RGPD : Le traitement de données, qu’est-ce que c’est ?

Les données personnelles sont le cœur du Règlement Européen sur la Protection des Données (RGPD). Inclusivement, la question de leur traitement l’est tout aussi. Il convient à cet effet de pouvoir cerner les notions de données et de traitement des données, sous les différents angles et paramètres qu’elles intègrent, et de les apprécier à la lumière du règlement.

Les données personnelles et le RGPD

Dans la loi dite Informatique et Libertés de 1978, les données personnelles étaient définies comme « toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ». Toujours selon cette loi, pour déterminer si une personne est identifiable, il importe de prendre en considération tous les moyens possibles, pouvant permettre son identification, et tous ceux auxquels peut accéder le responsable de traitement ou toute autre personne.

Le RGPD en son article 4 épouse l’essentiel de cette définition des données personnelles proposée par la loi de 1978. Il se montre cependant plus précis sur la question de l’identification. Il dispose que l’identification peut être faite directement ou indirectement par le biais d’un identifiant qui peut être un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou des éléments spécifiques propres à l’identité physique, physiologique, culturelle, économique, ou génétique de la personne.

Le traitement des données personnelles

Dans le cadre du RGPD, le traitement des données doit viser un objectif précis ; il doit avoir une finalité. C’est dire qu’une personne ne peut se permettre de collecter ou de traiter des données personnelles, juste pour les utiliser à l’avenir ou dans un but préventif. Plus concrètement, chaque traitement des données doit être motivé par un but. Bien évidemment, ce dernier doit être légal et réalisé au regard et dans le cadre de l’activité professionnelle de son initiateur.

En guise d’exemple, lorsqu’une entreprise ou une entité collecte des données à caractère personnel sur ses clients, lorsqu’elle effectue une livraison, édite une facture ou propose d’autres types de prestations, elle opère ainsi une exploitation des données personnelles de ses clients, avec en ligne de mire la gestion de sa clientèle.

Par ailleurs, est considéré comme un traitement de données une opération ou un ensemble d’opérations portant sur les données personnelles, peu importe la méthode employée, qu’il s’agisse d’enregistrement, de collecte, d’extraction, de consultation, de conservation, de diffusion, de tout autre moyen de mise à disposition.. Cet angle nouveau, sous lequel la notion de traitement de données RGPD peut être perçue, témoigne du sens large qu’elle revêt.

Il importe d’apporter tout de même une précision quant à cette notion. En effet, lorsque le traitement de données est relatif à des données à caractère personnel et concerne l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, les données de santé ou l’orientation sexuelle d’une personne physique, on parlera de traitement de données « particulières » ou sensibles.

Le règlement impose aux entreprises certaines exigences en matière d’exploitation et d’analyse des données.

Les obligations des entreprises

Le traitement des données RGPD est soumis à des exigences. Ainsi, l’article 5.1 impose aux entreprises que les données personnelles soient :

  • recueillies à des fins claires, déterminées, explicites, et légitimes,
  • adéquates, pertinentes et limitées ;
  • traitées avec licéité, loyauté et transparence ;
  • conservées pendant une durée raisonnable ;
  • traitées de manière à ce que leur sécurité et leur protection soient garanties.

En outre, afin que leur responsabilité ne soit pas engagée, et que leur initiative de traitement des données soit conforme aux exigences du RGPD, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande aux entreprises d’adopter une conduite responsable à travers six actions que sont :

  • la désignation d’un pilote : il s’agit d’une personne chargée d’assurer la mise en conformité avec le Règlement Européen. Les entreprises traitant des données « sensibles » ont l’obligation de nommer un Délégué à la Protection des Données (DPO) ;
  • le recensement des fichiers ;
  • l’identification des traitements à risque ;
  • le respect des droits des personnes ;
  • la sécurisation des données ;
  • la vérification du respect du RGPD par le prestataire en cas de sous-traitance.

Le traitement des données, pas qu’une affaire d’électronique

Le Règlement Européen sur la Protection des Données précise que l’exploitation des données personnelles n’est pas obligatoirement informatisée. Il considère que les fichiers papiers sont aussi concernés et doivent être protégés dans les mêmes conditions. Pour se monter encore plus précis, le règlement dispose : « tout ensemble structuré de données accessibles selon des critères déterminés constituent un fichier de données à caractère personnel. »

Cela suppose que le traitement des données au sens du RGPD est effectif dès lors que les informations personnelles d’une personne sont traitées, sans forcément procéder par le biais d’un moyen électronique. C’est dire que le traitement des données personnelles sur support papier, sont  soumis aux mêmes exigences.

Quelques exemples de traitement des données

Au nombre des traitements les plus typiques opérés par les entreprises, on peut citer :

  • La gestion de site internet : lorsque pour générer une fiche client par exemple, l’entreprise collecte des données à caractère personnel, ou dans le but de remplir un formulaire, l’internaute insère ne serait-ce que son adresse mail; il s’agit déjà d’un traitement de données personnelles. Il faudra alors évaluer les modalités de collecte, de stockage, de sécurisation et de durée de conservation, afin d’être conforme au RGPD.
  • Le système de vidéosurveillance : installé dans une entreprise dans le but de contrôler les accès, le système de vidéosurveillance constitue un traitement de données, puisqu’une image est considérée comme une donnée personnelle. La conformité des conditions de collecte d’informations de cet outil vis-à-vis de Règlement Européen doit donc être vérifiée.
  • Le système de paiement par carte bancaire ou biométrique ;
  • Le fichier papier organisé selon un plan de classement (par ordre alphabétique par exemple).

Evidemment, cette liste n’est qu’un petit échantillon de tous les traitements soumis au RGPD.

La responsabilité de l’entreprise en cas de sous-traitance

Lorsqu’une entreprise confie le traitement des données à caractère personnel de ses clients à un prestataire, elle reste vis-à-vis de la loi, la seule et unique responsable, en cas de survenance d’un contentieux. C’est d’ailleurs pourquoi la CNIL recommande aux entreprises de s’assurer du sérieux et de la bonne foi des sous-traitants lors de la manipulation des données personnelles des clients. De même, elle doit pouvoir apporter la preuve qu’elle a effectivement mené ce suivi.

Articles liés à ce sujet :