– Un « traitement » automatisé ou non. – Un traitement est caractérisé par toute opération appliquée à des données personnelles, effectuée ou non avec un procédé automatisé, avec, entre autres exemples, la collecte, la structuration, l'utilisation, la modification, la communication… mais aussi la limitation et l'effacement.
On pourrait s'étonner de ce que la notion de « traitement » ne soit pas limitée aux traitements automatisés, dans une législation établie à l'occasion du développement de l'informatique, par inspiration de la loi française informatique et libertés qui, en 1978 pourtant, limitait déjà son périmètre aux seuls traitements automatisés
L. no 78-17, 6 janv. 1978, art. 3 : « Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ».
.
Cela est d'autant plus surprenant si l'on considère le caractère aujourd'hui largement inconcevable, ou alors inopérant, d'un traitement qui prétendrait désormais être réalisé sans aucun automatisme et donc sans informatique.
Mais cette définition était déjà celle de la directive du 24 octobre 1995
PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, consid. 27 et art. 2, b).
, sur laquelle le RGPD n'est pas revenu, même vingt ans plus tard. Et la directive avait finalement conduit à modifier la rédaction de la loi française, pour l'étendre aux traitements non automatisés, lors de la modification de 2004
L. no 2004-801, 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, art. 1.
.
Un traitement est initié par un responsable, qui peut confier sa réalisation matérielle à un sous-traitant.