Table des matières
Selon l’Agence européenne pour la cybersécurité (ENISA), plus de 150 000 incidents liés à la confidentialité des données ont été signalés depuis l’entrée en application du RGPD en 2018. La multiplication des fuites, vols d’identité et utilisations abusives souligne l’importance pour les entreprises comme pour les citoyens de savoir quelles informations sont protégées et comment elles doivent être traitées.
Le règlement général sur la protection des données, mis en place pour encadrer l’usage des données personnelles en Europe, repose sur une logique simple : limiter les abus, clarifier les droits et responsabiliser les acteurs. Comprendre les différentes catégories concernées par ce texte est indispensable pour rester conforme ou pour mieux défendre sa vie privée.
Certaines informations permettent de désigner une personne de manière directe ou indirecte. Ces données dites “identifiantes” sont présentes dans quasiment toutes les démarches administratives, commerciales ou numériques. Leur traitement est courant, mais il n’en reste pas moins encadré par le RGPD.
Ces données incluent :
Même si certaines ne permettent pas à elles seules d’identifier quelqu’un, leur croisement peut suffire à lever l’anonymat. L’entreprise qui les utilise doit donc toujours justifier leur collecte et garantir leur sécurité.
Les données classées sensibles en rgpd
Le RGPD définit une série d’informations qui, si elles sont mal utilisées, peuvent porter atteinte à la liberté ou à la dignité d’un individu. Ces données dites “sensibles” ne peuvent être traitées que dans des cas très précis, encadrés par la loi.
Voici les principales catégories définies par l’article 9 du RGPD :
Leur traitement nécessite souvent un consentement clair et documenté ou doit répondre à une base légale spécifique (santé publique, sécurité, intérêt vital, etc.). Le non-respect de ces règles peut entraîner des sanctions très lourdes.
Les données comportementales et de localisation
Les données comportementales désignent toutes les informations collectées lors des interactions numériques : navigation, clics, achats, temps passé sur une page, etc. Elles permettent d’analyser les habitudes et parfois de prédire les intentions d’un utilisateur.
Ces informations sont très prisées par les plateformes commerciales, les régies publicitaires et les développeurs d’algorithmes de recommandation. Pourtant, leur utilisation sans consentement explicite constitue une violation du RGPD.
Les données de géolocalisation peuvent révéler les trajets, les lieux fréquentés ou les horaires de déplacement d’une personne. Elles proviennent généralement du GPS, du réseau mobile, ou encore des bornes Wi-Fi. Une localisation précise, répétée et associée à une identité permet de dresser un profil extrêmement détaillé.
Les données bancaires et informations économiques sont également encadrées. Cela inclut les coordonnées de compte, les moyens de paiement, les relevés d’opérations ou les revenus déclarés. Elles sont fréquemment ciblées par les cyberattaques et peuvent être utilisées pour des fraudes à grande échelle.
Leur protection doit inclure des dispositifs techniques solides (chiffrement, authentification renforcée) et une justification claire de leur usage. L’utilisateur doit être informé de leur collecte et pouvoir s’y opposer quand cela est possible.
Le RGPD traite à part les informations relatives aux infractions pénales. Elles ne peuvent être collectées ou utilisées que par des entités expressément autorisées : autorités judiciaires, services de sécurité, ou dans certains cas, employeurs soumis à des obligations légales de contrôle (ex. secteur de la sécurité).
Cela concerne notamment les extraits de casier judiciaire, les mesures de sûreté ou les sanctions administratives.