News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Qu’est-ce que le traitement des données

La notion de traitement des données est au cœur du RGPD. En effet, deux principes s’opposent, à la base du texte : d’une part, la nécessité pour l’entreprise de traiter les données de ses utilisateurs, de ses clients, de ses salariés… Le traitement des données, dont on va définir plus...

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

La notion de traitement des données est au cœur du RGPD. En effet, deux principes s’opposent, à la base du texte : d’une part, la nécessité pour l’entreprise de traiter les données de ses utilisateurs, de ses clients, de ses salariés… Le traitement des données, dont on va définir plus précisément les contours, est en réalité une pratique parfois très simple et très courante de la vie des entreprises. 


D’autre part cependant, le RGPD et la réglementation en général cherchent à protéger la vie privée des personnes concernées, qu’il s’agisse comme on vient de le mentionner de clients, partenaires ou membres de l’entreprise. De ces deux principes découle l’ensemble de la réglementation autour de la protection des données personnelles, depuis l’obligation pour certaines entreprises de nommer un DPO en charge du RGPD jusqu’aux règles encadrant l’utilisation des cookies sur votre site internet. 


Or, la plupart de ces règles s’appuie sur une notion de départ : celle de traitement des données. Ce terme, assez vague, recouvre une réalité très vaste qu’on va voir. Quelle est donc la définition du traitement des données ? Si traiter la donnée fait entrer mon entreprise dans un régime contraignant, à quoi cela sert-il ? Quelles sont enfin vos obligations en tant que responsable de traitement ? 


traitement de données

Qu’est-ce que le traitement des données ?


En France, c’est la CNIL qui donne la définition du traitement des données personnelles. Celle-ci est très large, puisqu’elle mentionne “une opération, ou un ensemble d’opérations (…) quel que soit le procédé utilisé”. La manière importe peu, le véritable critère est que cet ensemble d’opérations porte “sur des données personnelles”. 


Pour rappel, une donnée personnelle est “toute information se rapportant à une personne physique identifiée ou identifiable” : là encore, il s’agit d’une définition très englobante. 


Ainsi, le traitement de données apparaît dès qu’une “opération” est effectuée sur une donnée personnelle. Il ne s’agit donc pas nécessairement d’une donnée sensible au sens du RGPD


Par ailleurs, on a souvent en tête l’image du traitement automatisé des données par algorithme, par exemple. Or, un traitement des données peut très bien être réalisé à la main, sur papier. Une simple liste de salariés peut être une opération de traitement des données. 


Le traitement des données est donc en réalité une opération très fréquente, voire quotidienne, des entreprises de tous types. Or, dès qu’une opération de traitement de données est effectuée, il devient nécessaire de respecter le RGPD. La première nécessité est de savoir à quoi sert le traitement considéré. 


A quoi sert le traitement des données ? 


Pourquoi cette question ? Tout simplement parce que c’est le RGPD qui la pose. En effet, le traitement des données personnelles est en principe interdit, du moins s’il ne respecte pas un certain nombre de critères (par exemple, il est fait avec le consentement de la personne concernée).


Notamment, le traitement des données doit répondre à un objectif précis, qu’on appelle la finalité du traitement. Celle-ci doit être explicite et transparente pour la personne concernée. Dans le même temps, il convient de s’assurer que l’opération de traitement est pertinente, c’est-à-dire qu’elle permet bien de réaliser l’objectif poursuivi et qu’elle lui est proportionnée. 


Ces finalités et donc ces objectifs peuvent être de plusieurs natures. On pense par exemple à la collecte des CV et des informations d’identification de candidats dont la finalité est la gestion des recrutements. On peut aussi mentionner les informations bancaires ou de sécurité sociale des salariés dans le contexte de la gestion de la paie et des cotisations. 


Ces finalités doivent être consignées dans le registre des traitements qui est établi par le DPO et qui vient faire la liste des opérations de traitement et de leurs objectifs. 


rgpd

Quelles sont les obligations de votre entreprise ?


On l’a dit, dès lors que vous effectuez un traitement des données, vous devez assurer votre mise en conformité au RGPD. Sans entrer dans les détails ici, revenons sur les grands points essentiels à avoir en tête. 


D’abord, les principes déjà mentionnés de la finalité du traitement et de la proportionnalité ont des conséquences pratiques importantes. Pour qu’un traitement soit proportionné à l’objectif poursuivi, il convient en effet d’en limiter au maximum les effets. Concrètement, le DPO doit mener une analyse d’impact des opérations de traitement envisagées. 


Cette analyse a pour but d’identifier les risques potentiels relatifs à la vie privée des personnes concernées et de trouver des solutions adaptées pour réduire ces risques. Ces analyses doivent être consignées dans un document d’AIPD qui peut être consulté par la CNIL en cas de contrôle.


Plus généralement, il est nécessaire de mettre en place un certain nombre de processus internes et de bonnes pratiques visant à assurer le respect des grands principes du RGPD, que sont la transparence, le respect des droits des personnes (consultation, correction des informations, droit à l’oubli…). On peut citer également l’importance de vérifier que toutes les opérations de traitement ont lieu dans un cadre prévu par les textes, en particulier lorsqu’il s’agit de données sensibles. Dans ce cas en effet, seuls certains critères restrictifs permettent à une entreprise de mener une opération de traitement. 


Le traitement des données est une réalité qui touche une très large partie des entreprises et des organisations. Si ces opérations ne nécessitent pas nécessairement de recruter un DPO ou de mettre en place des procédures de conformité complexes, toutes font entrer l’entreprise dans le cadre du RGPD et il est important d’avoir ces quelques grands principes en tête pour assurer la conformité de l’entreprise.