Article 4 RGPD : les définitions à connaître

L’article 4 du RGPD ne fait pas la une des guides de conformité, et c’est une erreur. C’est pourtant lui qui définit, en 26 points, l’ensemble des notions sur lesquelles repose tout le règlement. Mal lire l’Art. 4, c’est mal qualifier le traitement, mal identifier le responsable, mal apprécier le risque. Dans 70 % des audits que je conduis, les écarts trouvent leur origine dans une définition mal interprétée — typiquement la frontière entre responsable de traitement et sous-traitant, ou la portée exacte de la notion de « donnée à caractère personnel ». Voici l’analyse pratique des définitions les plus structurantes, avec les pièges que je vois revenir.

Pourquoi l’article 4 est la clé du RGPD

L’Art. 4 RGPD ouvre le chapitre I du règlement et tient en une seule phrase liminaire suivie de 26 définitions. Chaque autre article du RGPD doit être lu à la lumière de ces définitions : elles ne sont pas des indications, elles sont la grille de qualification.

Le manquement n’est presque jamais sanctionné en tant que tel sur l’Art. 4 — on ne reçoit pas d’amende « pour mauvaise lecture des définitions ». Mais une qualification erronée déclenche un effet domino : si vous classez à tort un sous-traitant comme prestataire neutre, vous omettez le contrat de l’Art. 28. Si vous traitez une donnée pseudonymisée comme une donnée anonyme, vous échappez aux principes de l’Art. 5. L’erreur de qualification est la première brique de tous les manquements de fond.

Pour la lecture pratique du règlement, je distingue quatre familles de définitions dans l’Art. 4 : la matière (qu’est-ce qui est protégé), les acteurs (qui fait quoi), les opérations (qu’est-ce qui est encadré), les notions techniques (sur quoi reposent les obligations spécifiques).

La matière protégée : Art. 4(1) à 4(5), 4(13) à 4(15)

Art. 4(1) : la donnée à caractère personnel

L’Art. 4(1) définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le mot pivot est « identifiable » : il suffit que la personne puisse être identifiée, directement ou indirectement, pour que l’information bascule dans le périmètre du RGPD.

Trois précisions jurisprudentielles essentielles. Premièrement, l’identification ne suppose pas la connaissance directe du nom : un identifiant en ligne, une adresse IP, un cookie, un identifiant publicitaire, un numéro de téléphone, une localisation suffisent dès lors qu’ils permettent — seuls ou combinés — de relier l’information à une personne. La CJUE l’a confirmé dans l’arrêt Breyer (C-582/14, 19 octobre 2016) à propos des adresses IP dynamiques.

Deuxièmement, l’identification peut résulter du croisement avec des données détenues par un tiers, dès lors que ce croisement est « raisonnablement susceptible » d’être effectué (considérant 26). Ce critère du « moyen raisonnable » exclut les hypothèses purement théoriques mais inclut, par exemple, le rapprochement entre un fichier d’analyse et un fichier client.

Troisièmement, le concept est extensif. Sont des données personnelles : un avis subjectif sur une personne, une note professionnelle, une photo, un enregistrement vocal, une donnée de santé, une donnée financière, une opinion exprimée par la personne sur un service. La Cour de justice a même qualifié de donnée personnelle la grille de notation d’un examen écrit avec les annotations du correcteur (CJUE, Nowak, C-434/16, 20 décembre 2017).

L’enjeu pratique : tout périmètre de conformité commence par une cartographie complète des données personnelles. Pour la définition pédagogique, voir mon guide donnée personnelle : définition, exemples et enjeux.

Art. 4(2) : le traitement

L’Art. 4(2) qualifie de « traitement » toute opération « effectuée ou non à l’aide de procédés automatisés et appliquée à des données ». La liste qui suit — collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, rapprochement, interconnexion, limitation, effacement, destruction — est volontairement exhaustive.

Trois conséquences pratiques. D’abord, la simple consultation est un traitement : un commercial qui ouvre une fiche client, un comptable qui parcourt un fichier de paie effectuent des traitements. Ensuite, le périmètre couvre les supports papier dès lors qu’ils sont organisés en fichier — ce qui inclut une grande partie des dossiers RH ou clients. Enfin, le simple stockage est un traitement à part entière : les durées de conservation s’appliquent aux archives passives.

Art. 4(5) : la pseudonymisation

L’Art. 4(5) définit la pseudonymisation comme un traitement de telle façon que les données « ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires », ces informations supplémentaires étant conservées séparément.

La pseudonymisation reste un traitement de données personnelles. C’est le contresens le plus fréquent : les équipes IT pensent que pseudonymiser revient à anonymiser et que le RGPD ne s’applique plus. Faux. La pseudonymisation est une mesure de sécurité encouragée par l’Art. 25 et l’Art. 32, mais elle ne fait pas sortir les données du règlement. Pour la distinction technique, voir pseudonymisation vs anonymisation.

Art. 4(13) à 4(15) : données génétiques, biométriques, de santé

Ces trois définitions précisent trois catégories particulièrement sensibles — données génétiques (4(13)), biométriques (4(14)), concernant la santé (4(15)) — qui rejoignent ensuite le régime renforcé de l’Art. 9 sur les données sensibles.

À noter : la donnée biométrique n’est qualifiée que si elle est issue d’un traitement technique spécifique et permet l’identification unique. Une photo d’identité, en tant que telle, n’est pas une donnée biométrique au sens du RGPD ; elle le devient si elle alimente un système de reconnaissance faciale.

Les acteurs : Art. 4(7) à 4(10)

Art. 4(7) : le responsable de traitement

L’Art. 4(7) définit le responsable de traitement comme la personne « qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Le critère est fonctionnel, pas formel : ce n’est pas le contrat qui désigne le responsable, c’est la réalité de la décision sur les finalités et les moyens.

C’est le terrain de la majorité des erreurs de qualification que je rencontre. Trois cas typiques :

• Un employeur qui externalise sa paie à un cabinet ou à un éditeur SaaS : l’employeur reste responsable de traitement, le prestataire est sous-traitant.
• Un cabinet d’expertise comptable qui produit la déclaration sociale nominative : il devient responsable de traitement vis-à-vis de ses propres obligations légales (DSN), même si l’entreprise cliente reste responsable de la paie elle-même.
• Une plateforme RH qui propose un service en marque blanche en imposant ses propres règles de matching : elle est plus probablement responsable conjoint que sous-traitant.

Pour le détail des obligations, voir responsable de traitement RGPD et l’Art. 24 RGPD si publié.

Art. 4(8) : le sous-traitant

L’Art. 4(8) définit le sous-traitant comme « la personne qui traite des données à caractère personnel pour le compte du responsable du traitement ». La formulation est minimaliste, mais le critère opérationnel est clair : le sous-traitant agit sur instruction et n’a pas la liberté de décider des finalités.

Le test pratique en trois questions. Le prestataire peut-il décider, seul, d’un nouvel usage des données collectées ? Peut-il les conserver après la fin de la prestation pour ses propres besoins ? Peut-il les croiser avec ses propres bases ? Si la réponse est « oui » à une seule de ces questions, il n’est plus sous-traitant — il est responsable conjoint, voire responsable autonome.

L’enjeu contractuel : tout sous-traitant doit être encadré par le contrat de l’Art. 28 RGPD, qui fixe douze mentions obligatoires. L’absence de contrat conforme est l’un des manquements les plus fréquents en contrôle CNIL.

Art. 4(9) et 4(10) : destinataire et tiers

L’Art. 4(9) définit le destinataire comme « la personne à laquelle les données sont communiquées », qu’elle soit ou non un tiers. L’Art. 4(10) définit le tiers négativement : toute personne autre que la personne concernée, le responsable, le sous-traitant et leurs préposés directs.

Ces deux définitions structurent le contenu obligatoire des mentions d’information de l’Art. 13 et de l’Art. 14 RGPD : le responsable doit indiquer les destinataires ou catégories de destinataires des données.

Les opérations encadrées : Art. 4(11), 4(12), 4(4)

Art. 4(11) : le consentement

L’Art. 4(11) définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Quatre adjectifs, quatre exigences cumulatives. Libre : pas de déséquilibre significatif (le consentement du salarié à son employeur est rarement libre). Spécifique : un consentement par finalité, pas un blanc-seing global. Éclairé : la personne sait précisément à quoi elle consent. Univoque : ni cases pré-cochées, ni inactivité valant accord — un acte positif est requis (CJUE, Planet49, C-673/17, 1ᵉʳ octobre 2019).

Pour le régime complet du consentement, voir l’Art. 7 RGPD et le modèle de consentement RGPD.

Art. 4(12) : la violation de données

L’Art. 4(12) définit la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

La définition est large : trois types de violations sont visés — confidentialité (accès ou divulgation non autorisé), intégrité (altération non autorisée), disponibilité (perte ou destruction). Une cyberattaque réussie est une violation, mais aussi : un email envoyé au mauvais destinataire, un disque dur perdu, un ransomware empêchant l’accès aux données, une erreur applicative supprimant des fichiers.

Cette définition déclenche les obligations de notification de l’Art. 33 et, le cas échéant, de l’Art. 34 RGPD. Voir aussi le guide de notification CNIL 72h.

Art. 4(4) : le profilage

L’Art. 4(4) définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique ». Trois éléments : automatisation, évaluation, aspects personnels (rendement, situation économique, santé, comportements, déplacements, etc.).

Le profilage en tant que tel n’est pas interdit, mais il déclenche : l’application de l’Art. 22 RGPD si la décision est exclusivement automatisée et a un effet significatif, le critère de risque élevé pour l’AIPD (Art. 35(3)(a)), et des mentions d’information renforcées.

Les notions techniques : Art. 4(16), 4(17), 4(18), 4(23)

Art. 4(16) : l’établissement principal

L’Art. 4(16) détermine où se trouve l’établissement principal d’une entreprise, notion centrale pour identifier l’autorité de contrôle chef de file dans le mécanisme du guichet unique. Pour le responsable de traitement, c’est en principe le lieu de l’administration centrale dans l’Union ; pour le sous-traitant, le lieu de l’administration centrale ou, à défaut, celui où s’exercent les principales activités de traitement.

Art. 4(17) : le représentant

L’Art. 4(17) vise les représentants désignés au titre de l’Art. 27 par les responsables ou sous-traitants établis hors de l’Union européenne mais dont les traitements ciblent des personnes en UE. Ils servent de point de contact pour les autorités et les personnes concernées.

Art. 4(23) : le traitement transfrontalier

L’Art. 4(23) couvre deux hypothèses : le traitement effectué dans le cadre d’établissements situés dans plusieurs États membres, ou le traitement effectué dans un seul établissement mais affectant substantiellement des personnes dans plusieurs États membres. Cette définition déclenche le mécanisme du guichet unique et la coopération des autorités.

Les définitions résiduelles : Art. 4(6), 4(19), 4(20), 4(21), 4(22), 4(24), 4(25), 4(26)

L’Art. 4 contient également des définitions plus techniques que je ne détaille pas ici mais qu’il faut connaître pour les cas spécifiques :

• Art. 4(6) — fichier : tout ensemble structuré de données accessibles selon des critères déterminés. Étend la couverture du RGPD aux dossiers papier organisés.
• Art. 4(19) à 4(20) — entreprise et groupe d’entreprises : pertinent pour les règles d’entreprise contraignantes (BCR) et l’application des sanctions.
• Art. 4(21) à 4(22) — autorité de contrôle et autorité concernée : structure du mécanisme de coopération.
• Art. 4(24) — services de la société de l’information : référence pour les obligations applicables aux services en ligne, notamment la protection des mineurs (Art. 8).
• Art. 4(25) — règles d’entreprise contraignantes (BCR) : un des mécanismes de transfert hors UE.
• Art. 4(26) — organisation internationale : encadre certains transferts vers des organismes internationaux.

Ce qu’il faut retenir

• L’article 4 RGPD définit en 26 points les notions sur lesquelles repose tout le règlement ; chaque autre article du RGPD doit être lu à la lumière de ces définitions.
• La donnée personnelle (Art. 4(1)) couvre toute information rendant une personne identifiable, directement ou indirectement, y compris par croisement raisonnablement praticable.
• Le traitement (Art. 4(2)) inclut toute opération sur les données, y compris la simple consultation et le simple stockage, sur support automatisé ou papier organisé.
• La distinction responsable / sous-traitant (Art. 4(7) et 4(8)) repose sur la maîtrise des finalités et des moyens, pas sur la qualification contractuelle. Une mauvaise qualification déclenche en cascade des manquements de fond.
• Le consentement (Art. 4(11)) est libre, spécifique, éclairé et univoque — quatre exigences cumulatives, contrôlées strictement par la CNIL et la CJUE.
• La violation de données (Art. 4(12)) couvre la confidentialité, l’intégrité et la disponibilité — pas seulement les cyberattaques. Elle déclenche les Art. 33 et 34.

La cartographie de votre conformité commence ici. Une mauvaise qualification au regard de l’Art. 4 fragilise tout le reste de votre démarche. C’est précisément le travail de qualification que Legiscope automatise pour les équipes conformité — du classement des traitements à la qualification des acteurs, en s’appuyant sur les définitions du règlement.

FAQ

Combien y a-t-il de définitions dans l’article 4 RGPD ?

L’article 4 du RGPD contient 26 définitions, numérotées de (1) à (26). Elles couvrent la matière protégée (donnée personnelle, traitement, données sensibles), les acteurs (responsable, sous-traitant, destinataire, tiers), les opérations (consentement, violation, profilage) et des notions techniques (établissement principal, traitement transfrontalier, BCR).

Une donnée pseudonymisée est-elle une donnée personnelle au sens de l’article 4 RGPD ?

Oui. L’article 4(5) RGPD précise expressément que les données pseudonymisées restent des données personnelles dès lors que les informations supplémentaires permettant la réidentification existent. Seule l’anonymisation irréversible fait sortir la donnée du périmètre du règlement. Pour le détail, voir mon guide sur la pseudonymisation vs anonymisation.

Comment distinguer responsable de traitement et sous-traitant selon l’article 4 RGPD ?

Le responsable de traitement (Art. 4(7)) détermine les finalités et les moyens du traitement ; le sous-traitant (Art. 4(8)) agit pour son compte sur instruction. Le test pratique : le prestataire peut-il décider, seul, d’un nouvel usage des données, les conserver après la prestation pour ses propres besoins, ou les croiser avec ses bases ? Si oui, il n’est plus sous-traitant.

Une simple consultation de données est-elle un traitement au sens de l’article 4(2) ?

Oui. L’article 4(2) RGPD inclut expressément la consultation parmi les opérations qualifiées de traitement. Un commercial qui ouvre une fiche client, un comptable qui parcourt un fichier de paie effectuent un traitement, qui doit reposer sur une base légale et respecter les principes de l’article 5 RGPD.