Le Règlement général relatif à la protection des données (RGPD) entrera en vigueur dans moins de trois mois maintenant et les entreprises commencent à comprendre les enjeux de la mise en conformité. Nous nous intéressions dernièrement aux éventuels aménagements du RGPD dont pourraient bénéficier les organismes de complémentaire santé. Aujourd’hui, c’est un autre sujet qui nous préoccupe.
On peut lire ici ou là que les informations contenues sur papier seront nécessairement concernées par le RGPD. Pourtant cela mériterait d’être précisé, notamment par la CNIL.
Pour toute interrogation que vous pourriez avoir concernant le RGPD : contactez-nous à cette adresse et nous nous efforcerons d’y répondre à travers nos publications.
La portée du RGPD sur les dossiers “papier” reste à clarifier
Le RGPD donne à son article 4 la liste des définitions applicables. Ainsi il entend par “données à caractère personnel” : “toute information se rapportant à une personne physique identifiée ou identifiable“. Cette définition semble très large et imprécise : il aurait été bien plus simple de définir, ne serait-ce que dans les considérants, l’impact du RGPD en fonction du support de l’information.
En effet, si l’on se penche sur la définition de la “donnée”, d’après un dictionnaire bien connu, il s’agit d’une “représentation conventionnelle d’une information en vue de son traitement informatique“. Les auteurs de doctrine se sont aussi emparés du sujet depuis le début des années 2000 : ainsi pour Isabelle de Lamberterie, dans son article “Qu’est-ce qu’une donnée de santé” paru en 2004, la donnée est “une information valorisée qui possède une valeur ajoutée d’ordre technologique“. Nous pourrions continuer longtemps avec l’énumération des différentes sources qui lient directement, sans ambiguïté, la notion de “donnée” à son caractère informatisé ou numérisé.
Il est donc étonnant que le RGPD ne fasse pas mention de cette idée de traitement informatique. Même la définition du “traitement” ne renvoie qu’aux “opérations effectuées ou non à l’aide de procédés automatisés“. A la lumière de ces précisions, on peut légitimement se demander si le fait d’avoir des informations à caractère personnel uniquement sur papier constitue une “opération” au sens du RGPD. Pas si sûr… pour lever tout doute, il serait bon que la CNIL, ou la Commission européenne elle-même, se prononce clairement.
Les dossiers “papier” numérisés sont bien concernés par le RGPD
Si l’on peut s’interroger sur l’application des règles très contraignantes du RGPD aux informations qui sont contenues exclusivement sur papier, le doute n’est pas permis pour les informations contenues sur papier qui sont également numérisées. De telles informations peuvent faire l’objet d’un traitement tel que l’entend le RGPD et tout responsable de traitement doit se conformer aux obligations du Règlement.
Toujours est-il que tous les documents contenant des informations personnelles doivent, quoi qu’il arrive, faire l’objet d’une protection particulière, ne serait-ce qu’au titre de la loi relative à l’informatique et aux libertés.
