L’article 4 du Règlement (UE) 2016/19 (le « RGPD ») définit le « traitement » de données à caractère personnel comme toute opération ou tout ensemble d’opérations, éventuellement effectués sans recourir à des outils informatiques, concernant la collecte, l’enregistrement, l’organisation, la conservation, la consultation, le traitement, la modification, le tri, l’extraction, la comparaison, l’utilisation, l’interconnexion, le verrouillage, la communication, la diffusion, la suppression et la destruction de données, même si elles ne sont pas enregistrées dans une base de données. Une salle des opérations énoncées ci-dessus suffit pour un traitement de données à caractère personnel soient réalisé.
L’article 4 susmentionné définit le Responsable du traitement comme la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, individuellement ou avec d’autres, identifie les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou des États membres, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être établis par le droit de l’Union ou des États membres.
Il est défini conformément à l’article 4, par. 8), du GDPR. Sous-traitant est le tiers qui traite des données à caractère personnel pour le compte du Responsable du traitement. Ce dernier est tenu d’avoir recours à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et de l’ensemble de la réglementation applicable en la matière. La relation entre le Responsable et le Sous-traitant est régi, conformément à l’article 28 du RGPD, par un contrat ou un autre acte juridique, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.