La présente section analyse la lettre de la loi dans le but de trouver une approche structurée et systématique pour discuter des mesures que les responsables du traitement sont mandatés pour mettre en œuvre par l’art. 25 du RGPD. La systématique et la structure qui en résultent sont ensuite utilisées dans la section 2.3.3.1 sur les mesures qui constitue l’orientation la plus concrète pour les praticiens.
Pour favoriser une bonne compréhension du texte, l’encadré suivant définit deux termes souvent utilisés.
| Définition : activité de traitement
Le terme activité de traitement est ici utilisé au sens de l’art. 30 du RGPD relatif aux registres des activités de traitement et de l’article 4(16)(b) du RGPD. Dans les deux cas, une activité de traitement est l’unité de base autonome de l’entreprise d’un responsable du traitement qui implique le traitement de données à caractère personnel. Une activité de traitement subit un cycle de vie qui comprend la conception, le design, la mise en œuvre, l’exploitation et le démantèlement. Définition :opération de traitement Le terme “traitement” désigne uniquement la phase opérationnelle d’une activité de traitement au cours de laquelle un système de traitement est utilisé pour traiter effectivement des données à caractère personnel. Il implique l’exécution des opérations de traitement telles qu’elles sont définies à l’art. 4(2) duRGPD. D’autres aspects des activités de traitement, tels que la conception et le design, ne permettent pas d’exécuter ces opérations de traitement et ne sont donc pas considérés comme faisant partie des opérations de traitement. |