L'article 2 du Règlement Général sur la Protection des Données (RGPD) définit le champ d'application matériel du règlement. Il précise de manière fondamentale quels traitements de données personnelles sont soumis au RGPD et, à l'inverse, dans quelles situations le règlement ne s'applique pas.
Cet article constitue une étape clé dans toute démarche de conformité RGPD. Avant même d'identifier des obligations, de désigner un DPO ou de mettre en place des mesures de sécurité, il est indispensable de déterminer si les traitements de données réalisés par une organisation entrent bien dans le périmètre du RGPD. Une mauvaise interprétation de l'article 2 peut conduire à des erreurs majeures de conformité.
Texte officiel de l'article 2 du RGPD
L'article 2 dispose :
Le présent règlement s'applique au traitement de données à caractère personnel effectué, en tout ou en partie, à l'aide de procédés automatisés ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union ;
b) par les États membres dans le cadre d'activités relevant du champ d'application du titre V, chapitre 2, du traité sur l'Union européenne ;
c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.Pour le traitement de données à caractère personnel par les institutions, organes et organismes de l'Union, le règlement (CE) n° 45/2001 s'applique.
Le présent règlement s'applique sans préjudice de l'application de la directive 2000/31/CE.
(Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016)
Explication générale de l'article 2
L'article 2 précise que le RGPD s'applique à tous les traitements de données à caractère personnel, dès lors qu'ils sont soit automatisés, soit organisés dans un fichier structuré. Contrairement à une idée reçue, le règlement ne concerne pas uniquement les traitements informatiques. Les fichiers papier, lorsqu'ils sont organisés selon des critères permettant de retrouver des personnes (par exemple par nom, par numéro de dossier ou par service), entrent pleinement dans son champ d'application.
Ainsi, le RGPD couvre une grande diversité de situations : bases de données clients, logiciels RH, outils CRM, fichiers de prospection commerciale, dossiers du personnel, mais aussi archives papier structurées. L'approche retenue par le législateur européen est volontairement large afin d'assurer une protection effective des personnes, indépendamment des moyens techniques utilisés.
Les traitements de données concernés par le RGPD
Le champ d'application matériel repose sur deux notions centrales : le traitement de données personnelles et l'existence d'un fichier.
Un traitement correspond à toute opération réalisée sur des données personnelles, comme la collecte, l'enregistrement, la consultation, la modification, la transmission ou la suppression. Le RGPD s'applique aussi bien aux traitements entièrement automatisés qu'aux traitements partiellement automatisés ou non automatisés, dès lors que les données sont structurées.
Cette approche reflète le principe de neutralité technologique du RGPD. Peu importe l'outil ou la technologie utilisée : c'est la finalité et l'organisation du traitement qui déterminent l'applicabilité du règlement.
Les exclusions prévues par l'article 2
L'article 2 prévoit toutefois plusieurs exclusions strictes, qui doivent être interprétées de manière restrictive.
Le RGPD ne s'applique pas aux traitements réalisés dans le cadre d'activités ne relevant pas du droit de l'Union européenne, notamment certaines activités régaliennes des États. Il est également exclu pour les traitements liés à la sécurité nationale et à la politique étrangère, relevant du titre V du Traité sur l'Union européenne.
Une exclusion fréquemment invoquée concerne les activités strictement personnelles ou domestiques. Il s'agit par exemple de la gestion d'un carnet d'adresses privé ou de l'usage personnel des réseaux sociaux, à condition que ces activités ne sortent pas de la sphère privée. Dès lors qu'une activité prend une dimension professionnelle, associative ou publique, cette exclusion ne s'applique plus.
Enfin, les traitements réalisés par les autorités compétentes à des fins pénales relèvent d'un régime juridique distinct, aujourd'hui encadré par la directive (UE) 2016/680, transposée en droit national.
Traitements des institutions européennes et textes connexes
L'article 2 précise que les traitements réalisés par les institutions, organes et organismes de l'Union européenne ne relèvent pas directement du RGPD, mais d'un règlement spécifique, aujourd'hui remplacé par le règlement (UE) 2018/1725.
Le RGPD s'applique également sans préjudice de la directive 2000/31/CE sur le commerce électronique. Cela signifie que les règles spécifiques relatives à la responsabilité des prestataires de services en ligne continuent de s'appliquer parallèlement aux obligations de protection des données.
Analyse juridique et portée de l'article 2
L'article 2 joue un rôle fondamental dans l'architecture du RGPD. Il ne crée pas d'obligations opérationnelles en tant que telles, mais il conditionne l'application de l'ensemble du règlement. En pratique, il constitue la porte d'entrée juridique de toute démarche de conformité.
Il rappelle que la protection des données personnelles est conçue comme un droit fondamental, reconnu notamment par l'article 8 de la Charte des droits fondamentaux de l'Union européenne et par l'article 16 du Traité sur le fonctionnement de l'Union européenne. À ce titre, les exclusions prévues doivent être interprétées strictement afin de ne pas affaiblir la protection des personnes concernées.
Jurisprudence et pratique des autorités de contrôle
Il existe peu de jurisprudence spécifiquement dédiée à l'article 2 du RGPD. Cela s'explique par son caractère introductif et déclaratif. En revanche, il est régulièrement mobilisé de manière indirecte par les autorités de contrôle, notamment la CNIL, pour déterminer si une organisation pouvait légitimement considérer qu'elle n'était pas soumise au RGPD.
Dans la pratique, les autorités attendent des responsables de traitement qu'ils soient en mesure de documenter leur analyse du champ d'application, conformément au principe de responsabilité (« accountability »).
Recommandations des autorités
La CNIL et le Comité européen de la protection des données (CEPD) rappellent régulièrement que le RGPD doit être interprété de manière large lorsqu'il s'agit de protéger les droits des personnes. En cas de doute sur l'applicabilité du règlement, il est recommandé de considérer que le RGPD s'applique et de documenter les traitements en conséquence.
L'analyse du champ d'application matériel constitue ainsi une étape essentielle des audits RGPD, des analyses d'impact (AIPD) et de la mise en place d'une gouvernance des données conforme au droit européen.
L'article 2 du RGPD définit de manière précise et structurante le périmètre des traitements soumis au règlement. Il rappelle que la conformité RGPD commence toujours par une analyse rigoureuse du champ d'application matériel. Comprendre cet article permet d'éviter les erreurs d'interprétation, de sécuriser juridiquement les traitements de données et de poser des bases solides pour une conformité durable.