Introduction aux données personnelles
À l’ère du numérique, chaque clic, chaque achat en ligne, chaque interaction sur les réseaux sociaux génère une trace d’informations. Ces fragments, souvent imperceptibles, constituent ce que l’on appelle les données personnelles. Leur circulation massive a transformé les modèles économiques, mais a aussi soulevé des enjeux majeurs de protection et de gestion sécurisée. Face à la multiplication des fuites et des usages abusifs, comprendre ce que recouvre exactement la notion de donnée personnelle devient essentiel pour tout citoyen et toute organisation. Cet article propose un tour d’horizon complet de la définition, des catégories, du traitement et des bonnes pratiques de sécurisation, en s’appuyant sur le cadre juridique brésilien de la Lei Geral de Proteção de Dados (LGPD) et sur des exemples concrets.
Qu’est-ce qu’une donnée personnelle ?
Selon l’article 5, incise I, de la LGPD (loi 13.709/2018), une donnée personnelle est toute information relative à une personne physique identifiée ou identifiable. Cette définition large couvre aussi bien les données qui permettent d’identifier directement un individu, comme le nom complet ou le numéro de CPF, que celles qui, combinées à d’autres informations, rendent possible cette identification. Ainsi, une adresse IP, un cookie de navigation ou un identifiant d’appareil mobile entrent dans cette catégorie dès lors qu’ils permettent de relier un comportement à une personne spécifique.
L’élément clé est le caractère « identifiable ». Une personne est considérée comme identifiable lorsqu’elle peut être reconnue, directement ou indirectement, par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Cette approche extensive permet de couvrir l’évolution constante des technologies, où de nouvelles formes d’identification émergent régulièrement.

Voici une liste non exhaustive des données personnelles les plus courantes dans la vie quotidienne :
1. Nom complet, prénom et nom de famille
2. Numéros d’identification officiels : CPF, RG, passeport, permis de conduire
3. Coordonnées : adresse postale, adresse e-mail, numéro de téléphone
4. Données de localisation : adresse GPS, historique de déplacement
5. Identifiants numériques : adresse IP, cookies, identifiant de publicité mobile
6. Informations financières : numéro de carte de crédit, relevés bancaires, historique d’achats
7. Données comportementales : habitudes de consommation, préférences culturelles, navigation web
Ces informations sont collectées, stockées et utilisées par une multitude d’acteurs : entreprises privées, administrations publiques, plateformes numériques, applications mobiles. Chaque traitement doit respecter les principes de finalité, de nécessité et de transparence prévus par la LGPD.

Les données sensibles : une sous‑catégorie protégée
Au sein des données personnelles, la LGPD distingue une catégorie particulière : les données dites sensibles. L’article 5, incise II, les définit comme les informations relatives à l’origine raciale ou ethnique, aux convictions religieuses, aux opinions politiques, à l’affiliation syndicale, à la santé, à la vie sexuelle, aux données génétiques ou biométriques lorsqu’elles sont liées à une personne physique. En raison de leur nature intime et du risque élevé de discrimination qu’elles peuvent entraîner, ces données bénéficient d’un régime de protection renforcé. Leur traitement n’est autorisé que dans des circonstances strictement définies, comme le consentement explicite, l’exécution d’obligations légales ou la protection de la vie de la personne concernée.
Pour mieux comprendre les différences entre données personnelles communes et données sensibles, voici une représentation synthétique sous forme de tableau comparatif :
| Catégorie | Exemples courants | Niveau de protection requis par la LGPD | |------------------------|------------------------------------------------------------|--------------------------------------------------------| | Données personnelles | Nom, adresse, e-mail, téléphone, CPF, IP, cookies | Consentement ou base légale, transparence, finalité | | Données sensibles | Origine raciale, religion, opinion politique, santé, ADN | Consentement explicite, interdiction de discrimination | | Données biométriques | Empreintes digitales, reconnaissance faciale, iris | Protection spéciale (données sensibles) | | Données de localisation| Coordonnées GPS précises, historique de déplacements | Souvent considérées personnelles, nécessité de finalité|

Cette distinction est cruciale pour les organisations qui traitent des données. Par exemple, une application de suivi de condition physique collecte à la fois des données communes (nom, e-mail) et des données sensibles (rythme cardiaque, historique médical). Les mesures de sécurité et les obligations de consentement ne sont pas les mêmes pour les deux catégories. La non‑conformité expose à des sanctions administratives pouvant aller jusqu’à 50 millions de reais, selon l’article 52 de la LGPD.
Le traitement des données personnelles
La LGPD définit le traitement comme toute opération réalisée avec des données personnelles, qu’elle soit automatisée ou manuelle. Cela inclut la collecte, la production, la réception, la classification, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le traitement, l’archivage, le stockage, l’élimination, l’évaluation ou le contrôle de l’information. En d’autres termes, presque toute interaction avec une donnée personnelle constitue un traitement et doit donc respecter les principes de la loi.
Parmi les principes fondamentaux du traitement, on retrouve la finalité (le traitement doit avoir un but légitime, spécifique et explicite), l’adéquation (les moyens employés doivent être cohérents avec la finalité annoncée), la nécessité (seules les données strictement utiles doivent être collectées), la transparence (la personne doit être informée clairement de l’utilisation de ses données) et la sécurité (des mesures techniques et organisationnelles doivent protéger les données contre les accès non autorisés).

Le consentement de la personne concernée est l’une des bases légales possibles, mais pas la seule. La LGPD prévoit dix bases légales pour le traitement des données personnelles communes, et huit pour les données sensibles. Parmi elles : l’exécution d’un contrat, l’obligation légale ou réglementaire, l’exercice de droits en justice, la protection de la vie ou de la sécurité physique, ou encore l’intérêt légitime du responsable du traitement. Cette diversité permet aux organisations de traiter des données sans forcément recueillir un consentement explicite, à condition de respecter les autres exigences légales.
Protection et gestion sécurisée des données
Assurer la protection des données personnelles ne se limite pas à respecter la loi. C’est une exigence opérationnelle qui engage la confiance des clients, des collaborateurs et des partenaires. Une gestion sécurisée repose sur plusieurs piliers : la gouvernance des données, la cartographie des flux, l’analyse des risques, la mise en place de mesures techniques (chiffrement, pseudonymisation, contrôle d’accès) et organisationnelles (politiques internes, formation, audits).
La pseudonymisation et l’anonymisation sont des techniques fondamentales. La première consiste à remplacer les identifiants directs par des pseudonymes, permettant de réduire les risques tout en conservant la possibilité de ré‑identifier la personne si nécessaire. La seconde rend la ré‑identification irréversible, ce qui fait sortir les données du champ d’application de la LGPD. Dans les deux cas, on diminue l’impact potentiel d’une fuite.

Le chiffrement est une autre barrière essentielle. Qu’il s’agisse de données au repos (stockées sur un serveur) ou en transit (transférées sur le réseau), le chiffrement rend les informations illisibles sans clé de déchiffrement. Combiné à des politiques de gestion des accès stricts – principe du moindre privilège, authentification forte – il constitue un rempart efficace contre les intrusions.
Pour approfondir ces notions, vous pouvez consulter les questions fréquentes de l’Autorité nationale de protection des données (ANPD) qui détaillent les obligations des responsables de traitement. Par ailleurs, des exemples concrets de données personnelles et de leur utilisation sont présentés sur le site Judex.io, qui offre une perspective pratique sur les enjeux quotidiens.
En entreprise, la mise en place d’un registre des activités de traitement est obligatoire pour les organismes de plus de dix employés. Ce document centralise les finalités, les bases légales, les catégories de données, les destinataires et les mesures de sécurité. Il sert à la fois d’outil de conformité et de base pour les analyses d’impact relatives à la protection des données (AIPD), notamment lorsque le traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes.
Les incidents de sécurité – fuite, accès non autorisé, perte de données – doivent être notifiés à l’ANPD dans un délai de 72 heures, ainsi qu’aux personnes concernées si le risque est sérieux. Une réaction rapide et transparente limite les conséquences juridiques et préserve la réputation de l’organisation. Former les équipes, tester régulièrement les systèmes et élaborer un plan de réponse aux incidents sont donc des actions incontournables.
Conclusion
Les données personnelles sont au cœur de la transformation numérique. Leur protection n’est pas une contrainte réglementaire supplémentaire, mais une condition de confiance et de pérennité. Comprendre ce qu’est une donnée personnelle, distinguer les catégories communes et sensibles, maîtriser les principes du traitement et mettre en œuvre une gestion sécurisée permettent aux citoyens de mieux exercer leurs droits et aux organisations de se conformer efficacement à la LGPD. Dans un environnement où la donnée est devenue une ressource stratégique, investir dans la sécurité et la transparence est le gage d’une relation durable avec ses parties prenantes.
Références
- Autorité nationale de protection des données (ANPD) – Questions fréquentes : définition des données personnelles.
Disponible sur : https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes/perguntas-frequentes/2-dados-pessoais/2-1-o-que-sao
- Lei 13.709/2018 (LGPD) – Planalto.gov.br.
Disponible sur : https://www.planalto.gov.br/ccivil_04/leis/2018/l13709.htm
- Judex.io – Exemples de données personnelles.
Disponible sur : https://www.judex.io/blog/dados-pessoais
- Idec.org.br – Données sensibles : définition et exemples.
Disponible sur : https://idec.org.br/dicas-e-direitos/o-que-sao-dados-pessoais





