L’ entrée en vigueur, en mai dernier, du règlement UE 2016/679 (RGPD) a donné un souffle nouveau à la protection des données des consommateurs et usagers d’Internet en France et en Europe. Mais si on entend beaucoup parler de données personnelles, il n’est pas toujours facile de savoir précisément ce que recouvre cette notion. Le règlement (article 4) les définit comme étant toute information se rapportant à une personne physique identifiée ou identifiable
.
Le règlement précise également ce qu’est une personne physique identifiable : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
.
Simple donnée ou donnée personnelle ?
En pratique, il faut comprendre de cette définition que toute donnée se rapportant à votre personne et permettant, même indirectement, de vous identifier est une donnée personnelle. Ainsi, votre nom, prénom, âge, date et lieu de naissance, une photo de vous, un pseudonyme, un numéro de téléphone ou de Sécurité sociale, une adresse IP, etc. constituent des données à caractère personnel. La distinction entre une simple donnée et une donnée personnelle est importante juridiquement puisque seule cette dernière fait l’objet d’une protection particulière. Protection justifiée par l’usage qui en est fait par les acteurs de l’économie numérique, notamment la vente auprès de tiers, mais qui ne doit pas nous dispenser de redoubler de vigilance quant aux informations nous concernant que l’on dissémine un peu partout sur Internet.