Iñigo de Miguel Beriain (UPV/EHU)
Cette partie des lignes directrices a été revue par Daniel Jove Villares, Universidade Da Coruna, Espagne.
Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste, (APD RH).
Définition
Selon l’article 4(2) du RGPD, le traitement est “toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”.
Par conséquent, la notion de traitement est large. Elle couvre un large éventail d’opérations effectuées sur des données à caractère personnel, y compris par des moyens manuels ou automatisés, si elles font partie d’un fichier structuré, c’est-à-dire un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, qu’il soit centralisé, décentralisé ou dispersé sur une base fonctionnelle ou géographique (art. 4(6)).
Il est clair que la liste incluse dans l’article 4, paragraphe 2, n’est pas exhaustive, ce qui signifie que d’autres opérations avec des données à caractère personnel qui s’accordent avec la définition générale devraient également être considérées comme un traitement au sens du RGPD. Voici quelques exemples de traitements : la gestion du personnel et l’administration des salaires ; l’accès à/la consultation d’une base de données de contacts contenant des données à caractère personnel ; l’envoi de courriers électroniques promotionnels ; le déchiquetage de documents contenant des données à caractère personnel ; la publication/la mise en ligne de la photo d’une personne sur un site web ; le stockage d’adresses IP ou d’adresses MAC ; l’enregistrement vidéo (CCTV), etc. [1]
Le traitement comme concept clé dans le RGPD
Le traitement est un élément essentiel en termes de droits de protection des données. Ce que le RGPD réglemente réellement, ce ne sont pas les données elles-mêmes, mais le traitement des données personnelles. Cette utilisation des données déclenche l’application des règles de protection des données. En effet, l’article 1(1) du RGPD stipule que “Le présent règlement fixe les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation des données à caractère personnel.”
Les circonstances du traitement définissent les éléments réglementaires essentiels : la nécessité (ou non) de trouver une raison de traiter les données, s’il s’agit d’une catégorie particulière ; la base de légitimité appropriée ; s’il s’agit d’un traitement individuel ou d’un traitement à grande échelle ; le niveau de risque spécifique ; les garanties à mettre en œuvre ; etc. Chaque traitement sera, en somme, un événement distinct et indépendant, avec ses caractéristiques et son ampleur propres. Par conséquent, il faut toujours penser que les règles de protection des données s’appliquent à chacun d’entre eux.
- Commission européenne, What constitutes data processing, à l’adresse :https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_en. ↑