Que se passe-t-il quand une donnée personnelle existe, mais que personne ne la traite ?
La question n’est pas théorique. Elle touche au cœur même de l’architecture logique du règlement et révèle une tension que ni le législateur européen, ni les autorités de contrôle, ni la doctrine n’ont véritablement résolue.
Ce que dit le texte : deux définitions, un même règlement
Pour comprendre le problème, il faut revenir aux définitions fondatrices du RGPD.
L’article 4(1) définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition est autonome. Elle ne fait référence à aucun traitement. Une donnée est personnelle par nature, par ce qu’elle est, indépendamment de ce qu’on en fait.
L’article 4(2) définit le traitement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ». La liste est large : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, rapprochement, limitation, effacement, destruction.
L’article 2(1) délimite ensuite le champ d’application matériel du RGPD : le règlement « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Le mécanisme est donc le suivant : le RGPD ne protège pas les données personnelles en tant que telles. Il encadre les traitements portant sur ces données. Sans traitement, pas d’application du règlement.
Le piège logique : le stockage est-il un traitement ?
C’est ici que l’objection classique surgit. On répondra immédiatement que stocker une donnée, c’est déjà la traiter. L’article 4(2) mentionne explicitement la conservation parmi les opérations constitutives d’un traitement. Donc toute donnée stockée est nécessairement traitée, et le problème disparaît.
Sauf que cette réponse, pour rassurante qu’elle soit, masque la vraie difficulté.
Le RGPD exige que tout traitement repose sur une finalité déterminée, explicite et légitime (article 5(1)(b)). Il exige également une base légale parmi les six prévues à l’article 6. Et il impose le principe de minimisation : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
Or, que se passe-t-il concrètement dans les situations suivantes ?
Situation 1 : les données héritées. Une entreprise rachète une autre société. Dans les serveurs du vendeur, des bases de données contiennent des millions d’enregistrements. Personne ne sait exactement ce qu’elles contiennent, personne ne les utilise, personne ne les a consultées depuis des années. Elles sont là, inertes.
Situation 2 : les sauvegardes oubliées. Un service informatique effectue des sauvegardes régulières sur des bandes magnétiques ou des disques externes. Certaines de ces sauvegardes datent de dix ans. Personne ne les a jamais restaurées, personne n’envisage de le faire, mais personne ne les a détruites non plus.
Situation 3 : les données accidentelles. Un scanner de réseau capture des trames contenant des données personnelles. Ces trames sont stockées dans des fichiers de log que personne ne lit, que personne n’analyse, et qui seront écrasés dans six mois par rotation automatique.
Dans chacun de ces cas, les données sont techniquement « conservées », donc théoriquement « traitées » au sens de l’article 4(2). Mais cette conservation n’a aucune finalité. Elle n’est pas le résultat d’une décision délibérée de traiter des données personnelles. Elle est un effet secondaire, un résidu, un oubli.
Le paradoxe de la finalité absente
Voici le nœud du problème.
Si la conservation est un traitement, alors ce traitement doit avoir une finalité. Sans finalité, le traitement viole l’article 5(1)(b). Il est donc illicite. Le responsable de traitement doit le cesser, c’est-à-dire effacer les données.
Mais qui est le responsable de traitement d’un traitement qui n’a pas de finalité ? L’article 4(7) définit le responsable de traitement comme celui qui « détermine les finalités et les moyens du traitement ». Si personne n’a déterminé de finalité, personne n’est responsable de traitement. Et s’il n’y a pas de responsable de traitement, qui va effectuer l’effacement ? Qui répond aux demandes de droits des personnes concernées ? Qui notifie la CNIL en cas de violation ?
On entre dans un cercle logique :
- La donnée est stockée, donc traitée.
- Le traitement n’a pas de finalité, donc il est illicite.
- Le traitement illicite doit être corrigé par un responsable de traitement.
- Mais il n’y a pas de responsable de traitement puisque personne n’a défini de finalité.
- Donc personne n’est tenu de corriger la situation.
- Donc le traitement illicite perdure.
Le RGPD, conçu pour protéger les personnes, se retrouve ici dans une impasse logique où sa propre architecture empêche la protection qu’il est censé garantir.
La réponse pragmatique : la théorie du « responsable de fait »
Face à ce paradoxe, la pratique et la jurisprudence ont développé une approche pragmatique. Celui qui a la maîtrise technique et organisationnelle des données est considéré comme responsable de traitement de fait, même s’il n’a jamais déterminé de finalité.
La CJUE a progressivement élargi la notion de responsable de traitement dans plusieurs arrêts marquants. Dans l’affaire Wirtschaftsakademie (C-210/16, 2018), la Cour a estimé qu’un administrateur de page Facebook était co-responsable de traitement pour la simple raison qu’il tirait bénéfice du traitement, même s’il n’avait aucun contrôle sur les moyens techniques. Dans l’affaire Fashion ID (C-40/17, 2019), cette logique a été étendue à l’intégration d’un simple bouton « J’aime » sur un site web.
La tendance est claire : la notion de responsable de traitement est interprétée de manière fonctionnelle et extensive. L’absence de finalité explicite ne suffit pas à échapper à la qualification.
En d’autres termes, le droit refuse la situation d’orphelinat des données. Si des données personnelles existent quelque part, sous le contrôle technique de quelqu’un, ce quelqu’un a des obligations, qu’il le sache ou non, qu’il l’ait voulu ou non.
Les conséquences pratiques : un continent de non-conformité
Cette analyse révèle un problème massif et largement sous-estimé.
La majorité des organisations détiennent des données personnelles qu’elles ne savent pas posséder. Des fichiers Excel oubliés dans des arborescences partagées. Des bases de données de tests contenant de vraies données copiées depuis la production. Des courriels archivés contenant des pièces jointes avec des données de santé. Des clés USB dans des tiroirs. Des comptes cloud personnels de collaborateurs partis depuis longtemps.
Ces données ne figurent dans aucun registre des traitements. Elles n’ont fait l’objet d’aucune analyse d’impact. Aucune base légale ne les couvre. Aucune durée de conservation ne leur a été assignée. Aucune information n’a été délivrée aux personnes concernées.
Et pourtant, au regard du RGPD tel qu’interprété par les autorités et les juridictions, leur simple existence constitue un traitement illicite dont l’organisation est responsable.
Le registre des traitements, présenté comme la colonne vertébrale de la conformité, ne recense par construction que les traitements connus et assumés. Tout le continent des données oubliées, accidentelles ou héritées échappe à ce radar. C’est précisément là que se concentre le risque réel.
La donnée de Schrödinger : à la fois dans et hors du RGPD
Pour pousser le raisonnement jusqu’au bout, imaginons une donnée personnelle qui serait véritablement non traitée. Pas stockée, pas conservée, pas enregistrée. Une donnée qui existerait dans la mémoire d’une personne, par exemple : un manager qui retient mentalement qu’un de ses collaborateurs a un problème de santé.
Cette information est une donnée personnelle au sens de l’article 4(1). Elle se rapporte à une personne physique identifiée. Mais elle ne fait l’objet d’aucun traitement automatisé et ne figure dans aucun fichier. Elle échappe donc au champ d’application matériel de l’article 2(1).
Cette donnée personnelle existe, mais le RGPD ne s’y applique pas. La donnée est personnelle ontologiquement, mais elle est invisible juridiquement.
C’est la leçon fondamentale que cette question nous enseigne : le RGPD ne protège pas les données personnelles. Il protège les personnes contre certains usages de leurs données. La nuance est considérable, et elle est trop souvent oubliée dans les discours sur la « protection des données ».
Ce que le DPO doit en retenir
Pour le praticien de la conformité, cette réflexion n’est pas un exercice intellectuel stérile. Elle emporte des conséquences très concrètes.
Premièrement, l’exercice de cartographie des traitements ne peut pas se limiter à interroger les métiers sur leurs traitements déclarés. Il faut aller chercher les données là où personne ne regarde : les systèmes de fichiers, les sauvegardes, les environnements de test, les boîtes mail partagées, les outils collaboratifs, les espaces de stockage cloud.
Deuxièmement, la question de la finalité doit être posée de manière systématique pour chaque ensemble de données identifié. Si aucune finalité n’existe, deux options s’imposent : soit définir une finalité légitime et mettre le traitement en conformité, soit supprimer les données. Le statu quo, la conservation sans finalité, est en soi une violation du règlement.
Troisièmement, les politiques de durée de conservation doivent intégrer un mécanisme de purge des données orphelines. Ce n’est pas une question de bonnes pratiques, c’est une obligation légale découlant directement du principe de limitation de la conservation prévu à l’article 5(1)(e).
Quatrièmement, la sensibilisation des équipes doit aborder ce sujet frontalement. Trop de collaborateurs pensent que des données qu’ils n’utilisent pas ne posent pas de problème. C’est exactement l’inverse : des données conservées sans raison constituent un risque juridique pur, sans aucun bénéfice en contrepartie.
Alors ?
« Une donnée personnelle qui n’est jamais traitée est-elle encore une donnée personnelle ? »
La réponse est oui, incontestablement. Une donnée personnelle l’est par nature, par ce qu’elle est, indépendamment de tout traitement.
Mais la vraie question est ailleurs : le RGPD protège-t-il cette donnée ?
Et la réponse honnête est : pas directement. Le RGPD ne s’active que lorsqu’un traitement existe. Son architecture même crée un angle mort pour les données qui échappent à toute finalité, à tout responsable, à tout registre.
C’est un rappel salutaire que la conformité RGPD n’est pas un état statique que l’on atteint une fois pour toutes. C’est un processus continu qui exige d’aller chercher, encore et encore, les données que personne n’a voulu voir.
Car c’est précisément dans les recoins oubliés des systèmes d’information que le risque est le plus élevé et la protection des personnes la plus faible.
