Innovation
Art. 4 RGPD - données personnelles, traitement, responsable, sous-traitant : les points de vigilance
Article 4 du RGPD : guide complet des 26 définitions clés pour les directions juridiques
Points clés de l'article
- L'article 4 du RGPD pose 26 définitions qui déterminent le régime applicable à chaque traitement de données personnelles.
- La notion de donnée à caractère personnel s'étend à toute information permettant une identification directe ou indirecte, y compris par recoupement.
- La qualification de responsable de traitement, co-responsable ou sous-traitant conditionne la répartition des obligations et la responsabilité en cas de contrôle CNIL.
- Pseudonymisation et anonymisation obéissent à des régimes distincts : seule l'anonymisation irréversible sort du champ du RGPD.
- Les directions juridiques doivent anticiper les zones de requalification liées à l'IA, au profilage et aux transferts de données pour 2026.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Que dit l'article 4 du RGPD ? Vue d'ensemble et portée juridique
La notion de donnée à caractère personnel : critères et cas limites
Traitement, fichier et opération : ce que recouvrent réellement ces termes
Responsable de traitement, co-responsable et sous-traitant : qui fait quoi ?
Pseudonymisation, anonymisation et chiffrement : distinguer les régimes
Consentement, profilage et décisions automatisées : définitions et enjeux
Données sensibles, personne concernée et tiers : les notions à maîtriser
Points de vigilance 2026 pour les directions juridiques
Que dit l'article 4 du RGPD ? Vue d'ensemble et portée juridique
L'article 4 du RGPD constitue le socle terminologique du règlement européen 2016/679. Il regroupe 26 définitions qui s'appliquent à l'ensemble du texte et conditionnent l'interprétation de chaque obligation. Pour une direction juridique, ces définitions ne sont pas de simples précisions sémantiques : elles déterminent le régime juridique applicable, le niveau d'exigence attendu et la répartition des responsabilités entre les acteurs d'un traitement.
Concrètement, une erreur de qualification sur l'une de ces notions peut entraîner une requalification par la CNIL. En 2023, la CNIL a prononcé 42 sanctions pour un montant cumulé de 89 millions d'euros, dont plusieurs reposaient sur une mauvaise identification du rôle de responsable de traitement ou sur une interprétation erronée de la notion de consentement. L'article 4 fonctionne comme une grille de lecture préalable : chaque traitement de données doit être passé au crible de ces définitions avant toute mise en conformité.
Le texte couvre des notions aussi variées que la donnée à caractère personnel, le traitement, le responsable de traitement, le sous-traitant, la pseudonymisation, le profilage ou encore le consentement. Chacune de ces notions possède des contours précis, parfois contre-intuitifs, que les lignes directrices du Comité européen de la protection des données (CEPD) viennent régulièrement préciser.
La notion de donnée à caractère personnel : critères et cas limites
L'article 4, paragraphe 1, définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition est volontairement large. Une personne est considérée comme identifiable dès lors qu'elle peut être reconnue, directement ou indirectement, par référence à un identifiant : nom, numéro, données de localisation, identifiant en ligne, ou tout élément propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
En pratique, cette définition englobe des données que beaucoup d'entreprises ne qualifient pas spontanément comme personnelles :
- Une adresse IP dynamique constitue une donnée personnelle selon la CJUE (arrêt Breyer, 2016).
- Un identifiant publicitaire mobile (IDFA, GAID) permet l'identification indirecte d'un utilisateur.
- Des données de géolocalisation issues d'un véhicule de fonction, même sans nom associé, deviennent personnelles dès qu'un recoupement est possible.
Le critère déterminant n'est pas la donnée isolée, mais la capacité de recoupement. Si un jeu de données, combiné à d'autres informations raisonnablement accessibles, permet d'identifier une personne, chaque élément de ce jeu relève du RGPD. La CNIL a sanctionné en 2022 une société pour avoir considéré à tort que des données hachées (hashed emails) n'étaient plus des données personnelles, alors que le processus de hachage utilisé était réversible.
| Donnée | Personnelle ? | Justification |
|---|---|---|
| Nom + prénom | Oui | Identification directe |
| Adresse IP dynamique | Oui | Identification indirecte (CJUE Breyer) |
| Donnée anonymisée (irréversible) | Non | Hors champ RGPD |
| Donnée pseudonymisée | Oui | Réidentification possible avec clé |
| Numéro de série machine (sans lien utilisateur) | Selon contexte | Dépend de la capacité de recoupement |
Traitement, fichier et opération : ce que recouvrent réellement ces termes
L'article 4, paragraphe 2, définit le traitement comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ». La liste fournie par le texte est non exhaustive : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement ou destruction.
Cette définition a une conséquence directe pour les directions juridiques : la simple consultation d'une base de données contenant des données personnelles constitue un traitement. De même, l'archivage, la suppression ou le transfert d'un fichier relèvent du RGPD. Il n'existe pas d'opération neutre dès lors qu'elle porte sur des données personnelles.
Le fichier (article 4, paragraphe 6) désigne tout ensemble structuré de données personnelles accessibles selon des critères déterminés. Un tableur Excel contenant des coordonnées clients, un CRM, une base RH ou un annuaire interne constituent des fichiers au sens du RGPD. En revanche, un tas de documents papier non organisé ne répond pas à cette définition.
Chaque opération sur des données personnelles déclenche des obligations de conformité. Identifier précisément la nature du traitement est un préalable à toute structuration juridique.
Échanger avec un avocat spécialisé en protection des données
Responsable de traitement, co-responsable et sous-traitant : qui fait quoi ?
La répartition des rôles entre responsable de traitement (article 4, paragraphe 7), sous-traitant (article 4, paragraphe 8) et co-responsables (notion précisée à l'article 26) constitue l'un des exercices de qualification les plus sensibles pour une direction juridique.
Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. La distinction repose sur un critère fonctionnel : qui décide du « pourquoi » et du « comment » du traitement ?
En pratique, cette frontière est souvent floue. Un prestataire SaaS qui impose ses propres conditions de traitement, choisit les sous-traitants ultérieurs ou utilise les données à ses propres fins peut être requalifié en responsable de traitement ou en co-responsable. La CJUE a confirmé cette approche dans l'arrêt Fashion ID (2019) : une entreprise qui intègre un bouton « J'aime » Facebook sur son site est co-responsable du traitement de collecte déclenché par ce bouton.
| Rôle | Critère de qualification | Obligation principale |
|---|---|---|
| Responsable de traitement | Détermine finalités et moyens | Conformité globale, AIPD, notification CNIL |
| Sous-traitant | Agit sur instruction du responsable | Contrat article 28, mesures de sécurité |
| Co-responsable | Détermine conjointement finalités et/ou moyens | Accord article 26, répartition transparente |
La CNIL vérifie systématiquement la qualification retenue lors de ses contrôles. Une requalification entraîne un transfert de responsabilité et peut invalider les clauses contractuelles en place.
La qualification des rôles conditionne l'ensemble de l'architecture contractuelle d'un traitement. Une erreur à ce stade fragilise toute la chaîne de conformité.
Faire auditer vos qualifications par un avocat en protection des données
Pseudonymisation, anonymisation et chiffrement : distinguer les régimes
L'article 4, paragraphe 5, définit la pseudonymisation comme le traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires. Ces informations supplémentaires doivent être conservées séparément et soumises à des mesures techniques et organisationnelles.
La distinction avec l'anonymisation est déterminante : la pseudonymisation maintient les données dans le champ du RGPD, car la réidentification reste techniquement possible. L'anonymisation, en revanche, rend l'identification irréversible et sort les données du périmètre du règlement. Le CEPD et la CNIL rappellent que l'anonymisation effective suppose de résister à 3 types d'attaques : l'individualisation, la corrélation et l'inférence.
Le chiffrement n'est pas défini à l'article 4 mais est mentionné à l'article 32 comme mesure de sécurité. Un fichier chiffré contenant des données personnelles reste soumis au RGPD : le chiffrement protège la confidentialité, il ne modifie pas la nature juridique des données.
- Pseudonymisation : données toujours personnelles, RGPD applicable, mais mesure de sécurité valorisée (article 25, 32).
- Anonymisation irréversible : hors champ RGPD, à condition de démontrer l'irréversibilité.
- Chiffrement : mesure technique de protection, sans effet sur la qualification juridique.
Consentement, profilage et décisions automatisées : définitions et enjeux
Le consentement (article 4, paragraphe 11) est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Chacun de ces 4 critères est cumulatif. Un consentement obtenu par une case pré-cochée, un bundling de finalités ou une formulation ambiguë est invalide.
Le profilage (article 4, paragraphe 4) désigne toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique : rendement au travail, situation économique, santé, préférences, fiabilité, comportement, localisation ou déplacements. Le profilage n'est pas interdit en soi, mais il déclenche des obligations renforcées lorsqu'il produit des effets juridiques ou des effets significatifs similaires (article 22).
Les décisions automatisées fondées exclusivement sur un traitement automatisé, y compris le profilage, sont en principe interdites lorsqu'elles produisent des effets juridiques ou affectent de manière significative la personne concernée. Les exceptions sont limitées : nécessité contractuelle, autorisation légale ou consentement explicite.
Pour les directions juridiques, la vigilance porte sur les outils internes qui combinent scoring, segmentation et automatisation : un algorithme RH de présélection de candidats, un outil de credit scoring ou un système de tarification dynamique peuvent relever de l'article 22 sans que l'entreprise en ait conscience.
Données sensibles, personne concernée et tiers : les notions à maîtriser
L'article 4 ne définit pas directement les catégories particulières de données (dites « données sensibles »), mais il pose les définitions qui permettent de les identifier. L'article 9 du RGPD interdit par principe le traitement de données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les données génétiques, biométriques, de santé ou relatives à la vie sexuelle. Les exceptions (consentement explicite, obligation légale, intérêt vital, etc.) sont strictement encadrées.
La personne concernée (article 4, paragraphe 1) est toute personne physique identifiée ou identifiable dont les données font l'objet d'un traitement. Le tiers (article 4, paragraphe 10) est une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes autorisées à traiter les données sous l'autorité directe du responsable ou du sous-traitant.
Ces distinctions ont des implications pratiques directes :
- Un salarié dont les données RH sont traitées est une personne concernée, pas un tiers.
- Un prestataire qui accède aux données dans le cadre de sa mission est un sous-traitant, pas un tiers.
- Un partenaire commercial qui reçoit des données sans instruction du responsable peut être qualifié de responsable distinct ou de tiers selon le contexte.
La qualification de chaque acteur dans la chaîne de traitement détermine ses droits, ses obligations et son exposition en cas de contrôle.
Structurer vos flux de données avec un avocat spécialisé
Points de vigilance 2026 pour les directions juridiques
Plusieurs évolutions réglementaires et jurisprudentielles imposent aux directions juridiques de revisiter leur lecture de l'article 4 du RGPD à horizon 2026.
L'IA Act (règlement européen 2024/1689) entre en application progressive entre 2025 et 2027. Les systèmes d'IA qui traitent des données personnelles devront articuler les exigences du RGPD avec celles du règlement IA. La notion de profilage sera particulièrement sollicitée : un système d'IA classé « à haut risque » qui utilise des données personnelles pour évaluer des personnes physiques cumule les obligations des 2 textes.
Les transferts internationaux restent un point de fragilité. Le cadre de transfert UE-États-Unis (Data Privacy Framework) adopté en juillet 2023 fait l'objet de recours devant la CJUE. Une invalidation, comme ce fut le cas pour le Privacy Shield en 2020 (arrêt Schrems II), obligerait à requalifier les bases juridiques de nombreux transferts.
La qualification des modèles d'IA entraînés sur des données personnelles soulève des questions inédites. Le CEPD a publié en 2024 un avis indiquant que les paramètres d'un modèle d'IA peuvent constituer des données personnelles si la réidentification des données d'entraînement est possible. Cette position élargit le périmètre de la notion de donnée personnelle au sens de l'article 4.
Les directions juridiques doivent également surveiller :
- L'évolution des lignes directrices CEPD sur le consentement dans les environnements cookieless.
- La jurisprudence CJUE sur la notion de dommage (arrêt Österreichische Post, 2023) qui abaisse le seuil d'indemnisation.
- Les contrôles CNIL ciblés sur les applications mobiles annoncés pour 2025-2026, qui porteront sur la collecte de données via SDK et traceurs.
| Sujet | Échéance | Impact sur l'article 4 |
|---|---|---|
| IA Act – systèmes à haut risque | Août 2026 | Articulation profilage / décision automatisée |
| Data Privacy Framework | Contentieux en cours | Requalification transferts si invalidation |
| Modèles IA et données personnelles | Avis CEPD 2024 | Extension de la notion de donnée personnelle |
| Contrôles CNIL applications mobiles | 2025-2026 | Vérification consentement et qualification des rôles |
FAQ
Une adresse e-mail professionnelle est-elle une donnée personnelle au sens de l'article 4 ?
Oui. Une adresse du type prenom.nom@entreprise.fr permet l'identification directe d'une personne physique. Elle constitue une donnée à caractère personnel, même dans un contexte B2B. Le traitement de cette adresse est soumis au RGPD.
Quelle différence entre pseudonymisation et anonymisation pour le RGPD ?
La pseudonymisation remplace les identifiants directs par des alias, mais la réidentification reste possible avec une clé de correspondance. Les données pseudonymisées restent des données personnelles. L'anonymisation rend toute réidentification irréversible et sort les données du champ du RGPD. La charge de la preuve de l'irréversibilité pèse sur le responsable de traitement.
Un prestataire SaaS est-il toujours sous-traitant au sens du RGPD ?
Non. La qualification dépend du rôle effectif du prestataire. S'il détermine les finalités du traitement ou utilise les données pour ses propres besoins, il peut être requalifié en responsable de traitement ou en co-responsable. La CNIL et la CJUE analysent la réalité opérationnelle, pas les clauses contractuelles seules.
Le profilage est-il interdit par le RGPD ?
Le profilage n'est pas interdit en tant que tel. Il est encadré. L'interdiction porte sur les décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, lorsqu'elles produisent des effets juridiques ou des effets significatifs similaires sur la personne concernée (article 22). Des exceptions existent sous conditions strictes.
L'article 4 du RGPD s'applique-t-il aux données des personnes morales ?
Non. Le RGPD protège exclusivement les personnes physiques. Les données relatives à une personne morale (raison sociale, SIRET, adresse du siège) ne sont pas des données personnelles. En revanche, dès qu'une information permet d'identifier une personne physique derrière la personne morale (dirigeant, contact nominatif), le RGPD s'applique.
Pour aller plus loin
Chapitre I - Dispositions générales et article 4 du RGPD - CNIL
Sous-traitant : définition juridique - CNIL
Loi n°78-17 Informatique et Libertés (définitions article 2) - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
