LES DÉFINITIONS DU RGPD

Le RGPD crée un échafaudage complexe de notions clés qu'ils convient d'appréhender sous un angle juridique, technique et organisationnel afin d'assurer la conformité des traitements.

LES DÉFINITIONS DU RGPD SONT DES CLÉS D'INTERPRÉTATION ESSENTIELLES

Le RGPD comporte vingt-six définitions, il convient néanmoins de maitriser avant tous les contours conceptuels des principales d'entre-elles afin de qualifier les situations rencontrées. 

Données à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.​​

  • Données concernant la santé : données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne

  • Données génétiques : données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question​.

  • Données biométriques : données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

Traitement

Il s’agit de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

  • Limitation du traitement : le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

  • Profilage : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

  • Pseudonymisation : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

  • Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

Responsable du traitement

Il s'agit de la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

  • Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement

  • Responsable conjoint de traitement : le responsable de traitement qui détermine conjointement avec un ou plusieurs autres responsables de traitements les finalités et les moyens du traitement

  • Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

  • Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des définitions dans le cadre du processus de validation des traitements,

  • La qualification des données personnelles nécessite de procéder à une analyse dans le contexte précis, d'un point de vue métier et opérationnel au regard de la finalité du traitement et de la destination des données

  • Les définitions du RGPD sont d'autant plus importantes qu'elles seront au centre de la constitution des différents registres du responsable de traitement et du sous-traitant

  • La qualification du traitement doit être opérée en tenant compte du contexte technologique en prenant en compte le degré de sensibilité qui en résulte  

  • La qualification des acteurs nécessite de prendre en compte un faisceau d'indices reposant notamment sur la réalité des traitements, la documentation contractuelle et opérationnelle et les habilitation des intervenants résultant le cas échéant de prérogatives légales. 

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris