Le Règlement Général sur la Protection des Données (RGPD) régit le traitement des données à caractère personnel des personnes physiques dans l'UE. En termes simples, toute information se rapportant à une personne vivante identifiée ou identifiable relève du RGPD dès lors que ces données sont traitées en tout ou en partie de manière automatisée ou dans le cadre d'un fichier. Trois questions sont donc déterminantes : quelles données sont concernées, quelles activités constituent un traitement et qui est soumis au règlement.
Quelles données relèvent du RGPD ?
Ce qui est protégé, ce sont les données à caractère personnel, c'est-à-dire toute information rendant une personne directement ou indirectement identifiable.
Exemples de données à caractère personnel
- Nom, adresse, numéro de téléphone et adresse e-mail
- Données de localisation, adresses IP et identifiants en ligne (par exemple les cookies)
- Numéros de carte d'identité, de sécurité sociale ou de client
- Caractéristiques économiques, culturelles ou sociales d'une personne
Catégories particulières (données particulièrement sensibles)
Des règles plus strictes s'appliquent à certaines données en vertu de l'article 9 du RGPD :
- Origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques
- Données de santé ainsi que données concernant la vie sexuelle ou l'orientation sexuelle d'une personne
- Données génétiques et biométriques utilisées à des fins d'identification unique
- Données relatives à l'appartenance syndicale
Qu'est-ce qui constitue un traitement ?
Le RGPD s'applique dès lors que des données à caractère personnel sont traitées. La notion est définie de manière très large et couvre pratiquement toute manipulation de données :
- Collecter, enregistrer et conserver
- Organiser, modifier et extraire
- Utiliser, divulguer et transmettre
- Effacer ou détruire
Qu'est-ce qui ne relève pas du RGPD ?
- Les données anonymes : des informations qui ne peuvent plus être attribuées à aucune personne.
- Les données des personnes décédées : le RGPD ne protège que les personnes vivantes (les règles nationales peuvent différer).
- Les activités purement privées ou domestiques : par exemple un carnet d'adresses privé sans contexte professionnel.
À qui s'applique le RGPD ?
Le règlement s'applique aux responsables du traitement et aux sous-traitants. Sur le plan territorial, il s'applique non seulement aux entreprises situées dans l'UE, mais aussi aux fournisseurs établis hors de l'UE, dès lors qu'ils proposent des biens ou des services à des personnes dans l'UE ou qu'ils suivent leur comportement (principe du lieu de marché).
Comment Kertos accompagne la protection des données
Savoir ce qui relève du RGPD est la première étape. Garder durablement une vue d'ensemble de tous les types de données, des traitements et des obligations est le véritable défi. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :
- Découverte automatisée des données : les données à caractère personnel et les activités de traitement sont identifiées et classées.
- Registre des activités de traitement : le registre requis par l'article 30 du RGPD est tenu de manière structurée et maintenu à jour.
- Demandes des personnes concernées : les demandes d'accès et d'effacement sont traitées de manière automatisée.
- Mandats de DPO externe : sur demande, Kertos fournit un Délégué à la Protection des Données externe et assume la responsabilité métier.
Cela se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, une satisfaction client de 98 %, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 8 à 10 semaines. La protection des données reste ainsi non seulement compréhensible, mais durablement maîtrisée.
