Les données personnelles comprennent toutes les informations relatives à une personne physique identifiée ou identifiable, qui désignent son identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale conformément à l'article 4, alinéa 1 du RGPD. Ceci inclut, entre autres :
- le nom, la date de naissance, l’adresse, la nationalité
- les numéros d'assurance
- les informations bancaires
- les adresses IP, les cookies, les données de localisation GPS
- le sexe, la couleur de la peau, des cheveux, des yeux, etc.
- les propriétés
- les données clients en ligne
- les formation et certificats professionnels
Les données personnelles constituent donc des informations qui peuvent être liées à une personne précise, le nom étant évidemment le critère d’identification décisif. Les données non personnelles sont en revanche collectées de manière anonyme et ne peuvent pas être utilisées pour identifier spécifiquement une personne. Ceci peut par exemple inclure, à condition que la première interaction de l'utilisateur soit totalement anonyme, l'indication du sexe, les données des visiteurs sur certains sites Web ou d'autres informations non spécifiques. Ces données non personnelles ne sont pas concernées par la loi sur la protection des données. En tant qu'entrepreneur, vous pouvez donc utiliser ce type de données pour compiler des statistiques ou des profils d'utilisateurs sans consentement ou autorisation préalable en vertu de la loi sur la protection des données ; toutefois, vous devez vous assurer que les données ne peuvent être associées à une personne physique.
Le traitement des données dites pseudonymisées (article 4 alinéa 5 du RGPD), c'est-à-dire des données stockées sous un pseudonyme pour l'utilisateur concerné, est plus problématique. Elles peuvent en effet être utilisées pour créer des profils d'utilisateurs beaucoup plus spécifiques. Cependant, ceci ouvre une zone grise juridique, car il est souvent difficile pour les administrateurs de sites Web de voir immédiatement si certaines données peuvent être directement ou indirectement associées à une personne physique. Pour cette raison, il est recommandé d’informer vos clients de la collecte de données le cas échéant et de leur indiquer dès le début leur droit d'opposition. Cependant ces données que l’on peut considérer comme anonymes peuvent néanmoins constituer des données personnelles si par regroupement elles permettent indirectement d’identifier une personne. En tant qu’entrepreneur, ce type de données peut être utilisé pour réaliser des statistiques notamment.
Dans le domaine du commerce en ligne, on parle généralement moins de données personnelles mais plutôt de données d’utilisation, qui sont collectés notamment sur le Web comme les boutiques en ligne, les emails publicitaires ou encore les moteurs de recherche sur Internet.
Le RGPD se réfère moins spécifiquement au domaine d'activité des services de télémédias, mais vise à couvrir l'ensemble des processus relevant du droit de la protection des données. L'avantage est que le nouveau règlement tient déjà compte des développements technologiques futurs et ne doit donc pas être constamment mis à jour. Toutefois, les formulations plutôt abstraites ont également un effet secondaire négatif : elles peuvent être interprétées de façon large et sont donc sujettes à controverse ; de nombreuses questions (par exemple leau sujet du Web tracking) ne seront clarifiées par les tribunaux compétents qu'au fil du temps. Cette incertitude juridique a jusqu'à présent provoqué une grande confusion et un débat animé au sein des entreprises concernées. Toutefois, étant donné que les modifications apportées par le RGPD sont principalement détaillées, bon nombre des réglementations existantes en matière de protection des données dans le commerce électronique restent valables, ce qui rend la transition moins difficile pour les entreprises.