JurisDoR
JurisDoR
Data gouv logo

Notion de traitement de données personnelles (général)

  • Lexique : Traitement de données à caractère personnel

« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

- Article 4, 2° du Règlement général sur la protection des données

Aucun seuil minimal de données n’est exigé pour caractériser un traitement de données personnelles. Il suffit qu’une opération de traitement soit effectuée à l’aide de procédés automatisés ou non.

I. Opération de traitement

Un traitement de données personnelle consiste en une ou plusieurs opérations de traitement. 

Pour être qualifié d’unique, un traitement doit former un tout cohérent, soit par la complémentarité objective des opérations, soit par l’unité de finalité poursuivie. À défaut, chaque opération indépendante sera considérée comme un traitement distinct. 

Lorsqu’un traitement comprend plusieurs opérations, celles-ci constituent alors différentes étapes dans la chaîne de traitement de données.

La notion d’opération de traitement n’est pas définie par la loi ou la jurisprudence.

Le RGPD propose seulement une liste non exhaustive d'opérations : « la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

II. Traitement ultérieur

Tout traitement qui intervient après le traitement initial, c’est-à-dire après la collecte des données, constitue un traitement ultérieur.

III. Traitement automatisé ou non

Lorsque l’ensemble des tâches est réalisé par des machines, un algorithme, sans intervention humaine, le traitement est dit automatisé. – Article 2 de la Loi Informatique et Libertés

Lorsque le traitement est automatisé, il est soumis au droit de la protection des données personnelles.

⚠︎ Attention

Il est interdit de prendre une décision à l’égard d’une personne par une décision exclusivement automatisée. Il faut, dans ce cas, nécessairement une action humaine, sauf : 

  • si le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • la décision est autorisée et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
  • si le consentement explicite de la personne concernée.

Article 22 de la Règlement général sur la protection des données

Un traitement non automatisé portant sur des données qui ne se trouvent pas ou ne sont pas destinées à figurer dans un fichier, ne relève pas du droit des données personnelles. Toutefois, dès lors que les données constituent un ensemble structuré, consultable ou accessible, le cadre juridique de la protection des données personnelles s’applique.

  • Lexique : Fichier

« Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

- Article 4, 6° du Règlement général sur la protection des données