidentialité

Ces principes s’appliquent à toute collecte de données personnelles RGPD.

Quelles obligations pour les entreprises ?

Les obligations RGPD entreprise ne se limitent pas à la collecte des données. Elles structurent l’ensemble du cycle de vie des informations :

  • Registre des traitements : les entreprises doivent documenter leurs traitements de données.
  • Consentement : lorsque le consentement constitue la base légale, il doit être libre, spécifique, éclairé et univoque.
  • DPO : la désignation d’un Délégué à la Protection des Données (DPO) est obligatoire dans certains cas.
  • Sécurité des données : mesures techniques et organisationnelles appropriées (chiffrement, contrôle d’accès, pseudonymisation).
  • Notification des violations : toute violation de données personnelles doit être notifiée à l’autorité de contrôle sous 72 heures.

En 2023, le montant total des amendes RGPD au niveau européen a franchi la barre symbolique des 2 milliards d’euros, illustrant la sévérité accrue des autorités de contrôle 

Source : Rapport EDPB 2023

Quels sont les droits des personnes concernées ?

Les droits RGPD garantissent aux individus un contrôle sur leurs données.

Ces droits doivent pouvoir être exercés facilement et sans frais.

Combien de temps peut-on conserver des données personnelles ?

La durée de conservation des données personnelles RGPD doit être définie dès la conception du traitement et inscrite dans le registre des traitements.

Il n’existe pas de durée unique applicable à toutes les situations. La conservation des données personnelles RGPD doit être :

  • Justifiée
  • Documentée
  • Proportionnée

À titre d’exemple, la durée de conservation des données personnelles RGPD pour un prospect est généralement de 3 ans à compter du dernier contact, tandis que les documents de gestion du personnel sont souvent conservés 5 ans après le départ du salarié.

Pour plus de détails, consultez leguide des durées de conservation de la CNIL.

RGPD et cookies : les données personnelles en ligne

Les données personnelles et RGPD sont particulièrement sensibles dans l’environnement numérique.

Les cookies et traceurs collectent des identifiants en ligne qui peuvent permettre l’identification indirecte des utilisateurs.

La mise en place d’un bandeau de consentement conforme est essentielle pour encadrer la collecte de données personnelles RGPD en ligne.

Comment assurer la conformité RGPD dans son organisation ?

Assurer la conformité RGPD suppose :

  • Une cartographie des traitements
  • Une documentation claire des bases légales
  • Des durées de conservation définies
  • Des procédures internes formalisées
  • Une gestion structurée du consentement

La conformité n’est pas un projet ponctuel, mais un processus continu de gouvernance des données.

Découvrez plus de ressources sur lagestion de la conformité digitale.

Conclusion

Le RGPD ne se limite pas à un cadre juridique. Il impose une gouvernance structurée des données personnelles, fondée sur la transparence, la responsabilité et la maîtrise du cycle de vie des informations.

De la collecte à la conservation, en passant par l’exercice des droits des personnes, chaque étape doit être documentée, justifiée et sécurisée. La conformité ne repose donc pas uniquement sur des politiques internes, mais sur des processus et des outils capables d’opérationnaliser ces exigences au quotidien.

Dans un environnement numérique où la confiance est devenue un avantage concurrentiel, comprendre et encadrer les données personnelles n’est plus une contrainte réglementaire : c’est un levier stratégique.

Transformez votre conformité RGPD en avantage stratégique

Centralisez la gestion des consentements, encadrez la collecte et la conservation des données personnelles, et démontrez votre conformité à chaque étape du cycle de vie des données.

En savoir plus
Mouna Hrizi
Localization Specialist & Web Editor, Usercentrics GmbH
Lire la biographie

Foire aux questions

Toute information permettant d’identifier directement ou indirectement une personne physique.

Uniquement le temps nécessaire à la finalité du traitement. Elle doit être justifiée et documentée.

Oui, lorsqu’ils permettent d’identifier un utilisateur directement ou indirectement.

Tenir un registre des traitements, garantir la sécurité des données, respecter les droits des personnes, notifier les violations et, dans certains cas, désigner un DPO.

Elles peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. À cela s’ajoute souvent un préjudice réputationnel majeur.