Comme le dispose le RGPD, le traitement de données personnelles désigne 

une opération réalisée sur des informations à caractère personnel

, telle que la collecte et l’utilisation de données par exemple. Découvrez les opérations concernées et vos obligations pour traiter les données personnelles de manière conforme.

Quelle est la définition du traitement de données personnelles ?

Une opération portant sur une donnée personnelle

Comme le dispose l'article 4.2 du RGPD (Règlement général sur la protection des données), le traitement de données personnelles désigne « 

 ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et 

appliquées à des données ou des ensembles de données à caractère personnel

La notion de traitement des données personnelles est donc très large

, dans l'optique de soumettre au cadre du RGPD un maximum d'opérations sur les données personnelles. À titre d'exemple, est notamment considéré comme une opération de traitement :

l'organisation, la structuration et la conservation ;

la communication, la diffusion ou la mise à disposition ;

la limitation, l'effacement et la destruction.

 : la tenue d'un fichier clients, la collecte de numéros de téléphone ou encore l'actualisation d'un fichier fournisseurs sont considérées comme des opérations de traitement des données personnelles.

le traitement de données personnelles doit présenter un objectif défini

, aussi appelé finalité. Autrement dit, une entreprise ne peut donc pas collecter d'informations personnelles sans but précis, simplement dans l'hypothèse où elle pourrait en avoir l'usage un jour.

chaque opération impliquant le traitement de données personnelles doit se voir assigner un but

. Ce but doit non seulement être légal, mais également présenter un intérêt pour l'activité de l'entreprise. En l'absence de but légitime, l'opération est considérée comme illégale (sauf exception).

: vous ne pouvez pas collecter le numéro de Sécurité sociale d'un client si celui-ci n'a aucun lien avec votre activité. En revanche, vous pouvez demander l'adresse e-mail si vous en avez l'utilité (contacter le client, informer de nouveautés, suivre une livraison, etc.).

Une opération pas obligatoirement informatisée

Contrairement à ce que l’on pourrait penser, le traitement de données personnelles ne concerne pas que les opérations informatisées et numériques. En effet, 

les opérations réalisées sur papier sont également concernées

 par l’application du RGPD, dès lors qu’elles concernent les informations personnelles d’une personne physique identifiable.

 : la collecte d’un numéro de téléphone à l’oral et son inscription sur un formulaire papier est considérée comme une opération de traitement de données personnelles. Elle est donc soumise aux mêmes obligations que l’enregistrement de cette information dans un fichier numérique.

Qu’est-ce qu’une donnée personnelle ?

Pour mieux appréhender le traitement de données personnelles, il convient de bien définir la notion de « donnée personnelle ». Comme le rappelle la Cnil (Commission nationale de l'informatique et des libertés), il s'agit d'

une information se rapportant à une personne physique identifiée ou identifiable

Plus concrètement, les informations concernées par le cadre relatif au traitement des données doivent remplir trois critères spécifiques.

 : l'information concernée doit présenter un caractère personnel, porter sur un élément incorporel, être formalisée et porteuse de sens (numéro de téléphone, nom et prénom, adresse, etc.).

: la donnée ne peut être personnelle que si elle porte sur une personne physique vivante. Ainsi, le traitement des données d'une personne morale (société) ou d'une personne décédée (sauf exception) n’est pas concerné par le RGPD.

 : l'information doit concerner une personne directement identifiée (prénom et nom par exemple), indirectement identifiée (identifiant client, numéro de téléphone, etc.) ou identifiable (à partir du croisement de plusieurs informations par exemple).

 : la tenue d'un fichier ne contenant que des informations relatives à une société (nom, adresse, numéro de téléphone du standard, etc.), sans mention de son personnel (adresse e-mail nominative par exemple), n'est pas considérée comme un traitement de données personnelles, car les informations ne portent pas sur une personne physique.

Quelles entreprises sont concernées par le traitement des données ?

Les organisations traitant des données personnelles

Tous les organismes traitant des données personnelles sont concernés par le RGPD

, à condition qu'ils remplissent au moins l'une des deux conditions suivantes :

être domicilié au sein de l'Union européenne ;

cibler directement des résidents de l'Union européenne.

Dès lors qu'elles réalisent des opérations de traitement des données (collecte, enregistrement, utilisation, etc.), 

les organisations doivent respecter le cadre du RGPD

, quel que soit leur forme juridique (auto-entreprise, SARL, SAS, etc.), l'objet de leur activité (activité commerciale, organisation à but non lucratif, administration publique, etc.) ou encore la nature du traitement réalisé.

Les sous-traitants de données personnelles

Le cadre du traitement des données à caractère personnel s'applique 

aussi aux sous-traitants réalisant des opérations de traitement pour le compte de tiers

 (EDPB) définit un sous-traitant comme étant « 

la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement

Les sous-traitants de données personnelles sont soumis aux mêmes obligations que les organisations traitant directement les informations personnelles et doivent, dans certains cas, respecter d'autres obligations spécifiques.

Comment traiter les données personnelles de manière conforme ?

1. Recenser les fichiers de données personnelles

Pour garantir un traitement conforme, l'organisation doit tout d'abord 

créer un registre listant les opérations réalisées sur les données personnelles

. Placé généralement sous la responsabilité du chef d'entreprise, ce registre doit contenir une fiche précise pour chaque activité réalisant des opérations de traitement des données personnelles. Cette fiche doit notamment présenter :

la finalité du traitement (information, fidélisation, etc.) ;

la nature des données utilisées (nom, prénom, adresse, numéro de téléphone, etc.) ;

les personnes ayant accès aux informations (ressources humaines, service commercial, etc.) ;

En vous appuyant sur le registre de traitement des données personnelles, vous pouvez vérifier votre conformité en vous assurant que vous respectez certaines pratiques essentielles.

Les données traitées sont nécessaires à votre activité

 et vous ne réalisez pas d'opérations inutiles.

Les données traitées ne sont pas sensibles

 ou, le cas échéant, vous avez le droit de les traiter.

Seules les personnes habilitées peuvent réaliser une opération

 sur les informations personnelles (collecte, enregistrement, utilisation, diffusion, etc.).

La durée de conservation des données est conforme

Pour être conforme au RGPD, le traitement des données doit être réalisé en accord avec les droits des personnes dont vous disposez des informations personnelles.

: les personnes dont vous collectez des données personnelles doivent notamment être informées de la finalité de la collecte, de l'identité du responsable du fichier, du destinataire du fichier ou encore des droits dont ils disposent.

 : chaque individu doit donner son consentement explicite, et si possible écrit, au traitement de ses données personnelles. Ce consentement est préalable à toute collecte d'informations à caractère personnel.

 : les individus doivent avoir la possibilité de s'opposer à la réutilisation de leurs données personnelles, notamment si celle-ci est réalisée dans une visée commerciale.

 : les personnes doivent pouvoir consulter les données les concernant, être informées de l'origine de ces données, en obtenir une copie ou encore demander à ce qu'elles soient rectifiées ou supprimées.

 : un individu peut demander à ce que les informations personnelles le concernant soient transmises à un autre responsable de données. C'est notamment le cas lorsqu’un consommateur passe à la concurrence par exemple.

Enfin, vous devez garantir la sécurité des données afin de les traiter conformément au RGPD. En tant qu'organisation traitant des informations directement ou en tant que sous-traitant, votre rôle est de 

limiter le risque de pertes de données et de piratage

. Dans cette optique, plusieurs actions sont envisageables :

mettre à jour vos logiciels et antivirus ;

changer régulièrement vos mots de passe ;

assurer la sécurité physique de vos sites.

Le RGPD, ou Règlement général sur la protection des données, est 

un cadre réglementaire devant être respecté par toutes les entreprises collectant ou traitant des données personnelles

. Fonctionnement, règles à suivre, démarches de mise en conformité ou encore sanctions : suivez notre guide sur le RGPD pour tout savoir sur le sujet.


Qu’est-ce que le Règlement général sur la protection données ?

Le Règlement général sur la protection des données (RGPD), ou 

un texte réglementaire européen encadrant le traitement des données personnelles au sein de l'Union européenne

. En vigueur depuis le 25 mai 2018, il complète la loi relative à l'informatique, aux fichiers et aux libertés et harmonise les règles à l'échelle de l'Europe. Le RGPD vise trois objectifs principaux :

renforcer le droit des personnes sur leurs données ;

responsabiliser les acteurs traitant de la data ;

favoriser la régulation grâce à une meilleure coopération entre les autorités de protection des données.

Le Règlement général sur la protection des données concerne 

toutes les organisations traitant des données personnelles

d'être établies sur le territoire de l'Union européenne ;

ou d'avoir une activité ciblant directement les habitants européens.

le RGPD s'applique à tout organisme public ou privé

, quel que soit son pays d'implantation ou encore son activité. Ce règlement européen concerne aussi les sous-traitants, à savoir les acteurs traitant de la data pour le compte de tiers. Des obligations spécifiques incombent à l'ensemble de ces acteurs.


Est désignée comme donnée personnelle 

n'importe quelle information relative à une personne physique identifiée ou identifiable

. À ce titre, on distingue principalement deux types principaux de data.

Les données permettant une identification directe

 : il s'agit par exemple de la combinaison d'un nom et d'un prénom, ou encore du numéro de Sécurité sociale.

Les données permettant une identification indirecte

 : il s'agit par exemple d'un numéro client, d'un numéro de téléphone ou encore d'un ensemble d'éléments propres à l'identité physique de l'individu.

Qu’est-ce que le traitement de données personnelles ?

 l'ensemble des opérations portant sur les données personnelles

, et ce, quelle que soit la méthode employée : collecte, conservation, consultation, utilisation, enregistrement, organisation ou encore rapprochement.

Le traitement des données doit avoir un objectif défini

 : il est interdit de collecter ou de traiter de la data dans l'éventualité où vous en auriez besoin un jour. Pour chaque traitement réalisé, un dessein doit être fixé qui, bien évidemment, se doit d'être légal.

Veillant à la bonne application du RGPD, la Cnil (Commission nationale de l'informatique et des libertés) a défini 

une liste de 6 réflexes à adopter pour se mettre en conformité

collecter uniquement les données utiles ;

être transparent sur les données collectées et leur usage ;

permettre aux individus d'exercer leurs droits sur les données ;

définir des durées de conservation à l'issue desquelles les données seront détruites ;

protéger les données et identifier les risques ;

s'inscrire dans une démarche continue pour assurer la conformité dans le temps.

Entré en vigueur le 25 mai 2018, le RGPD a induit 

plusieurs changements de taille pour les entreprises

 et les professionnels collectant et traitant des données personnelles. En la matière, plusieurs nouveautés sont tout particulièrement à noter :

une uniformisation du cadre juridique à l'échelle de l'Union européenne ;

un renforcement des droits des personnes ;

une plus grande responsabilisation et transparence des acteurs ;

une définition du cadre pour les transferts de données hors de l'Union européenne ;

Comment appliquer le Règlement général sur la protection des données ?

La mise en conformité de l'entreprise au Règlement général sur la protection des données passe par 4 principales actions.

Constituer un registre du traitement des données

 : pour chaque activité, il précise l'objectif, les données utilisées, les personnes ayant accès aux données et la durée de conservation.

 : cette démarche consiste à ne conserver que les données nécessaires à l'activité, à supprimer les données inutiles et à encadrer le traitement des données dites sensibles.

 : l'entreprise doit informer les personnes que leurs données sont collectées et leur donner les moyens d'exercer leurs droits (opposition, accès, rectification, etc.).

 : l'enjeu est d'éviter le risque de pertes de données ou de piratage.

Quels sont les droits des personnes sur leurs données ?

les individus dont les données sont collectées disposent de droits spécifiques

 leur permettant de garder la maîtrise des informations les concernant. À ce titre, ils disposent notamment :

d'un droit à exprimer ou non leur consentement ;

d'un droit de rectification des informations ;

Quelle est la durée de conservation des données ?

Les données personnelles ne peuvent pas être conservées indéfiniment

. Pour chaque information collectée, une durée de conservation doit être fixée en fonction de l'objectif de la collecte et du traitement. Ainsi, les données peuvent suivre un cycle de vie en 4 étapes :

la conservation en base active durant l'atteinte de l'objectif ;

l'archivage intermédiaire lorsque les données ne sont plus utilisées mais présentent encore un intérêt ;

l'archivage définitif lorsque des données doivent être conservées en raison de leur valeur (obligation légale par exemple) ;

Comment assurer la sécurité des données personnelles ?

16 étapes à respecter par les entreprises pour garantir la sécurité des données personnelles

 qu'elles collectent, traitent et conservent.

Tracer les accès et gérer les incidents.

Protéger le réseau informatique interne.

Sauvegarder et prévoir la continuité d'activité.

Encadrer la maintenance et la destruction des données.

Encadrer les développements informatiques.

Chiffrer, garantir l'intégrité ou signer.

C'est la Commission nationale de l'informatique et des libertés (Cnil) qui est en charge de faire appliquer le RGPD

 en France. Plus globalement, cette organisation gère toutes les obligations relatives à l'univers numérique. À ce titre, elle a 4 missions principales au quotidien :

informer les particuliers et les professionnels sur leurs droits ;

accompagner les entreprises dans leur mise en conformité ;

anticiper et innover pour favoriser le respect des données personnelles ;

contrôler et sanctionner les entreprises faisant preuve de manquement.

Comment se déroule un contrôle de la Cnil ?

contrôler n'importe quel acteur traitant des données personnelles en France

. Les contrôles peuvent résulter d'une réclamation, d'un signalement, du programme annuel des contrôles, d'initiatives thématiques ou encore de dispositifs de vidéoprotection. Ils peuvent prendre plusieurs formes :

Quelles sanctions en cas de non-respect du RGPD ?

À la suite d'une procédure contradictoire, 

la Cnil peut prononcer une ou plusieurs sanctions à l'encontre

 d'une entreprise affichant un manquement au RGPD :

Le guide du RGPD

Gestion des données personnelles et mise en conformité, découvrez tout ce qu'il faut savoir sur le RGPD: le Règlement général de la protection des données

Le traitement de données personnelles

Toute organisation, qu’elle soit publique ou privée, a 

l’obligation d’appliquer le RGPD si elle traite des données à caractère personnel

. Découvrez les étapes à suivre pour respecter le RGPD au sein de votre entreprise.

Quelles entreprises doivent appliquer le RGPD ?

Une obligation pour les organismes traitant des données

toutes les organisations traitant des données présentant un caractère personnel

. Cela vaut toutefois uniquement pour les organismes et entreprises :

installés au sein de l’Union européenne ;

ayant une activité ciblant des résidents de l’Union européenne.

le RGPD s’applique à toutes les entreprises, quelle que soit la nature de son activité

 ou son pays d’implantation, à partir du moment où elles traitent des données personnelles. Sont donc concernés les grands groupes, mais également les TPE, les PME et même les micro-entreprises.

L’objectif de mieux protéger les données personnelles

La bonne application du RGPD est constatée par la Cnil

 (Commission nationale de l'informatique et des libertés). Cette autorité administrative a pour mission d’accompagner les organisations dans la mise en œuvre du règlement et de vérifier son respect. Cette application sert 3 objectifs principaux :

renforcer le droit des personnes sur leurs informations personnelles ;

responsabiliser les organisations traitant des données sur les individus ;

Comment appliquer le Règlement général sur la protection des données ?

la mise en œuvre du RGPD au sein de votre entreprise vous impose 4 premières démarches

 : créer un registre du traitement, trier les données, respecter les droits des personnes et sécuriser les données.

1. Créer un registre du traitement des données

Pour les entreprises, la première étape consiste à constituer un registre listant les différents traitements de données réalisés. Rendue obligatoire par l'article 30 du RGPD, cette démarche vous impose d'

identifier les activités principales qui collectent et traitent des données 

: le recrutement, la relation commerciale, la gestion de la paie ou encore la communication.

créer une fiche pour chaque activité identifiée

 au sein du registre. Pour chaque fiche, vous devez ensuite préciser plusieurs informations, dont :

l'objectif du traitement des données (gérer la paie par exemple) ;

les catégories des données utilisées (l'identité et le salaire des salariés pour la gestion de la paie par exemple) ;

les personnes ayant accès aux données traitées (le gestionnaire paie par exemple) ;

la durée de conservation des données (5 ans pour les bulletins de paie par exemple).

Une fois créé, le registre est placé sous la responsabilité du dirigeant de l'entreprise. Vous devez également l'actualiser régulièrement en fonction des évolutions de l'activité. L'objectif : 

avoir une vision globale et à jour de vos opérations

 : la Cnil met à votre disposition plusieurs modèles de registre pour simplifier sa mise en œuvre au sein de votre entreprise.

2. Trier les données personnelles traitées

ne conserver que les données utiles pour votre activité

 et à supprimer toute information superflue. Dans cette optique, vous devez vérifier plusieurs éléments pour chaque fiche créée au sein du registre.

 : vous devez vous assurer que les données que vous traitez sont nécessaires à vos activités. Par exemple, il n'est pas utile de savoir la date de naissance d’un client si vous ne proposez aucun service en lien avec cette information.

 : vérifiez également que les données traitées ne sont pas dites « sensibles ». C'est notamment le cas de celles portant sur les opinions politiques ou religieuses, l'orientation sexuelle ou encore la santé d'un individu. Si vous traitez de telles informations, vous devez vous assurer que vous avez bien le droit de le faire.

 : assurez-vous que seules les personnes habilitées à utiliser les données y ont accès. Par exemple, le gestionnaire de la paie doit avoir accès aux données relatives aux salaires, mais pas aux informations relatives aux clients.

 : vous devez vérifier que les données personnelles sont conservées uniquement le temps nécessaire à l'atteinte de l'objectif défini. Cette durée dépend de la nature de l'information et de son usage. À l'issue de la période définie, les données doivent être archivées ou supprimées.

vous devez faire en sorte d'améliorer vos pratiques

Découvrez comment appliquer le RGPD au sein de votre entreprise : création d’un registre, tri des données, respect des droits et sécurisation des données.