📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 2 du RGPD : Champ d’application matériel

Sommaire

Introduction

Le Règlement Général sur la Protection des Données (RGPD) s’applique à une grande variété de traitements de données personnelles. L’article 2 précise le champ d’application matériel du règlement, c’est-à-dire les situations et traitements auxquels le RGPD s’applique, ainsi que ceux qui en sont exclus. Dans cette page, nous détaillerons cet article essentiel pour comprendre l’étendue du RGPD.

Explication de l’article

L’article 2 du RGPD définit le champ d’application matériel du Règlement, c’est-à-dire à quelles situations il s’applique.

À quels traitements le RGPD s’applique-t-il ?

Il s’applique à tous les traitements de données personnelles, qu’ils soient automatisés (avec des ordinateurs) ou non, à condition que les données soient dans un fichier ou destinées à y figurer.

Le règlement ne couvre toutefois pas toutes les situations. Il ne s’applique pas :

  • aux activités qui échappent au droit de l’Union ;
  • aux activités des États membres liées à la politique étrangère et de sécurité ;
  • aux traitements effectués par une personne physique dans un cadre strictement personnel ou domestique ;
  • aux traitements effectués par les autorités compétentes pour prévention et répression des infractions pénales, y compris la protection contre les menaces à la sécurité publique.

L’article rappelle également que le règlement (CE) n° 45/2001 reste applicable aux traitements effectués par les institutions et organismes de l’Union, et que le RGPD est compatible avec la directive 2000/31/CE sur la responsabilité des prestataires de services intermédiaires.

En résumé, l’article 2 délimite précisément l’étendue du RGPD, en incluant tous les traitements pertinents, qu’ils soient numériques ou sur papier, et en précisant les exceptions.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1.Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué:

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;

b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne;

c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

3. Le règlement (CE) no 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.

4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 2

La présente loi s’applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions prévues à l’article 3 de la présente loi, à l’exception des traitements mis en œuvre par des personnes physiques pour l’exercice d’activités strictement personnelles ou domestiques.

Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Sauf dispositions contraires, dans le cadre de la présente loi s’appliquent les définitions de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016.

Article 42

I– Le présent titre ne s’applique pas aux traitements de données à caractère personnel effectués :

  • Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union européenne, notamment les traitements mentionnés au titre IV ;
  • Dans le cadre d’activités qui relèvent du champ d’application du chapitre II du titre V du traité sur l’Union européenne ;
  • Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ;
  • Aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

II- Le présent titre s’applique sans préjudice des articles 32-3-3,32-3-4 et 34-4 du code des postes et des télécommunications relatifs à la responsabilité des prestataires de services intermédiaires tels que modifiés par l’article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et 10 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

III- Le présent titre s’applique sans préjudice des dispositions de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique..

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 3 

  1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
  2. La présente directive ne s’applique pas au traitement de données à caractère personnel:

– mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

– effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.

Analyse des 3 textes qui précèdent 

Champ d’application matériel

  • Directive 95/46/CE : s’appliquait à tout traitement de données personnelles, automatisé ou non, dès lors que les données étaient contenues ou destinées à figurer dans un fichier, pour le secteur public et privé.
  • RGPD (article 2) : reprend exactement ce champ d’application, donc pas de changement fondamental. L’apport principal réside dans la clarification et la modernisation du langage, garantissant une meilleure compréhension du champ couvert.
  • Loi Informatique et Libertés (France) : transposition fidèle du champ de la Directive et du RGPD, en précisant que le traitement inclut toute opération sur les données, quel que soit le procédé utilisé.

Exceptions au champ d’application

  • Directive 95/46/CE : excluait les traitements hors champ du droit communautaire (sécurité publique, défense, droit pénal) et les activités personnelles ou domestiques.
  • RGPD (article 2) : reprend ces deux exceptions et ajoute une nouvelle exception pour les activités des États membres liées à la politique étrangère et à la sécurité commune.
  • Loi Informatique et Libertés : suit ces exclusions et inclut également les traitements personnels ou domestiques, sans ajouter de restriction supplémentaire notable.

Traitements liés à la sécurité et à la justice pénale

  • Directive 95/46/CE : excluait du champ les traitements effectués par les autorités compétentes pour la prévention, la poursuite ou l’exécution des sanctions criminelles.
  • RGPD (article 2) : ces traitements restent désormais sous le champ d’application du Règlement, ce qui constitue un apport majeur par rapport à la Directive.
  • Loi Informatique et Libertés : s’aligne sur le RGPD en intégrant cette orientation, garantissant que ces traitements sont également couverts.

Compatibilité avec d’autres règles

  • RGPD : précise explicitement qu’il ne porte pas atteinte à la Directive e-commerce (2000/31/CE) concernant la responsabilité des intermédiaires, ce point n’était pas mentionné dans la Directive ni dans la loi française.

Conclusion sur les apports

  • Le RGPD clarifie le champ d’application et modernise le langage par rapport à la Directive.
  • Il élargit le champ à certains traitements liés à la sécurité et à la justice pénale qui étaient exclus auparavant.
  • Il introduit une nouvelle exception pour la politique étrangère et la sécurité commune des États membres.
  • La Loi Informatique et Libertés suit fidèlement le RGPD, avec quelques précisions locales mais sans modifier les grands principes.

Jurisprudences 

Françaises 

Cass. Fr., n° 22-15.070 du 11 octobre 2023 

Sanction : Annulation de la décision de la cour d’appel : Affaire de perquisitions fiscales : contestation pour non-respect du RGPD. La Cour rappelle que le RGPD s’applique aux traitements fiscaux (lutte contre la fraude ≠ enquête pénale).

L’administration doit respecter le RGPD, sauf exceptions strictes et justifiées. 

Européennes 

C-740/22 (7 mars 2024) – Endemol Shine Finland

La CJUE devait décider si le fait de communiquer des données personnelles à l’oral était concerné par le RGPD.

La Cour rappelle que le RGPD s’applique à tout traitement de données personnelles, qu’il soit informatisé ou manuel, dès que les données sont dans un fichier ou un système organisé.
 Elle précise que même une communication orale de données peut être considérée comme un traitement si elle est liée à un système structuré de conservation des données, comme un registre ou une base de données.

En résumé, l’article 2 du RGPD couvre non seulement les données écrites ou numériques, mais aussi celles transmises à l’oral, tant qu’elles sont reliées à un système organisé pour les gérer.

C-313/23 (30 avril 2025)  – Inspektorat kam Visshia sadeben savet

L’affaire Inspektorat kam Visshia sadeben savet portait sur la question de savoir si la levée du secret bancaire par une autorité nationale était concernée par le RGPD.

La CJUE rappelle que cette opération constitue un traitement de données personnelles. Elle ne peut pas être exclue du RGPD simplement parce qu’il s’agit d’une activité nationale.

En résumé, l’accès aux comptes bancaires des magistrats et de leurs proches est bien soumis au RGPD et doit respecter toutes ses règles et garanties.

Recommandations 

CNIL

Recommandation sur les applications mobiles (2024)

Dans sa recommandation relative aux applications mobiles, la CNIL précise que le RGPD s’applique à l’ensemble des traitements de données personnelles mis en œuvre par l’application, qu’ils soient automatisés ou non. Elle souligne également que le RGPD s’applique aux traitements effectués par des acteurs établis sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’UE, ainsi qu’aux traitements effectués par des acteurs non établis dans l’UE, lorsque les activités de traitement sont liées à l’offre de biens ou de services à des personnes dans l’UE ou au suivi du comportement de ces personnes au sein de l’UE.

En ce qui concerne l’exemption domestique prévue à l’article 2.2.c du RGPD, la CNIL précise que le règlement ne s’applique pas aux traitements de données personnelles effectués par une personne physique dans le cadre d’activités strictement personnelles ou domestiques, telles que l’échange de correspondance ou la tenue d’un carnet d’adresses. Elle souligne que cette exemption vise à exclure les activités privées de la portée du RGPD.

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.