Les opérations de traitement dans le cadre du RGPD
Home » RGPD » Concepts principaux » Protection des données dès la conception et par défaut » Analyse de l’article 25. La protection des données dès la conception » Les opérations de traitement dans le cadre du RGPD

Les paragraphes suivants analysent ce que le RGPDdéfinit comme un traitement.

L’art. 5(1)(f) du RGPD stipule la nécessité d’une “protection contre le traitement non autorisé […]”. Cela implique que le traitement ordinaire doit être autorisé. Il ressort également clairement du contexte que cette autorisation doit émaner du responsable du traitement qui porte l’entière responsabilité du traitement. Mais comment un responsable du traitement peut-il limiter le traitement à ce qui est autorisé ?

Une réponse partielle à cette question peut être trouvée dans l’art. 29 du RGPD : “Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou du sous-traitant, qui a accès à des données à caractère personnel, ne traite ces données que sur instruction du responsable du traitement, […].” De même, l’art. 32(4) du RGPD utilise une formulation très similaire. L’art. 29 du RGPD implique la conception suivante :

  • Le traitement est exécuté parune “personne physique agissant sous l’autorité du responsable du traitement ou du sous-traitant“. Ces personnes sont le plus souvent des employés du responsable du traitement, mais elles peuvent aussi travailler pour un sous-traitant ou travailler sans emploi effectif[1] . Elles sont appelées ressources humaines dans la suite du texte. À noter que ces personnes contrôlent à leur tour des moyens techniques qui supportent ou automatisent partiellement le traitement[2] .
  • Le moyen par lequel un responsable du traitement s’assure que seul un traitement autorisé a lieu est dedonner des instructions.

Pour garantir que seul le traitement autorisé a lieu, les instructions doivent préciser tous les aspects pertinents de l’activité de traitement : qui, quand, quoi et comment. En d’autres termes, les ressources humaines doivent agir uniquement sur instruction (qui, quand) et selon les instructions (quoi, comment).

Bien qu’avec moins de clarté, le RGPD indique également que des ressources techniques sont nécessaires. Cela est très clair dans le considérant 39 (phrase 12) qui parle de “l’équipement utilisé pour le traitement “. D’autres termes liés aux ressources techniques qui sont utilisés dans le RGPD sont “équipement de traitement des données” dans l’art. 58(1)(f) et les “systèmes de traitement” à l’art. 32(1)(b).

Alors que le RGPD utilise le terme instruction uniquement dans le contexte des ressources humaines, il est clair que les ressources techniques ont également besoin d’instructions afin d’exécuter uniquement le traitement autorisé. Dans le domaine technique, le terme instructions de la machine est utilisé ici. Les logiciels constituent un type important de ces instructions.

En résumé, lorsqu’on s’intéresse à une ressource individuelle (humaine ou technique), le RGPDdéfinit un traitement comme suit :

traitement individuel
=
exécution des instructions du responsable du traitementpar une seule ressource

Dans la plupart des cas, l’ensemble des opérations de traitement implique un système composé d’une multitude de ressources humaines et techniques en interaction. Ceci s’exprime de la manière suivante :

opérations globales de traitement
=

une multitude d’opérations de traitement individuelles
exécutées par des ressources humaines et techniques individuelles

Figure 1: La conception d’un traitement selon le RGPD.

La Figure 1 illustre le concept d’opérations de traitement du RGPD dans un contexte plus large. Elle illustre le domaine de responsabilité du responsable du traitement par un cadre en pointillés. Le responsable du traitement détermine les opérations de traitement autorisées en émettant ou en sélectionnant/approuvant les instructions[3] à la fois aux ressources humaines (RH) qui agissent sous son autorité (voir l’article 29 du RGPD) et aux ressources techniques (RT) sous son contrôle. Toutes les ressources interagissent pour former le système de traitement global. Le contexte de ce système de traitement est défini par les personnes concernées qui interagissent avec les ressources humaines et/ou techniques, et éventuellement les destinataires tiers (voir art. 4(9) et (10) du RGPD) auxquels les ressources divulguent des données à caractère personnel.

Ce modèle de traitements représente les traitements autorisés par le responsable du traitement. Il est utilisé dans la section suivante pour mieux comprendre ce qu’implique réellement la détermination des moyens.

 

 

  1. Voir également les lignes directrices de l’EDPB sur les concepts de responsable du traitement et de sous-traitant dans le RGPD, paragraphe 88, pour une discussion sur la signification des “personnes qui, sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter des données à caractère personnel”.
  2. Notez que même dans le cas d’un “traitement entièrement automatique”, c’est toujours une personne qui contrôle ce traitement en le démarrant et en l’arrêtant. Le contrôle par une personne est encore plus évident lorsqu’il s’agit d'”outils” informatisés qui sont utilisés par des humains via une interface homme-machine.
  3. La sélection et l’approbation des instructions par un contrôleur se font par exemple lors de l’acquisition d’un logiciel standard ou lorsqu’un contrôleur choisit le service d’un sous-traitant donné.
Aller au contenu principal