Sélectionner une page

RGPD : Comprendre le champ d’application matériel pour éviter les faux pas

Le RGPD s’applique-t-il à votre activité ? Tout dépend du type de traitement que vous réalisez et des données que vous utilisez. Que vous manipuliez des fichiers numériques ou un simple carnet papier, vous pourriez être concerné. Cet article vous guide simplement pour comprendre ce qu’est le champ d’application matériel du RGPD.

RGPD : Comprendre le champ d'application matériel pour éviter les faux pas

1) Le champ d’application matériel du RGPD : de quoi parle-t-on exactement ?

Le RGPD s’applique à tous les traitements de données à caractère personnel. Il distingue deux grandes catégories de traitements :

  • Les traitements automatisés, entièrement ou en partie. Cela inclut tous les traitements réalisés à l’aide d’un ordinateur, d’un logiciel ou d’un outil numérique.
  • Les traitements non automatisés, à condition que les données soient ou soient destinées à figurer dans un fichier structuré. Cela peut être un classeur papier, un registre ou toute autre organisation permettant une recherche selon certains critères (ordre alphabétique, chronologique, etc.).

Autrement dit, peu importe que les données soient conservées sur un ordinateur ou dans un classeur papier : ce qui compte, c’est leur organisation et leur finalité.

2) Qu’entend-on par « données personnelles » et « traitement » ?

Une donnée à caractère personnel, c’est toute information qui permet d’identifier une personne, directement (comme un nom ou un numéro) ou indirectement (comme une adresse IP, une photo, une voix, ou même une combinaison d’informations).

Un traitement, c’est toute opération réalisée sur ces données. Il peut s’agir de :

  • la collecte,
  • l’enregistrement,
  • l’organisation,
  • la conservation,
  • la modification,
  • la suppression,
  • ou encore la consultation.

Le RGPD adopte volontairement un champ d’application large, afin de garantir une protection maximale à toute personne dont les données sont utilisées.

3) Quand le RGPD s’applique-t-il ? Les critères à connaître

Le RGPD entre en jeu dès lors que trois conditions sont réunies :

  1. Les données concernées sont personnelles ;
  2. Ces données font l’objet d’un traitement, quelle qu’en soit la forme ;
  3. Le traitement est soit automatisé, soit non automatisé, mais intégré ou destiné à être intégré dans un fichier structuré.

Prenons quelques situations concrètes pour illustrer le champ d’application du RGPD. Imaginons d’abord que vous scanniez des contrats papier afin de les conserver sous format numérique. Dans ce cas, vous réalisez un traitement automatisé. Le RGPD s’applique donc pleinement.

Supposons maintenant que vous conserviez des CV dans un classeur, en les classant par ordre alphabétique. Même s’il ne s’agit pas d’un traitement informatique, cette organisation constitue un fichier structuré. Là encore, le RGPD est applicable.

En revanche, si vous prenez des notes à la main sur des post-its, sans aucun classement ou logique particulière, ces données ne sont pas structurées. Dans ce cas précis, le RGPD ne s’applique pas.

4) Quelles sont les limites ? Quand d’autres règles s’appliquent

Même si le RGPD prévoit certaines dérogations, leur mise en œuvre reste exceptionnelle. En pratique, ces exceptions sont rarement applicables. Les institutions européennes, et notamment la Cour de justice de l’Union européenne (CJUE), insistent régulièrement sur le fait qu’elles doivent être interprétées de façon stricte. Autrement dit, il ne faut ni les élargir à d’autres situations ni les utiliser à la légère.

Ainsi, une activité qui peut sembler simple, anodine ou purement personnelle peut en réalité entrer dans le champ du RGPD. C’est le cas, par exemple, si les données utilisées permettent d’identifier une personne, même indirectement, ou si l’utilisation des données dépasse le cadre strictement privé.

Plusieurs décisions de justice illustrent bien cette approche. Par exemple, un curateur professionnel, même s’il agit pour un proche, ne peut pas bénéficier de l’exemption prévue pour les activités domestiques, car son intervention se fait dans un cadre professionnel. De même, des données de santé pseudonymisées ne sont pas considérées comme anonymes : elles restent identifiables dans certaines conditions, et sont donc toujours protégées par le RGPD.

Ces exemples le montrent clairement : le RGPD constitue la règle générale. Les dérogations sont des exceptions strictes, qui ne peuvent s’appliquer que si toutes les conditions légales sont réunies. En cas de doute, il est donc plus prudent de considérer que le RGPD s’applique.

Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.

DEMANDER UN DEVIS GRATUIT

RESSOURCES :

RECOMMANDÉ POUR VOUS :

Les-differents-programmes-pour-la-creation-numerique_01
RGPD : les 5 dérogations matérielles à connaître…
Design sans titre
Le RGPD s'applique-t-il à votre activité si vous…
Questionnaire RGPD - Données candidats
Questionnaire RGPD - Données candidats
Partager :
Demander un devis gratuit

Deshoulières Avocats
contact@deshoulieres-avocats.com
Tél. : +33.1.77.62.82.03
121, boulevard Sébastopol – 75002 Paris

Une question ?
Deshoulières Avocats a été classé parmi les meilleurs cabinet d’avocats en droit des nouvelles technologies par le journal Le Point.

Nous conseillons et défendons plus de 750 entreprises, en France et à l’international.

DEVIS GRATUIT

Demandez dès à présent un devis gratuit. Deshoulières Avocats s’engage à vous répondre sous 24h.

Demander un devis gratuit

UNE QUESTION ? UN BESOIN ? CONTACTEZ-NOUS

Deshoulières Avocats conseille et défend plus de 750 entreprises, en France et à l’international.

Nous contacter