Besoin d'aide

Règlement européen : un "traitement à grande échelle", c'est quoi ?

Pourquoi qualifier un traitement de "traitement à grande échelle" ?
  1. Parce que le responsable du traitement qualifié de "traitement à grande échelle" doit désigner un délégué à la protection des données (DPO).
  2. Parce que la collecte de données personnelles "à grande échelle" constitue un des critères susceptibles d'obliger le responsable du traitement à mener une analyse d'impact.

Ce que disent les textes européens :
  1. "Considérant" 91 du RGPD : les traitements à grande échelle sont des traitements "qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits.".
  1. Lignes directrices concernant les délégués à la protection des données du G29 : pour déterminer si un traitement peut être qualifié de"traitement à grande échelle", il faut tenir compte :
  • Du nombre de personnes concernées (en valeur absolue ou en valeur relative par rapport à la population concernée).
  • Des catégories de données traitées (leur volume et/ou leur nature).
  • De la durée ou de la permanence des activités du traitement.
  • De l'étendue géographique des activités du traitement.
  1. Exemples de "traitements à grande échelle" :
  • Traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités.
  • Traitement des données de voyage des passagers utilisant un moyen de transport public urbain.
  • Traitement des données de clients par une compagnie d'assurance ou une banque dans le cadre du déroulement normal de ses activités ;
  • Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité.
  • Traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.
  1. Exemples de traitements ne constituant pas un "traitement à grande échelle" :
  • Traitement, par un médecin exerçant à titre individuel, des données de ses patients.
  • Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel.

Ce que ne disent pas les textes européens :

Les textes européens fixent donc des critères généraux permettant au responsable de qualifier, ou non, son traitement de "traitement à grande échelle" et donnent quelques exemples.

Mais ils ne donnent pas d'informations précises sur le nombre ou la nature de données traitées, sur la zone géographique que doit concerner le fichier ou sur la durée de conservation des données.
  • Il appartient donc au responsable du traitement de décider de la qualification de son traitement de "traitement à grande échelle".
  • La CNIL, de son côté, aura l'occasion de se prononcer sur des cas concrets dans le cadre de l'exercice de ses missions.

Cette réponse vous convient-elle ?


Vous n'avez pas trouvé de réponse ?