Le Règlement général pour la protection des données personnelles (RGPD) est la version française du General Data Protection Regulation (GDPR).

Il ne s’agit pas de littérature ; il s’agit de réglementation. On peut donc penser que la traduction, sinon l’adaptation, est d’ordre technique et utilise des glossaires techniques (juridique, administratif…).

C’est pourquoi il n’est pas banal de constater qu’un même mot anglais est traduit par quatre mots français différents. C’est le cas du mot « record » qui, selon les passages, devient : dossier, archives, registre et enregistrement.

Les 4 traductions de record

Le tableau qui suit regroupe les extraits GDPR et RGPD :

WHEREASATTENDUS
(63) […]  This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses…(63) […] Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics,
(158) […] Public authorities or public or private bodies that hold records of public interest should be services which, pursuant to Union or Member State law, have a legal obligation to acquire, preserve, appraise, arrange, describe, communicate, promote, disseminate and provide access to records of enduring value for general public interest.(158) […] Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public devraient être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès.
ARTICLESARTICLES
Article 30 Records of processing activities

1.Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information: (a)the name and contact details of the controller and, where applicable, the joint controller, the controller’s representative and the data protection officer; (b) the purposes of the processing; (c) a description of the categories of data subjects and of the categories of personal data;

…..

 

Article 30 Registre des activités de traitement

1.   Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

(a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; (b) les finalités du traitement; (c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

Article 33 Notification of a personal data breach to the supervisory authority 1.

3.The notification referred to in paragraph 1 shall at least:

(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

 

Article 33 Notification à l’autorité de contrôle d’une violation de données à caractère personnel

3.   La notification visée au paragraphe 1 doit, à tout le moins:

(a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

 

La multiplicité des équivalences en français met en évidence la difficulté récurrente de traduction du mot record en français (notamment dans la traduction des normes internationales sur le Records management. Le mot est pourtant d’origine latine (ce qui devrait faciliter les choses) et le sens en anglais n’est pas particulièrement sibyllin. Un « record » est une information ou la description d’un événement qui est écrite sur un support papier ou numérique, dit en substance le Dictionnaire de Cambrigde.

Record-keeping

Il faut ajouter une cinquième citation à cette liste avec  l’attendu n° 13 concernant l’exception pour les entreprises de moins de 250 salariés.

(13) Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping.(13) Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres.

L’expression anglaise « record-keeping » est ici traduite par « tenue de registres » sans détail du contexte, de sorte qu’il n’est pas si facile de voir de quoi il s’agit concrètement. En effet, l’expression « record-keeping » (on trouve aussi, en dehors du règlement, les graphies record keeping, sans tiret, et recordkeeping, sans espace) renvoie à des notions assez variées selon les professions. Le terme est défini comme :

  • “ the activity of organizing and storing all the documents, files, invoices, etc. relating to a company’s or organization’s activities”, toujours dans le Dictionnaire de Cambridge

et elle est traduite par :

  • tenue de registres, tenue des écritures, enregistrement des données, conservation des informations et archivage des données (sur www.linguee.fr)
  • tenue à jour de la comptabilité, ou tenue des dossiers, dans le dictionnaire Wordreference
  • archivage, dans le dictionnaire Collins

Pour ma part, dans le monde de la gestion de l’information qui est le mien, recordkeeping évoque surtout :

  1. DIRKS (Designing and Implementing Recordkeeping Systems) un guide australien pour appuyer la norme ISO 15489 sur le records management (archivage managérial), et
  2. GARP (Generally Accepted Recordkeeping Principles), principes créés par l’ARMA International “as a common set of principles that describe the conditions under which business records and related information should be maintained”; ces “business records » étant les contrats, décisions, correspondance et autres traces qui engagent l’entreprise dans la poursuite de son activité.

Bref, un certain flou subsiste dans la lecture de ce considérant du règlement européen.

Mais revenons à la notion de registre, centrale dans le RGPD « français ». Cette utilisation du mot registre dans la version française pose deux problèmes : un problème de nombre et un problème d’ordre.

La multiplication des registres…

Comme on peut le voir dans l’extrait ci-dessus, le titre de l’article 30 du GDPR évoque plusieurs « records » tandis que le titre de l’article 30 du RGPD parle « du » registre, au singulier, même si l’alinéa 3 de ce même article 30 évoque « les » registres. Comment interpréter cette nuance ? Est-ce important ?

La question est de savoir ce que l’on met derrière le mot registre. Dans l’article que  j’ai consacré à ce sujet (Qu’est-ce qu’un registre?), je distingue, d’une part, le registre d’enregistrement chronologique tel qu’il existe pour la comptabilité, les admissions à et sorties de l’hôpital, les causes au tribunal, etc.  avec une finalité de traçabilité et d’exhaustivité et, d’autre part, le registre « documentaire » qui recense et centralise les informations sur une thématique donnée.

Le registre des traitements du RGPD s’inscrit davantage dans cette seconde acception du terme. Le site de la CNIL, du reste, parle de cartographie et de fiche, et non d’un enregistrement chronologique de faits ou d’événements. Il n’est pas prévu d’ordre dans lequel le registre serait rempli : quel pourrait être cet ordre sinon l’ordre pragmatique d’arrivée des responsables de traitement avec leur fiche documentée ? Mais on peut imaginer que, plus tard, une fois la mise à niveau effectuée, tout nouveau traitement décidé par l’entreprise devra être systématiquement enregistré, (consigné) dès sa décision, dans un registre dédié.

Quant à lui, le mot anglais record souligne la notion d’enregistrement, de sorte que la lecture du texte anglais et la lecture du texte français ne laissent pas le même ressenti. D’un côté, les « records of processing activities » laisse imaginer que chaque responsable de traitement doit produire un document synthétique décrivant la nature et les enjeux du traitement au regard du règlement (on aura donc autant de synthèses que de traitements, ce qui n’empêche pas dans faire la liste ou de les regrouper), tandis que « le registre des activités de traitement » fait penser à un gros livre (plutôt une bases de données aujourd’hui) dont le rôle est de centraliser les descriptions des différents traitements.

Se pose alors la deuxième question.

L’écrit précède-t-il ou suit-il l’existence du registre ?

Selon l’étymologie, to record (le verbe) désigne le fait d’enregistrer (sens qui a perduré pour la production musicale où records signifie disques). Un « record », dans la langue française cette fois, est un événement que l’on juge digne  d’être enregistré dans la mémoire collective. Le Public Record Office de Londres est généralement considéré comme le pendant des Archives nationales de Paris (le PRO est d’ailleurs devenu il y a quelques années TNA : The National Archives).

Le point d’attention ici est que le geste d’enregistrement peut s’appliquer à plusieurs choses différentes :

  • soit des faits (actes, événements) que l’on consigne par écrit, ce qui peut se faire selon deux modalités :
    • chaque fait est décrit dans un document et il y a autant de « records » que de faits ;
    • les faits sont décrits les uns à la suite des autres dans un « réceptacle collectif » (un livre, une application informatique) dont le rôle est de mémoriser l’ensemble des faits de même nature ;
  • soit des documents déjà existants ou en cours de création et dont on résume l’existence et les propriétés sous un « numéro d’enregistrement » permettant à la fois de tracer un contrôle administratif et de gérer les documents plus facilement (par exemple : le registre du commerce et des sociétés avec un numéro unique d’enregistrement qui renvoie à des statuts d’entreprises déposés au tribunal).

C’est là qu’intervient la nuance entre « record » et « registre ».

Il convient donc de distinguer :

  • un écrit individuel qui trace un fait (par exemple, un document documentant un traitement de données à caractère personnel) ;
  • un « écrit collectif » où sont consignés systématiquement et intégralement les faits issus d’un même processus, dans l’ordre de leur survenance ; il en résulte un registre d’enregistrement chronologique, original et exhaustif, à des fins de traçabilité (comme un registre comptable, un registre d’état civil ou un registre de délibérations) ; en anglais, on utilisera plutôt les mots book, register, registry que record ;
  • un tableau synthétique des caractéristiques de certaines opérations comme une cartographie des processus, avec des informations qui ne sont regroupées nulle par ailleurs ;
  • une liste récapitulative de documents existants dans l’entreprise (déclarations, contrats, jugements, courriers engageants, etc.) à des fins de gestion.

Au delà des mots, la conformité au RGPD, concernant l’article 30, vise à bien qualifier les données collectées et gérées avec les risques associés ; une opération que les entreprises peuvent aborder avec une méthode Lambda, ou avec la méthode Arcateg™.