RGPD : le règlement s’applique-t-il vraiment aux dossiers « papier » ?

Le Règlement général relatif à la protection des données (RGPD) entrera en vigueur dans moins de trois mois maintenant et les entreprises commencent à comprendre les enjeux de la mise en conformité.

On peut lire ici ou que les informations contenues sur papier seront nécessairement concernées par le RGPD. Pourtant cela mériterait d’être précisé, notamment par la CNIL. 

 

La portée du RGPD sur les dossiers « papier » reste à clarifier

Le RGPD donne à son article 4 la liste des définitions applicables. Ainsi il entend par « données à caractère personnel » : « toute information se rapportant à une personne physique identifiée ou identifiable« . Cette définition semble très large et imprécise : il aurait été bien plus simple de définir, ne serait-ce que dans les considérants, l’impact du RGPD en fonction du support de l’information. 

En effet, si l’on se penche sur la définition de la « donnée », d’après un dictionnaire bien connu, il s’agit d’une « représentation conventionnelle d’une information en vue de son traitement informatique« . Les auteurs de doctrine se sont aussi emparés du sujet depuis le début des années 2000 : ainsi pour Isabelle de Lamberterie, dans son article « Qu’est-ce qu’une donnée de santé » paru en 2004, la donnée est « une information valorisée qui possède une valeur ajoutée d’ordre technologique« . Nous pourrions continuer longtemps avec l’énumération des différentes sources qui lient directement, sans ambiguïté, la notion de « donnée » à son caractère informatisé ou numérisé. 

Il est donc étonnant que le RGPD ne fasse pas mention de cette idée de traitement informatique. Même la définition du « traitement » ne renvoie qu’aux « opérations effectuées ou non à l’aide de procédés automatisés« . A la lumière de ces précisions, on peut légitimement se demander si le fait d’avoir des informations à caractère personnel uniquement sur papier constitue une « opération » au sens du RGPD. Pas si sûr… pour lever tout doute, il serait bon que la CNIL, ou la Commission européenne elle-même, se prononce clairement. 

 

Les dossiers « papier » numérisés sont bien concernés par le RGPD

Si l’on peut s’interroger sur l’application des règles très contraignantes du RGPD aux informations qui sont contenues exclusivement sur papier, le doute n’est pas permis pour les informations contenues sur papier qui sont également numérisées. De telles informations peuvent faire l’objet d’un traitement tel que l’entend le RGPD et tout responsable de traitement doit se conformer aux obligations du Règlement. 

Toujours est-il que tous les documents contenant des informations personnelles doivent, quoi qu’il arrive, faire l’objet d’une protection particulière, ne serait-ce qu’au titre de la loi relative à l’informatique et aux libertés.

Aux fins du présent règlement, on entend par:

1)

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); […] ;

2)

«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

 

A propos Leo Guittet 196 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

1 Trackbacks & Pingbacks

  1. RGPD : la CNIL nous aide dans nos analyses d'impact – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Nîmes : le psychiatre mis en examen pour viol était lui-même sous curatelle

Lundi 19 février, un médecin gardois qui exerçait près de Nîmes a été mis en examen pour des faits de...

Fermer