Article 2 RGPD : le champ d'application matériel

Avant de se demander quelle base légale invoquer ou quel registre tenir, toute analyse de conformité commence par une question apparemment triviale et pourtant décisive : ce traitement est-il dans le champ matériel du RGPD ? L’article 2 fournit la réponse, et son maniement conditionne la totalité de la suite — registre, droits, AIPD, sanctions. Mal qualifier le périmètre, c’est soit s’imposer des obligations qui ne s’appliquent pas, soit, plus grave, s’exonérer à tort d’un cadre que la CNIL et le juge appliqueront avec rigueur.

Texte de l’article 2 et architecture

L’article 2 du RGPD fixe quatre règles successives. Le paragraphe 1 pose le périmètre par défaut : tout traitement automatisé, en tout ou partie, et tout traitement non automatisé contenu dans un fichier ou destiné à y figurer. Le paragraphe 2 énonce quatre exclusions limitatives : activités hors du droit de l’Union, politique étrangère et de sécurité commune (PESC), exception domestique, activités des autorités compétentes en matière pénale relevant de la directive (UE) 2016/680. Le paragraphe 3 renvoie au règlement (UE) 2018/1725 pour les institutions et organes de l’Union. Le paragraphe 4 préserve la directive 2000/31/CE sur le commerce électronique.

L’article 2 doit se lire en parallèle de l’article 3 RGPD sur le champ d’application territorial — l’un fixe ce qui est régulé, l’autre où la régulation s’applique. Les deux conditions sont cumulatives : il faut être à la fois dans le champ matériel et dans le champ territorial pour que le règlement déclenche obligations et sanctions.

Article 2(1) — le périmètre par défaut

La règle générale : tout traitement automatisé

Le paragraphe 1 retient comme critère central l’automatisation, en tout ou partie. La notion de traitement, définie à l’article 4(2) du RGPD, est volontairement large : collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication, rapprochement, limitation, effacement, destruction. Un seul de ces actes, dès lors qu’il est automatisé, suffit à enclencher le règlement.

Le « en tout ou partie » rappelle qu’une intervention humaine ponctuelle dans une chaîne par ailleurs automatisée n’exclut pas le traitement du champ. Saisir une fiche papier puis la scanner et l’indexer constitue déjà un traitement automatisé partiel. C’est la lecture confirmée par la CJUE dans l’arrêt C-25/17 Tietosuojavaltuutettu c/ Témoins de Jéhovah du 10 juillet 2018 : même un ensemble de notes manuscrites prises au cours d’un porte-à-porte religieux entre dans le champ matériel dès lors qu’elles répondent à la définition d’un fichier.

La règle alternative : le traitement non automatisé dans un fichier

Le paragraphe 1 ajoute une seconde branche : les traitements non automatisés relèvent du RGPD à condition que les données soient contenues dans un fichier ou destinées à y figurer. La notion de fichier est définie à l’article 4(6) du RGPD : « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Trois conséquences pratiques en découlent. Premièrement, un classeur papier organisé par patronyme ou par numéro client est un fichier. Deuxièmement, des notes éparses sur un bureau, sans structure d’accès, ne le sont pas. Troisièmement, l’arrêt CJUE C-25/17 Jehovah’s Witnesses précise qu’il importe peu que l’ensemble soit centralisé, décentralisé ou fonctionnellement réparti : un fichier de prosélytisme tenu collectivement par les membres d’une communauté reste un fichier au sens du RGPD.

Le critère d’accessibilité « selon des critères déterminés » constitue le test décisif. Si je peux retrouver l’information sur une personne en utilisant un index, un alphabet, une cote, une typologie, alors c’est un fichier. La jurisprudence française a confirmé cette analyse, notamment pour les dossiers de ressources humaines au format papier ou les fichiers commerciaux conservés en armoire ignifuge.

Article 2(2)(a) — hors du droit de l’Union

La première exclusion vise les traitements effectués dans le cadre d’activités qui ne relèvent pas du champ d’application du droit de l’Union. La notion est étroite : elle couvre essentiellement la sécurité nationale et certaines activités régaliennes au sens strict de l’article 4(2) TUE.

Mais l’arrêt CJUE C-511/18 La Quadrature du Net e.a. du 6 octobre 2020 a fortement encadré cette exclusion. La Cour a jugé que l’obligation, imposée par un État membre aux opérateurs de communications électroniques, de conserver des données aux fins de sauvegarde de la sécurité nationale relève bien du champ du droit de l’Union dès lors qu’elle s’applique à des prestataires économiques soumis à la directive 2002/58/CE (ePrivacy). En d’autres termes, on ne sort pas du droit de l’Union au seul motif qu’on invoque la sécurité nationale.

L’arrêt CJUE C-623/17 Privacy International confirme cette lecture : les régimes nationaux d’accès aux données de communication par les services de renseignement doivent respecter les exigences de la Charte des droits fondamentaux et, par ricochet, les principes du RGPD lorsque les opérateurs privés sont mis à contribution. La loi française relative au renseignement (loi n° 2015-912 du 24 juillet 2015) doit donc être lue à la lumière de ces exigences.

Concrètement, l’exception 2(2)(a) ne fournit pas un blanc-seing aux pouvoirs publics. Un dirigeant invité par une autorité à transmettre des données « au titre de la sécurité nationale » doit toujours documenter la base légale et exiger la qualification précise du fondement.

Article 2(2)(b) — politique étrangère et de sécurité commune

Cette exclusion vise les activités du Conseil et du Service européen pour l’action extérieure dans le cadre du titre V chapitre 2 du TUE. Elle concerne marginalement les opérateurs économiques. Les traitements opérés par les missions diplomatiques relèvent par ailleurs du règlement 2018/1725 lorsqu’ils sont conduits par les institutions de l’Union.

Article 2(2)© — l’exception domestique décryptée

L’exception domestique exclut du RGPD les traitements effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Le considérant 18 précise que cette exception couvre « la correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne menées dans le cadre de ces activités », mais qu’elle ne s’applique pas aux responsables ou sous-traitants qui fournissent les moyens techniques pour le traitement.

La frontière, en apparence simple, a été précisée par une jurisprudence dense de la CJUE.

CJUE C-101/01 Lindqvist du 6 novembre 2003 — la mise en ligne, sur un site internet librement accessible, de données concernant des collègues d’une paroisse suédoise échappe à l’exception domestique : la publication sur internet rend les données accessibles à un nombre indéterminé de personnes et excède la sphère personnelle.

CJUE C-212/13 František Ryneš du 11 décembre 2014 — un dispositif de vidéosurveillance installé par un particulier pour protéger son domicile, mais qui filme également la voie publique, ne relève pas de l’exception domestique. Le critère est l’extension du traitement au-delà de la sphère privée stricte.

CJUE C-345/17 Sergejs Buivids du 14 février 2019 — la diffusion sur YouTube d’une vidéo filmée dans un commissariat sort de l’exception domestique mais peut relever de la dérogation journalistique de l’article 85 RGPD. L’arrêt distingue clairement les deux régimes.

CJUE C-25/17 Témoins de Jéhovah du 10 juillet 2018 — l’activité de prédication en porte-à-porte, organisée et coordonnée par une communauté religieuse, n’est ni purement personnelle ni purement domestique : elle est exercée publiquement et entre dans le champ du RGPD.

Le test opérationnel s’organise autour de trois questions. Le traitement est-il limité au cercle privé du responsable ? Existe-t-il une diffusion en dehors de ce cercle (publication en ligne, transmission à des tiers, partage public) ? L’activité poursuit-elle une finalité dépassant la sphère strictement personnelle (commerciale, militante, journalistique, religieuse) ? Une réponse négative à la première question ou positive à l’une des deux autres exclut le bénéfice de l’exception.

En pratique, le carnet d’adresses du téléphone, l’album photos familial, le journal intime, le tableur de gestion budgétaire personnel demeurent dans l’exception. Le blog personnel ouvert au public, le compte Instagram avec abonnés, la page Facebook professionnelle, la liste d’invités d’un mariage diffusée par mail à des prestataires en sortent.

Article 2(2)(d) — l’exclusion « police-justice » et la directive 2016/680

Le paragraphe 2(d) exclut du RGPD les traitements effectués par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Cette exclusion n’est pas un vide juridique : elle renvoie à la directive (UE) 2016/680 du 27 avril 2016, dite « directive police-justice » (LED — Law Enforcement Directive). En France, la transposition s’opère par le titre III de la loi n° 78-17 du 6 janvier 1978 (articles 87 à 114 LIL), introduit par la loi n° 2018-493 du 20 juin 2018 et précisé par l’ordonnance n° 2018-1125 du 12 décembre 2018.

Trois lignes de partage en découlent. La nature de l’autorité — seules les « autorités compétentes » au sens de l’article 87 LIL bénéficient du régime LED ; une entreprise privée mise à contribution par la police n’est pas dans le champ LED mais reste dans le RGPD. La finalité du traitement — la finalité pénale doit être effective et démontrée, à défaut le traitement relève du RGPD. La temporalité — les fichiers d’antécédents judiciaires (TAJ), le FIJAIS, le FIJAIT, le FNAEG relèvent du régime LED, mais les données issues de ces traitements transmises à un employeur via le bulletin n° 3 du casier judiciaire (B3) entrent dans le champ du RGPD côté employeur, avec les contraintes propres à l’article 10 RGPD sur les données pénales.

Le contentieux CJUE C-180/21 V.S. du 8 décembre 2022 illustre la porosité des régimes : un changement de finalité d’un traitement initialement LED vers une finalité administrative peut basculer le traitement dans le RGPD et déclencher l’intégralité de ses garanties.

Article 2(3) — institutions et organes de l’Union

Le paragraphe 3 renvoie au règlement (UE) 2018/1725 du 23 octobre 2018 pour les traitements opérés par les institutions, organes et agences de l’Union européenne. Ce règlement reprend l’essentiel du RGPD avec des adaptations institutionnelles. Le Contrôleur européen de la protection des données (CEPD) est l’autorité compétente, en lieu et place des autorités nationales comme la CNIL. Cette règle a une portée pratique : une entreprise qui fournit un SaaS à la Commission, au Parlement européen ou à une agence (eu-LISA, EUIPO, ENISA, etc.) doit articuler ses obligations entre RGPD (pour ses clients UE) et règlement 2018/1725 (pour son client institution UE), avec souvent des stipulations contractuelles spécifiques.

Article 2(4) — sans préjudice de la directive e-commerce

Le paragraphe 4 préserve l’application de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique, et en particulier ses dispositions sur la responsabilité des prestataires intermédiaires. Cette articulation a été modernisée par le règlement (UE) 2022/2065 (DSA) qui se superpose, sans abroger la directive, au régime de la responsabilité des hébergeurs. Le RGPD ne fait donc pas obstacle à l’application des régimes de responsabilité et d’exemption de la directive e-commerce / DSA, et inversement.

Les zones grises : ce qui sort du champ matériel

L’anonymisation effective : sortie nominale du RGPD

Le considérant 26 du RGPD rappelle que les principes de la protection des données ne s’appliquent pas aux informations anonymes, à savoir « les informations ne concernant pas une personne physique identifiée ou identifiable, ni les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ». L’anonymisation effective fait donc sortir du champ matériel.

Mais l’avis G29 WP216 du 10 avril 2014 sur les techniques d’anonymisation fixe un standard exigeant : trois critères cumulatifs (résistance à la singularisation, à la corrélation, à l’inférence) et tenue en compte de « tous les moyens raisonnablement susceptibles d’être utilisés » pour la réidentification. La CJUE C-582/14 Breyer du 19 octobre 2016 a confirmé ce standard : une adresse IP dynamique est une donnée personnelle dès lors que des moyens légaux (réquisition judiciaire) permettent à un tiers d’identifier le titulaire. La frontière entre pseudonymisation (dans le champ) et anonymisation (hors champ) est donc plus étroite qu’il n’y paraît. L’analyse détaillée est développée dans notre guide pseudonymisation vs anonymisation.

Les données des personnes décédées

Le considérant 27 du RGPD exclut nominalement les données des personnes décédées du champ matériel. Mais il autorise les États membres à prévoir des règles spécifiques. En France, l’article 85 LIL (à ne pas confondre avec l’article 85 du RGPD) organise les directives post mortem, prolongeant certaines obligations au-delà du décès. Une entreprise française doit donc gérer un régime hybride : les données du défunt sortent du RGPD stricto sensu mais demeurent encadrées par la LIL.

Les données strictement techniques

Une donnée qui ne se rapporte à aucune personne identifiée ou identifiable n’est pas une donnée personnelle au sens de l’article 4(1) RGPD et sort par voie de conséquence du champ matériel. La qualification se joue cas par cas : une mesure de capteur industriel sans identifiant, une donnée météo, une métrique d’usage agrégée échappent au RGPD. Mais dès qu’un identifiant indirect (adresse MAC, identifiant publicitaire, fingerprint navigateur) entre dans la chaîne, l’analyse bascule.

Les personnes morales

Le considérant 14 confirme que le RGPD ne s’applique pas aux données concernant les personnes morales — y compris la dénomination, la forme et les coordonnées professionnelles. Mais la donnée d’un dirigeant nominativement désigné, d’un salarié identifié ou d’un point de contact reste personnelle, même intégrée dans une fiche entreprise.

Articulation avec les autres règlements numériques

Le champ matériel du RGPD se cumule, et non se substitue, avec d’autres règlements sectoriels. L’AI Act (règlement (UE) 2024/1689) s’applique aux systèmes d’intelligence artificielle indépendamment de la nature des données : un SIA entraîné sur données anonymisées reste régulé par l’AI Act. Le Data Act (règlement (UE) 2024/1252) régule l’accès aux données générées par les objets connectés, qu’elles soient personnelles ou non. Le DGA (règlement (UE) 2022/868) organise la réutilisation. Le DSA (règlement (UE) 2022/2065) impose des obligations aux plateformes. La directive ePrivacy (2002/58/CE) régit les traceurs et la confidentialité des communications, avec en France l’article 82 LIL appliqué par la CNIL avec un standard plus exigeant que l’article 6 RGPD pour les cookies.

Conclusion pratique : qualifier un traitement « hors RGPD » ne signifie jamais « hors régulation ». Il faut systématiquement vérifier si une réglementation sectorielle adjacente s’applique.

Plan opérationnel — six chantiers pour qualifier le champ matériel

Chantier 1 — cartographie des traitements. Pour chaque flux de données identifié, qualifier explicitement : traitement automatisé en tout ou partie ? Traitement non automatisé dans un fichier ? Si non, hors champ.

Chantier 2 — qualification des exclusions. Pour les traitements potentiellement exclus (sécurité nationale, exception domestique, finalité pénale), documenter la base de l’exclusion dans le registre. La charge de la preuve incombe au responsable au titre de l’accountability article 24 RGPD.

Chantier 3 — anonymisation contrôlée. Si une équipe affirme utiliser des « données anonymes », exiger une preuve documentée du respect des trois critères WP216 et de la « robustness » au sens C-582/14 Breyer. Une simple pseudonymisation par hash ne suffit pas.

Chantier 4 — articulation LED / RGPD. Pour les organismes en interface avec la sphère pénale (avocats, huissiers, RH face au B3, sociétés de sécurité privée, banques LCB-FT), tracer la ligne entre traitements relevant du titre III LIL et traitements relevant du RGPD général.

Chantier 5 — sous-traitance d’institutions UE. Si vous fournissez des services à une institution ou agence européenne, prévoir une clause de double conformité RGPD + règlement 2018/1725.

Chantier 6 — veille réglementaire AI Act / Data Act / DSA / ePrivacy. Les exclusions du RGPD ne sont pas des exemptions de toute obligation. Tenir une matrice de couverture par règlement.

Dans mon expérience de conseil auprès de directions juridiques, la grande majorité des erreurs ne portent pas sur les obligations détaillées du RGPD, mais sur l’amont : un mauvais cadrage du champ matériel conduit soit à dépenser des ressources sur des traitements qui n’en relèvent pas, soit, plus dangereusement, à ignorer un traitement qui aurait dû être documenté. La qualification de l’article 2 doit donc précéder, et non suivre, l’analyse des bases légales de l’article 6 et des principes de l’article 5.

Ce qu’il faut retenir

• L’article 2 RGPD fixe le champ d’application matériel : traitement automatisé en tout ou partie, et traitement non automatisé contenu dans un fichier au sens de l’article 4(6).
• Quatre exclusions limitatives : activités hors du droit de l’Union (étroitement encadrées par CJUE La Quadrature du Net), PESC, exception domestique (CJUE Lindqvist, Ryneš, Buivids), traitements relevant de la directive police-justice 2016/680.
• L’exception domestique se perd dès qu’il y a publication, diffusion à des tiers ou finalité dépassant la sphère personnelle.
• L’anonymisation effective fait sortir du champ, mais sous un standard exigeant (G29 WP216 et CJUE Breyer C-582/14). La pseudonymisation, elle, reste dans le champ.
• Sortir du RGPD ne signifie jamais sortir de toute régulation : AI Act, Data Act, DSA, DGA, ePrivacy et règlement 2018/1725 se cumulent et doivent être qualifiés indépendamment.

FAQ

Mon fichier client papier est-il soumis au RGPD ?

Oui, dès lors qu’il est structuré et accessible selon des critères déterminés (nom, numéro client, ordre alphabétique) au sens de l’article 4(6) du RGPD. La forme papier n’exclut pas l’application du règlement : c’est la définition de « fichier » qui prévaut, comme l’a confirmé la CJUE dans l’arrêt C-25/17 Témoins de Jéhovah du 10 juillet 2018.

L’exception domestique couvre-t-elle ma page Facebook personnelle ?

Pas nécessairement. Si la page est ouverte au public ou comporte un nombre indéterminé d’abonnés, l’exception domestique tombe selon la jurisprudence CJUE Lindqvist (C-101/01) et Buivids (C-345/17). Le partage avec un cercle privé restreint, en revanche, demeure dans l’exception. Le test est celui de la diffusion à un nombre indéterminé de tiers.

Les données de mes salariés relèvent-elles du RGPD ou de la directive police-justice ?

Du RGPD. La directive (UE) 2016/680 ne s’applique qu’aux « autorités compétentes » en matière pénale au sens de l’article 87 LIL. Un employeur n’est pas une autorité compétente, même lorsqu’il consulte le bulletin n° 3 du casier judiciaire (B3) dans le cadre d’un recrutement. Le traitement employeur reste régi par le RGPD, avec les contraintes spécifiques de l’article 10 sur les données pénales.

L’anonymisation me sort-elle complètement du RGPD ?

Oui, mais uniquement si elle est effective au sens du considérant 26 et de l’avis G29 WP216. Trois critères cumulatifs sont exigés : résistance à la singularisation, à la corrélation et à l’inférence, en tenant compte de tous les moyens raisonnablement disponibles pour la réidentification. La CJUE Breyer (C-582/14) rappelle qu’une réidentification rendue possible par voie de réquisition légale suffit à requalifier la donnée comme personnelle. Une simple pseudonymisation n’est pas une anonymisation.

Une donnée concernant une personne décédée est-elle dans le champ du RGPD ?

Le considérant 27 exclut nominalement les données des personnes décédées du RGPD. Mais en France, l’article 85 LIL organise les directives post mortem et impose certaines obligations résiduelles : il faut donc traiter ces données selon le régime national, distinct du RGPD strict. Cette règle conduit en pratique à conserver une politique de traitement post-décès dans la documentation accountability.

---

Vous souhaitez sécuriser vos analyses de qualification RGPD ? Inscrivez-vous à la newsletter de donneespersonnelles.fr pour recevoir chaque semaine décryptages d’actualité, jurisprudence commentée et guides pratiques rédigés par Thiébaut Devergranne, docteur en droit privé et fondateur de Legiscope.