Article 4 du RGPD : Définitions
Sommaire
Introduction
La protection de données à caractère personnel est un enjeu central de la réglementation européenne. L’article 4 du Règlement Général sur la Protection des Données (RGPD) regroupe les définitions essentielles nécessaires à la compréhension et à l’application du texte. Ces définitions précisent les notions clés, comme celles de données à caractère personnel, de traitement, de responsable du traitement ou encore de sous-traitant. Dans cette page, nous explorerons en détail cet article qui constitue le socle terminologique du RGPD.
Explication de l’article
L’article 4 du RGPD contient 26 définitions qui constituent le socle terminologique du règlement. Leur compréhension est indispensable pour appliquer correctement les règles et construire une conformité solide. Nous allons les passer en revue, avec des exemples concrets.
Données à caractère personnel
Ce sont toutes les informations permettant d’identifier, directement ou indirectement, une personne physique.
Exemple : un nom, un prénom, un numéro de sécurité sociale, une adresse e-mail, des données de localisation ou encore un enregistrement vocal.
⚠️ Les données relatives aux personnes morales (entreprises, associations, États) ne sont pas concernées. Mais attention : dans le cadre B2B, il existe aussi des données personnelles (par exemple l’adresse e-mail professionnelle [email protected]).
Traitement
Un traitement, c’est toute opération réalisée sur une donnée personnelle, qu’elle soit automatisée ou non : collecte, enregistrement, conservation, modification, transmission, effacement, etc.
Autrement dit, dès qu’on manipule une donnée personnelle, on effectue un traitement.
Responsable de traitement et sous-traitant
- Le responsable de traitement détermine les finalités (le pourquoi) et les moyens (le comment) du traitement.
- Le sous-traitant agit pour le compte du responsable et selon ses instructions.
Exemple : une entreprise B confie son fichier client à une agence A pour l’envoi de newsletters. B = responsable, A = sous-traitant.
⚠️ Mais si A traite aussi des données pour ses propres besoins (par exemple pour recruter son personnel), alors A devient responsable de traitement pour cette finalité-là.
Destinataire
Toute personne ou organisme qui reçoit communication de données.
Exemple : une caisse de sécurité sociale recevant des données transmises par un hôpital.
Tiers
Toute personne autre que la personne concernée, le responsable, le sous-traitant ou les personnes autorisées par eux.
Consentement
C’est une manifestation de volonté libre, spécifique, éclairée et univoque de la personne concernée.
Cela exclut :
- les cases pré-cochées,
- le silence interprété comme un accord,
- ou les choix biaisés.
La personne doit pouvoir accepter ou refuser sans subir de conséquence négative, et elle peut retirer son consentement à tout moment (article 7 RGPD).
Limitation du traitement
C’est le droit, pour une personne, de demander à ce que ses données ne soient utilisées que de façon restreinte, en attendant une action précise.
Exemple : un individu demande la suspension de l’utilisation de ses données erronées le temps qu’elles soient rectifiées.
Autre exemple : une personne peut demander la conservation plus longue d’images de vidéosurveillance en vue d’une procédure judiciaire.
Profilage
C’est un traitement automatisé de données personnelles visant à analyser ou prédire certains aspects de la personne.
Exemple classique : l’évaluation d’un dossier de crédit bancaire par un algorithme.
Autre exemple : un réseau social qui analyse vos comportements pour proposer des publicités ciblées.
⚠️ Le profilage peut avoir des effets négatifs (refus d’un crédit, discriminations). C’est pourquoi il est strictement encadré par l’article 22 du RGPD.
Pseudonymisation
C’est un traitement par lequel les données personnelles ne sont plus directement reliées à une personne, mais à un identifiant ou un pseudo.
Exemple : remplacer Dupont Jean par ID_2564.
Contrairement à l’anonymisation, la pseudonymisation permet de réidentifier la personne grâce à des informations supplémentaires. Elle reste donc une donnée personnelle.
Violation de données à caractère personnel
C’est une faille de sécurité entraînant la destruction, la perte, la divulgation ou l’accès non autorisé à des données personnelles.
Exemple : piratage d’une base de données clients (attaque externe).
Exemple : suppression accidentelle de fichiers par un salarié (erreur interne).
Données génétiques
Ce sont les informations relatives aux caractéristiques génétiques d’une personne, souvent issues d’analyses biologiques (exemple : test ADN).
Elles sont classées comme données sensibles (article 9 RGPD) et leur traitement est en principe interdit, sauf exceptions légales (santé, recherche, enquête judiciaire).
Données biométriques
Il s’agit de données personnelles liées aux caractéristiques physiques ou comportementales d’une personne permettant son identification unique.
Exemple : empreintes digitales, reconnaissance faciale, iris.
⚠️ Une simple photo n’est pas une donnée biométrique, sauf si elle est utilisée pour identifier une personne de manière automatisée. Comme les données génétiques, elles sont protégées comme données sensibles par l’article 9 du RGPD.
Données concernant la santé
Toute donnée relative à l’état physique ou mental d’une personne.
Exemple : dossier médical, prescription, résultat d’analyse.
Entreprise
Toute entité exerçant une activité économique, indépendamment de sa forme juridique (y compris associations).
Groupe d’entreprises
Un ensemble composé d’une entreprise mère et de ses filiales.
Autorité de contrôle
Autorité publique indépendante chargée de surveiller l’application du RGPD.
Exemple : la CNIL en France.
Autorité de contrôle concernée
Autorité de contrôle impliquée lorsqu’un traitement affecte plusieurs États membres.
Traitement transfrontalier
- Soit un traitement effectué dans plusieurs États membres.
- Soit un traitement ayant un impact significatif sur des personnes situées dans plusieurs États membres.
Objection motivée et pertinente
Objection formulée par une autorité de contrôle concernant un projet de décision d’une autre autorité, avec justification solide.
Information de la société de l’information
Tout service fourni à distance par voie électronique à la demande individuelle d’un utilisateur.
Exemple : un site e-commerce, une application en ligne.
Représentant
Personne physique ou morale désignée dans l’UE par un responsable ou un sous-traitant établi hors UE pour servir de point de contact avec les autorités et les personnes concernées.
Entreprise commune
Cas où plusieurs responsables déterminent conjointement les finalités et moyens d’un traitement.
Règles d’entreprise contraignantes (BCR)
Politiques internes adoptées par un groupe d’entreprises pour permettre les transferts de données au sein du groupe, y compris en dehors de l’UE, dans le respect du RGPD.
Organisme de certification
Organisme accrédité qui délivre des certifications en matière de protection des données.
Exemple : certification ISO 27701 liée à la protection des données.
Texte original du RGPD
Aux fins du présent règlement, on entend par:
1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2) «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
3) «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;
4) «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
5) «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
6) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
7) «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
8) «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
9) «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
10) «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
11) «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
12) «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;
13) «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;
14) «données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
15) «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;
16) «établissement principal»,
a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;
17) «représentant», une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;
18) «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
19) «groupe d’entreprises», une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle;
20) «règles d’entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;
21) «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51;
22) «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;
b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;
23) «traitement transfrontalier»,
a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres;
24) «objection pertinente et motivée», une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union;
25) «service de la société de l’information», un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil ( 1 );
26) «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Article 2
Définitions
Aux fins de la présente directive, on entend par:
a) «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;
b) «traitement de données à caractère personnel» (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;
c) «fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
d) «responsable du traitement»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;
e) «sous-traitement»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
f) «tiers»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;
g) «destinataire»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu’il s’agisse ou non d’un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d’une mission d’enquête particulière ne sont toutefois pas considérées comme des destinataires;
h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Article 2
La présente loi s’applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions prévues à l’article 3 de la présente loi, à l’exception des traitements mis en œuvre par des personnes physiques pour l’exercice d’activités strictement personnelles ou domestiques.
Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Sauf dispositions contraires, dans le cadre de la présente loi s’appliquent les définitions de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016.
Analyse des 3 textes qui précèdent
L’article 4 du RGPD fixe les définitions essentielles en matière de protection des données : données personnelles, traitement, responsable et sous-traitant, consentement, mais aussi de nouvelles notions comme le profilage, la pseudonymisation ou encore la violation de données. Ces définitions modernes permettent d’adapter le droit aux réalités du numérique.
La directive 95/46/CE, plus ancienne, contenait déjà certaines définitions proches (données, traitement, responsable, sous-traitant, consentement). Cependant, elles étaient moins précises : par exemple, le consentement devait être « libre, spécifique et informé », sans l’exigence d’être « univoque ». Elle ne prévoyait pas non plus les nouvelles notions introduites par le RGPD.
La loi Informatique et Libertés de 1978, pionnière en France, avait aussi ses propres définitions, notamment la notion de « fichier »Depuis 2018, elle renvoie directement aux définitions du RGPD pour assurer une cohérence, tout en gardant quelques spécificités nationales.
En résumé, la directive a posé les bases, la loi française les a adaptées, et le RGPD, par son article 4, a modernisé et harmonisé définitivement les définitions à l’échelle européenne.
Jurisprudences
Européennes
C-131/12 (13 mai 2014) – Google Spain et Google
Cet arrêt, rendu le 13 mai 2014, a été une étape majeure dans la reconnaissance du droit à l’oubli en Europe. Il concernait une demande de suppression de liens vers des informations personnelles obsolètes ou inexactes apparaissant dans les résultats de recherche de Google. La CJUE a jugé que les moteurs de recherche sont responsables du traitement des données personnelles qu’ils indexent, même s’ils ne sont pas les auteurs de ces données.
Cet arrêt est directement lié à l’article 4 du RGPD, car il a clarifié la notion de « responsable du traitement ». La CJUE a estimé que Google, en tant qu’exploitant d’un moteur de recherche, détermine les finalités et les moyens du traitement des données personnelles des utilisateurs, ce qui en fait un responsable du traitement au sens de l’article 4, point 7 du RGPD.
Cette décision a eu un impact significatif sur la manière dont les moteurs de recherche et autres plateformes en ligne sont considérés en termes de responsabilité en matière de protection des données personnelles.
Française
Cass. Fr., n°17-19.523 (25 novembre 2020)
La Cour juge que les adresses IP sont des données personnelles, car elles permettent l’identification indirected’une personne.
Cette interprétation correspond à la définition de l’art. 4 §1 RGPD (« toute personne identifiée ou identifiable », y compris les identifiants en ligne).
Décision illustrant une conception large et évolutive de la donnée personnelle, cohérente avec l’esprit protecteur du RGPD.
Recommandations
CNIL
CEPD
Lignes directrices sur l’autorité de contrôle chef de file – wp244rev.01 (5 avril 2017)