Qu’est-ce qu’un traitement de données ?

Un traitement de données est toute opération ou tout ensemble d’opérations effectuées :

  • A l’aide de procédés automatiques
  • Mais aussi des opérations faites sans procédés automatiques : « à la main », sur support papier
  • Appliquées sur des données ou des ensembles de données à caractère personnel.

Un traitement de données poursuit un objectif, une finalité.

Ces opérations consistent en :  

  • La collecte, l’enregistrement
  • L’organisation, la structuration
  • La conservation, l’adaptation ou modification
  • L’extraction, la consultation, l’utilisation
  • La communication par transmission, la diffusion ou toute autre forme de mise à disposition
  • Le rapprochement, l‘interconnexion
  • La limitation, l’effacement ou la destruction.

Le fait de réaliser une ou plusieurs de ces opérations sur des données à caractère personnel constituent un traitement de données.

Les données à caractère personnel sont contenues dans un fichier.

Un fichier est un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés

  • Que ce soit centralisé ou décentralisé ou
  • Réparti de manière fonctionnelle ou géographique.

Plusieurs fichiers peuvent constituer ou alimenter un traitement de données.

Article 4 du RGPD – Définitions

Qu’est-ce qu’une donnée à caractère personnel ?

La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).

Plusieurs conditions sont donc nécessaires :

  • Une information
    • Information de tout type : nom, identifiant, code, photo, …
    • Sur tout support : papier, film de caméra, disque dur, clé USB, …
    • Révélée par la personne concernée ou par un tiers
  • Une personne physique
    • Exclusion des personnes morales et des personnes décédées
  • Identifiée ou identifiable
    • Directement : nom, prénom…
    • Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone, empreinte, voix, image, numéro de séjour, ID patient, …
    • A partir d’une seule donnée : ADN
    • A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel institut

La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit.

Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employé par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Article 4 du RGPD – Définitions

Qu’est-ce que la réglementation sur la protection des données ?

L’objectif de cette règlementation est de protéger les droits et les libertés des personnes concernées. Toute la règlementation vise à garantir à la personne concernée cette protection ainsi que le respect de la vie privée.

En France, la première réglementation relative à la protection des données à caractère personnel remonte à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Libertés (LIL).

L’évolution des techniques, leur faculté à dépasser les frontières et le recours toujours plus présent aux données identifiantes ont mis à jour la nécessité d’adopter des textes au niveau européen et international.

Une première directive européenne a été adoptée en 1995 (directive 95/46/CE). Avec l’évolution des pratiques et des technologies, il est apparu nécessaire de réformer et harmoniser le cadre européen applicable.

Les discussions européennes ont abouti à l’adoption du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, et abrogeant la directive 95/46/CE  dit « Règlement général sur la protection des données » ou « RGPD ».

Un règlement européen est un texte qui suppose une application directe dès son entrée en application par les Etats membres de l’Union européenne. Pour ce faire, certaines adaptations du droit national sont parfois nécessaires. C’est ainsi qu’une période de deux ans a été laissée aux Etats membres pour prendre les mesures nécessaires pour se mettre en conformité. Le RGPD est donc entré en application le 25 mai 2018.

Le législateur européen a laissé aux Etats membres une certaine marge de manœuvre pour appliquer le RGPD. Ceci a conduit la France a modifié la LIL de 1978.

Ainsi la règlementation relative à la protection des personnes est constituée du RGPD, de la LIL mais aussi des autres dispositions législatives et réglementaires spécifiques à certains secteurs, liées à des modalités de communication relatives à la protection des données à caractère personnel. Tel est le cas par exemple de dispositions prévues par le code des postes et des communications électroniques ou par le code de la santé publique.

Règlement général sur la protection des données – RGPD
Loi informatique et libertés – LIL
Code de la santé publique
Code des postes et des communications électroniques