Blog Cyberjustice – L’inopérabilité nomenclaturale du RGPD
Le règlement général sur la protection des données s’est annoncé, à son arrivée, constituer le jalon en matière de protection et de circulation des données à caractère personnel (DCP) dans l’Union européenne. Ce texte se veut être opérationnel à travers un cadre explicite, lisible et aisément compréhensible.
Une application linéaire ?
À première vue, le RGPD paraît permettre une application pré-construite aux délégués à la protection des données (Data Protection Officer – DPO) et autres responsables de sa conformité. Il se consacre d’abord à son encadrement général :
- Il pose d’abord les bases liées aux traitements de DCP, ainsi que certaines spécificités.
- Il consacre ensuite les droits des personnes concernées par un traitement.
- Il s’intéresse alors aux obligations des responsables du traitement et des sous-traitants.
- Il traite enfin de la circulation des DCP.
Le RGPD laisse aux DPO et responsables de conformité la liberté de piloter les traitements de DCP, pourvu que ces divers éléments soient respectés. Il se contente seulement de constituer un cadre général de leur protection et de leur circulation. Alors, l’absence d’un cadre restreint et d’une procédure linéaire ne se démarque pas de l’esprit du texte.
Cependant, en l’examinant de plus près, il s’aperçoit que le RGPD présente des lacunes de définitions, ce qui floute alors grandement son application. Ces lacunes pourraient également être interprétées comme étant davantage un enchevêtrement de termes voulus synonymes sans pour autant avoir été définis. Le souci réside, en tout cas, dans la nomenclature du règlement.
Une application mise à mal par une nomenclature incertaine
Il y a lieu de se pencher sur l’article 4, consacré aux définitions. Le RGPD s’appliquant aux traitements de données à caractère personnel (art. 2. 1.), il est naturel que ceux-ci soient définis. Le traitement est alors désigné comme toute opération ou tout ensemble d’opérations appliquées à des données ou ensembles de données à caractère personnel.
- Un traitement équivaut donc à une ou plusieurs opérations. Le terme d’“opération de traitement” se retrouve par exemple dans l’article 35.
En matière d’opérabilité, cette définition suffirait à préciser l’applicabilité matérielle du texte. Toutefois, d’autres termes proches du “traitement” apparaissent le long du texte.
- L’article 30 introduit les “activités de traitement”. S’agit-il d’un synonyme aux opérations de traitement ?
- L’article 35 parle de “type de traitement” et de “catégories de traitements”. Encore une fois, la question de leur définition se pose. Par “type”, entend-on les traitements concrets effectués ou à effectuer ? Mais alors, qu’est-ce qu’une “catégorie” si le fonctionnement se fait au cas par cas ?
- Pire encore, il est également question de “catégories d’activités de traitement”.
- Dans un document mis à disposition par la CNIL (la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise), il est question de “types d’opérations” qui sont subdivisés en traitements.
Ainsi, un traitement, originairement constitué d’opérations de traitements, s’y retrouve parfois subordonné.
Dans la même lignée, les personnes concernées sont définies, tandis que les “catégories de personnes concernées” ne le sont pas. Idem pour les données à caractère personnel et les catégories de données à caractère personnel, etc.
En dépit de sa portée juridique et technique considérable, le texte pâtit d’une instabilité terminologique qui peut mettre en difficulté son application concrète. S’il entend fournir un cadre souple, cette souplesse ne saurait justifier un flou lexical qui altère l’efficacité opérationnelle du dispositif. L’interprétation du texte devient alors un exercice d’exégèse.
Prenons l’exemple d’un hôpital qui souhaite rédiger son registre des traitements conformément à l’article 30 du RGPD. Lorsqu’il doit décrire ses « activités de traitement », il se retrouve face à une incertitude : doit-il distinguer « consultation médicale », « prise de rendez-vous » et « archivage de dossiers » comme des activités différentes, ou s’agit-il d’un seul traitement global de « gestion des patients » ? Le texte ne le précise pas. Cette ambiguïté pousse l’établissement à soit surdocumenter inutilement, soit à prendre le risque d’une conformité incomplète. Le RGPD, censé encadrer, devient alors inopérant, faute de balises terminologiques claires.
Conclusion
Le RGPD gagnerait à être revu non dans ses principes, mais dans sa structure lexicale. La précision des termes juridiques n’est pas une question esthétique, mais une condition de leur opérabilité. Une réforme de sa nomenclature, notamment par une clarification des termes en apparence synonymes, s’impose pour garantir l’effectivité de son application. Ce travail de précision lexicale serait un pas vers l’aboutissement de l’ambition du RGPD : rendre intelligible et applicable la protection des données dans une société numérique en constante mutation, là où le droit ne peut se permettre de l’ambiguïté.
Ghanbary Nina, COMED
Master 2 Cyberjustice 2024/2025
Source : règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
Auteur :
Aller à la source
![[FILIÈRE INFORMATIQUE] Découvrez la filière Informatique ! #informatique #cybersécurité](https://wp.fifu.app/www.artia13.org/aHR0cHM6Ly9pLnl0aW1nLmNvbS92aS9RM3Z4WE96RV9sYy9tYXhyZXNkZWZhdWx0LmpwZw/554eba848d2f/filiere-informatique-decouvrez-la-filiere-informatique-informatique-cybersecurite.webp?w=390&h=205&c=0&p=11775 "[FILIÈRE INFORMATIQUE] Découvrez la filière Informatique ! #informatique #cybersécurité")
