Aux fins du présent règlement, on entend par:
1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2) «traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
3) «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;
4) «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
5) «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
6) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
7) «responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
8) «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
9) «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
10) «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
11) «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;
12) «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
13) «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;
14) «données biométriques», les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
15) «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;
16) «établissement principal»,
a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;
17) «représentant», une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;
18) «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
19) «groupe d'entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;
20) «règles d'entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe;
21) «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;
22) «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité de contrôle relève;
b) des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;
23) «traitement transfrontalier»,
a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;
24) «objection pertinente et motivée», une objection à un projet de décision quant à savoir s'il y a ou non violation du présent règlement ou si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l'importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l'Union;
25) «service de la société de l'information», un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil ( 1 );
26) «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.
( 1 ) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p. 1).
L’article 4 RGPD est l’un des articles les plus importants du RGPD car il définit près de 26 notions déterminantes dans l’application du RGPD.
La compréhension de ces termes est l’une des premières étapes à franchir pour construire sa conformité aux RGPD 👼🏻 !
Cet article est d’autant plus important qu’il est plutôt rare de disposer d’une telle aide à la lecture d’une réglementation souvent laissée à l’interprétation des juridictions.
Dans un souci de pertinence, nous développerons les notions les plus importantes.
Les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations).
Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.
Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc.
⚠️ Même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.
Un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc.
Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.
La définition de la “limitation du traitement” sert d’appui à l’article 18 RGPD concernant le “droit à la limitation du traitement” pour la personne concernée par le traitement.
Concrètement il s’agit pour la personne concernée d’enjoindre au responsable de traitement d’utiliser la donnée d’une certaine manière en vue d’une prochaine action.
Par exemple, si la personne concernée constate une inexactitude de la donnée, la personne concernée peut demander la limitation du traitement, c'est-à-dire enjoindre de ne plus l’utiliser dans l’attente de vérification.
Autre exemple, sur le lieu de travail, il peut y avoir une vidéo surveillance dont les images doivent être supprimées au bout d’un mois. La personne concernée peut demander une conservation de ces images au-delà du délai en vue d’une procédure judiciaire.
Dans les deux cas, la demande consiste à limiter le traitement de la donnée à ce qui est demandé par la personne concernée.
Le profilage est un type de traitement de donnée personnelle automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement.
L’exemple assez classique de profilage est celui d’un crédit bancaire. Il arrive que l’accord de ce crédit soit conditionné au résultat d’un algorithme qui se fonde sur tout un tas de critère entièrement automatisé.
Autre exemple, sur les réseaux sociaux, l’algorithme traite beaucoup de données relatives au comportement des utilisateurs sur la plateforme pour proposer des services adaptés.
Le profilage peut avoir des effets préjudiciables sur les droits et libertés des personnes. Par exemple, le refus d’une ligne de crédit fondé uniquement sur le résultat d’un algorithme sans intervention humaine. Cette décision automatisée peut donc aboutir à des discriminations.
Pour ces raisons, la pratique du profilage et décisions automatisées est très encadré par l’article 22 RGPD.
Le pseudonymisation est l’action par laquelle un responsable de traitement relie des données personnelles non plus à l’identité de la personne concernée mais un pseudo ne permettant pas de l’identifier.
⚠️ À la différence de l’anonymisation, la pseudonymisation permet toujours de retrouver la personne à qui appartiennent ces données par le recoupement d’informations supplémentaires.
Quelle importance ? Puisque la pseudonymisation permet de remonter à une personne physique identifiable, il s’agit de donnée personnelle contrairement à l’anonymisation. Dans le second cas, les données ne sont plus à caractère personnel, donc le RGPD n’a pas à s’appliquer.
Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.
Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement.
💡 Par exemple : une entreprise A offrant une service d’envoi de newsletters utilise le fichier clients mis à sa disposition par l’entreprise B. L’entreprise A est le sous-traitant de l’entreprise B, responsable de traitement.
⚠️ Attention, l’entreprise A est également responsable de traitement lorsqu’elle traite des données personnelles pour son compte (article 28 RGPD, alinéa 10). Dans notre exemple, l’entreprise A est également responsable de traitement concernant les données personnelles qu’elle traite pour ses besoins de recrutement interne par exemple.
Le consentement correspond à une manifestation de volonté, libre, spécifique, éclairée et univoque.
Cette définition a pour objet d’exclure la possibilité de recueillir le consentement basé sur le silence (par exemple via des cases précochées) ou pas des processus déloyal. La personne concernée doit disposer d’une liberté de choix, c'est-à-dire pouvoir refuser le traitement de ses données personnelles sans conséquences préjudiciables.
Cela signifie que le consentement doit pouvoir être exprimé librement, en connaissance de cause et de manière explicite. Tout en sachant que le consentement peut être retiré à tout moment (article 7 RGPD).
Une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle ou non, la destruction, la perte, la divulgation ou l’accès non autorisé.
Il s’agit d’un incident de sécurité qui peut aussi bien provenir d’une malveillance externe (par exemple un piratage conduisant au transfert des données) ou d’un accident interne (par exemple, incident informatique conduit à la suppression des données personnelles).
Les données génétiques sont des données à caractères personnelles relatives aux caractéristiques génétiques de la personne concernée et prennent la forme d’un échantillon biologique de la personne.
Ces données bénéficient d’une protection particulière puisqu’elles sont considérées comme des données sensibles en application de l’article 9 RGPD ce qui interdit leur traitement en dehors des cas prévus par la loi : lorsque ces données sont traitées dans le cadre d’une enquête judiciaire, et par la sphère médicale.
Ainsi, en France, les données génétiques ne peuvent être exploitées par exemple par des laboratoires privés, contrairement aux Etats-Unis.
Les données biométriques sont les données à caractère personnel résultant d’une caractéristique spécifique d’une personne qui permet de l’identifier. Par exemple, une image d’un visage sur un passeport.
Or, il convient de préciser que toute photographie ne correspond pas à une donnée biométrique. C’est en fonction du procédé technique utilisé permettant l’identification de la personne que la donnée sera qualifiée de biométrique ou pas. C'est-à-dire qu’il faut que le traitement permette d’identifier une unique personne, ce qui n’est pas le cas d’une simple photo.
Cette définition est d’autant plus importante qu’elle emporte la qualification de données sensibles, au même titre que les données génétiques, en vertu de l’article 9 RGPD.