Sont des données personnelles toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable (art. 4 let. a LIPAD.). Il s’agit notamment, mais pas uniquement, du nom, du numéro de téléphone, de la date de naissance, de l’adresse postale, d’une adresse de courriel, du numéro AVS, de la voix, de l’image.

Une donnée personnelle peut :

• rendre directement identifiable une personne (p.ex : une photo de la personne concernée, une adresse e-mail nominative) ;
• être indirectement identifiante (p.ex : un numéro de téléphone pris isolément ne permet pas de savoir à quelle personne il appartient mais si l’on se réfère à l’annuaire téléphonique, il permet de la trouver) ;
• permettre d’identifier une personne en combinant plusieurs informations (p.ex : avec l’avènement du Big Data, un recoupement de données à caractère personnel indirectes, qui utilisées individuellement ne semblent présenter aucun risque, permettent souvent d’identifier les personnes concernées).

Au sens de la LIPAD, on entend par données personnelles sensibles les données personnelles qui portent sur (art. 4 let. b LIPAD) :

• les opinions ou activités religieuses, philosophiques, politiques, syndicales ou culturelles ;
• la santé, la sphère intime ou l’apparence ethnique ;
• une mesure d’aide sociale, ou
• une poursuite ou sanction pénale ou administrative

Une donnée, initialement personnelle, est considérée comme anonymisée lorsque l’anonymisation est dite complète et irréversible, à savoir qu’il n’est plus possible par un quelconque moyen d’identifier la personne concernée.

Une telle donnée anonymisée n’est plus considérée comme une donnée personnelle au sens de la loi applicable en matière de protection des données et son traitement n’est dès lors pas soumis aux conditions et exigences instaurées par cette législation.

Une donnée personnelle pseudonymisée (codée) n’est donc pas une donnée anonymisée et son traitement demeure soumis aux dispositions légales précitées.

► Pour en savoir plus, voir la Fiche-info sur l'anonymisation et la pseudonymisation du PPDT.

La violation de la sécurité des données est défine comme toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données.

Une violation de données personnelles risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données personnelles ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données personnelles protégées par le secret de fonction ou professionnel ou tout autre dommage économique ou social important.

► Pour en savoir plus, voir la Fiche-info Violation des données personnelles : Comment réagir ? du PPDT.