Article 4 Définitions

La notion de donnée à caractère personnel

La donnée à caractère personnel est définie comme toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est considérée comme identifiable dès lors qu'elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité.

Cette définition est volontairement large. Elle inclut aussi bien des données évidentes, comme un nom ou une adresse e-mail nominative, que des données indirectes, telles qu'une adresse IP, un identifiant cookie ou des données de géolocalisation, dès lors qu'un lien avec une personne physique peut être établi.

La notion de traitement de données personnelles

Le traitement est défini comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel. Cette notion couvre l'intégralité du cycle de vie des données, depuis leur collecte jusqu'à leur suppression.

Sont notamment considérés comme des traitements la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la communication, la diffusion, l'effacement ou la destruction de données.

Cette définition très extensive implique que la quasi-totalité des opérations réalisées sur des données personnelles entrent dans le champ du RGPD.

Le responsable du traitement et le sous-traitant

Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement. Il s'agit de l'acteur central de la conformité RGPD, sur lequel reposent les principales obligations prévues par le règlement.

Le sous-traitant est, quant à lui, la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Il agit sur instruction de ce dernier et dans un cadre contractuel strictement encadré par l'article 28 du RGPD.

La distinction entre responsable du traitement et sous-traitant est fondamentale, car elle détermine la répartition des responsabilités, notamment en cas de contrôle ou de violation de données.

La personne concernée

La personne concernée est la personne physique dont les données à caractère personnel font l'objet d'un traitement. Cette notion est au cœur du RGPD, puisque l'ensemble des droits reconnus par le règlement (droit d'accès, de rectification, d'effacement, d'opposition, etc.) sont accordés à cette personne.

Le RGPD protège exclusivement les personnes physiques. Les données relatives aux personnes morales ne sont pas, en tant que telles, couvertes par le règlement, sauf lorsqu'elles permettent indirectement d'identifier une personne physique.

Le consentement

Le consentement est défini comme toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Cette définition impose des exigences strictes. Le consentement ne peut être ni présumé, ni implicite, ni contraint. Il doit pouvoir être retiré à tout moment, aussi facilement qu'il a été donné. Cette notion est centrale dans de nombreux traitements, notamment en matière de prospection commerciale et de services numériques.

La violation de données à caractère personnel

Une violation de données est définie comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.

Cette définition englobe aussi bien les cyberattaques que les erreurs humaines, telles que l'envoi d'un e-mail à un mauvais destinataire ou la perte d'un support contenant des données personnelles. Elle constitue le point de départ des obligations de notification prévues aux articles 33 et 34 du RGPD.

La pseudonymisation et le profilage

La pseudonymisation désigne un traitement de données personnelles visant à rendre les données non directement attribuables à une personne concernée, sans information supplémentaire conservée séparément. Il s'agit d'une mesure de sécurité recommandée par le RGPD, mais qui ne fait pas sortir les données du champ d'application du règlement.

Le profilage est défini comme toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels d'une personne physique, notamment pour analyser ou prédire des éléments relatifs à son comportement, ses préférences ou sa situation.

Portée juridique et rôle interprétatif de l'article 4

L'article 4 a une portée transversale. Les définitions qu'il contient s'appliquent à l'ensemble du règlement et conditionnent l'interprétation des autres articles. Une mauvaise qualification juridique d'un concept issu de l'article 4 peut conduire à une analyse erronée de la conformité RGPD.

Les autorités de contrôle, comme la CNIL, et les juridictions nationales et européennes se réfèrent systématiquement à ces définitions pour apprécier la licéité des traitements et le respect des obligations du règlement.

Implications pratiques pour les organisations

Pour les entreprises et organismes publics, l'article 4 impose une rigueur terminologique et méthodologique. Identifier correctement ce qui constitue une donnée personnelle, un traitement, un responsable ou un sous-traitant est un préalable indispensable à toute démarche de conformité.

Ces définitions doivent être intégrées dans les politiques internes, les contrats, les registres de traitements et les formations RGPD, afin d'assurer une compréhension homogène et conforme au droit européen.