La toute première étape est la détermination du périmètre, des contours du traitement de données personnelles envisagé. En d'autres termes, il va falloir poser un cadre à la procédure que l'on réalise, et dissocier ce qui se trouve dans ce cadre, et ce qui ne s'y trouve pas. Cette étape est essentielle en ce qu'elle va influencer toutes celles qui suivront.

Il n'existe pas de critères fixes pour déterminer ce périmètre : il est nécessaire de le réaliser de manière casuistique. En revanche, il existe plusieurs indices. En voici deux qui sont très souvent utilisés de manière conjointe :

• Le premier indice est de raisonner en termes de systèmes d'informations : un logiciel va souvent correspondre à un traitement de données personnelles.

Exemple : J'utilise depuis 2020 le logiciel EASYLAW2000 afin de traiter des dossiers contentieux. Premièrement, il ne sera pas nécessaire de réaliser toute la procédure pour chaque dossier contentieux : de manière instinctive, il me semble qu'il n'est nécessaire de réaliser qu'une "procédure RGPD" pour les traitements de données réalisés via ce logiciel.

Cet exemple n'est pas nécessairement erroné, mais il est souvent nécessaire d'aller un peu plus loin en essayant d'englober d'autres opérations réalisées, par exemple en utilisant le second indice.

• Le second indice est de raisonner de manière thématique : vous allez vouloir rassembler tout ce qui traite du même sujet, ce qui a la même finalité.

Exemple : Je traite de nombreux dossiers contentieux, via votre tout nouveau Logiciel EASYLAW2000. Néanmoins, vous vous rendez compte que vous traitez tous les dossiers débutés avant 2020 de manière papier. Aussi, les lettres recommandées reçues ne peuvent malheureusement pas être intégrées au logiciel. Ces opérations de traitement peuvent être regroupées avec celles réalisées via le logiciel sous une seule et unique finalité : la "Gestion et suivi des dossiers contentieux".