Formation RGPD Salariés 2026

Comprendre le RGPD : cadre et principes

Module 1 / 5

Module 1 : Cadre & Principes 20 min de lecture

1.2 Le vocabulaire essentiel : données, traitement, acteurs

Avant de parler conformité, il faut parler la même langue. L'article 4 du RGPD définit avec précision une vingtaine de termes — donnée personnelle, traitement, responsable, sous-traitant, destinataire — dont la confusion entraîne souvent les manquements les plus graves.

1

Donnée à caractère personnel : une définition très large

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable (Art. 4-1 RGPD). Le mot clé est « identifiable » : il suffit qu'on puisse, directement ou indirectement, en croisant plusieurs éléments, retrouver une personne physique.

Article 4 §1 — RGPD

« Toute information se rapportant à une personne physique identifiée ou identifiable […], notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Exemples concrets en entreprise
Identifiants directs

Nom, prénom, adresse postale, e-mail professionnel ou personnel, numéro de téléphone, photo, signature, numéro de sécurité sociale, NIR, numéro de matricule.

Identifiants techniques

Adresse IP, identifiant de session, cookie publicitaire, MAC address, identifiant de badge, plaque d'immatriculation, log de connexion.

Identifiants indirects

Combinaison d'éléments qui, croisés, identifient : « la femme de 47 ans, manager au service achats du site de Lyon, qui télétravaille les vendredis » désigne une personne unique.

Attention : les données « professionnelles » sont aussi personnelles

Beaucoup pensent qu'un e-mail au format [email protected] ou un numéro de téléphone professionnel échappent au RGPD. C'est faux. Dès qu'une donnée se rapporte à une personne physique identifiable, elle est protégée — même si elle est publiée sur un site web ou un trombinoscope d'entreprise. Une carte de visite contient au moins quatre données personnelles.

2

Le « traitement » : tout ce qu'on fait avec des données

Le RGPD entend par « traitement » « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données » (Art. 4-2). La liste n'est pas limitative et couvre tout cycle de vie de la donnée.

Collecte

CV reçu, formulaire, badge enregistré

Conservation

Stockage en base, archivage, sauvegardes

Consultation

Lecture du dossier RH, requête SQL

Modification

Changement d'adresse, mise à jour

Diffusion

Transmission, mise à disposition d'un tiers

Interconnexion

Croisement de fichiers, rapprochement

Limitation

Mise sous séquestre, accès restreint

Effacement

Suppression, destruction du support

Conséquence : envoyer une simple liste Excel par e-mail à un collègue est déjà un traitement (collecte + diffusion). Imprimer une fiche de paie est un traitement (consultation + reproduction). La quasi-totalité des actions du quotidien en entreprise relève du RGPD.

3

Les acteurs : qui fait quoi, qui est responsable ?

Le RGPD distingue cinq rôles, qu'il est essentiel de ne pas confondre. Une mauvaise qualification peut faire basculer la responsabilité juridique.

Acteur Définition Exemple en entreprise
Personne concernée La personne physique identifiée par les données Le salarié, le candidat, le client, le visiteur
Responsable de traitement Détermine les finalités et les moyens du traitement L'entreprise (la personne morale), représentée par son dirigeant
Sous-traitant Traite les données pour le compte du responsable Éditeur SaaS de paie, hébergeur cloud, prestataire d'envoi d'e-mailing
Destinataire Toute entité qui reçoit communication des données URSSAF, administration fiscale, médecine du travail, mutuelle
Tiers Personne autre que le responsable, le sous-traitant ou la personne concernée Un autre service de la même entreprise, un partenaire commercial
Responsable de traitement

C'est l'entreprise qui décide de mettre en place un fichier RH, une vidéosurveillance, un outil de géolocalisation. Elle porte la responsabilité juridique principale (registre, AIPD, information des salariés, sécurité, réponses aux demandes d'exercice de droits, notification de violation).

Sous-traitant

Éditeurs de logiciels SaaS, hébergeurs, prestataires de paie ou de recrutement, infogéreurs : ils n'agissent que sur instruction documentée du responsable. Un contrat de sous-traitance conforme à l'article 28 RGPD est obligatoire (les fameuses clauses « DPA » — Data Processing Agreement).

Le salarié n'est ni responsable, ni sous-traitant

Au sens du RGPD, le salarié qui manipule des données dans le cadre de ses fonctions agit sous l'autorité du responsable de traitement (l'employeur). Il n'est donc pas juridiquement responsable au regard du RGPD — sauf en cas de détournement manifeste (vol de fichier client, divulgation volontaire). Mais il peut engager sa responsabilité disciplinaire (Code du travail) et pénale (Code pénal) s'il viole délibérément les règles.

4

Quelques notions complémentaires souvent confondues

Anonymisation

Procédé irréversible qui rend impossible toute ré-identification. Les données anonymisées sortent du champ du RGPD. Très difficile à atteindre techniquement (le « k-anonymat » et la « différentielle » sont des standards).

Pseudonymisation

Remplace les identifiants directs par des codes (clé conservée séparément). Réduit le risque mais la donnée reste personnelle — le RGPD continue de s'appliquer. Très utilisée pour la recherche et les statistiques internes.

Profilage

Toute forme de traitement automatisé visant à évaluer ou prédire des aspects personnels (performance, comportement, fiabilité). Soumis à des règles strictes (Art. 22) — par ex. notation automatique de candidats.

Violation de données

Tout incident entraînant destruction, perte, altération, divulgation ou accès non autorisé à des données. Cf. Module 5 — notification CNIL sous 72h obligatoire.

Synthèse du chapitre

  • Donnée personnelle = toute information se rapportant à une personne identifiée ou identifiable
  • Les données « professionnelles » (e-mail pro, photo trombi) sont aussi des données personnelles
  • Traitement = toute opération sur la donnée (collecte, conservation, diffusion, effacement…)
  • Responsable = celui qui décide des finalités et moyens (l'entreprise)
  • Sous-traitant = agit pour le compte du responsable, sur instruction documentée
  • Anonymisation = irréversible (hors RGPD) ; pseudonymisation = réversible (dans le RGPD)
RGPD pour Salariés