Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis près d’un an.
Si les entreprises sont de plus en plus nombreuses à comprendre les enjeux de la mise en conformité avec le « nouveau » règlement, elles ne cernent pas toujours l’intérêt de protéger les documents papier, lesquels doivent pourtant être protégés dans les mêmes conditions que les fichiers informatiques.
RGPD : son champ d’application concerne aussi les documents papier
Dans son article 4, le RGPD donne une définition quant à son champ d’application. Ainsi, il concernerait toutes les « données à caractère personnel », et « toute information se rapportant à une personne physique identifiée ou identifiable ».
À ce stade, vous vous demandez sûrement si les informations à caractère personnel contenues sur papier sont elles aussi soumises au RGPD, comme cela est le cas des données informatiques. Eh bien sachez que oui ! Sur son site, la CNIL déclare ceci : « Un traitement de données personnelles n’est pas nécessairement informatisé ; les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions ».
Aussi les entreprises et administrations doivent traiter et organiser leurs données papier avec le plus grand soin. Pour ce faire, elles ne doivent pas hésiter à détruire les documents selon un délai de conservation de trois ans maximum dans le cas où un prospect ne donnerait aucune réponse à une sollicitation par exemple, et ce avec un certificat de destruction à l’appui.
Il est aussi impératif de pouvoir localiser chaque donnée, et savoir comment elles sont gérées et sécurisées. En outre, le RGPD exige que le consentement explicite de la personne soit obtenu en cas de collecte d’une information privée, sans compter que des mesures de sécurité doivent être mises en place pour en assurer l’anonymat.
Gestion des archives courantes et intermédiaires
La question de la gestion des archives courantes et intermédiaires se pose également. Ici, un tri doit être opéré, lequel repose sur une logique de responsabilisation. En d’autres termes, il faut limiter au maximum la quantité de données collectées à cette seule finalité, et empêcher toute utilisation répondant à une finalité non consentie. Un tri des documents papiers reconvertis au format numérique est ici recommandé.
À noter qu’en fonction du type de document, des délais de conservation particuliers entrent en vigueur. Passé ce délai, l’entreprise ou administration devra procéder à la destruction du document papier jugé obsolète. Les délais à respecter sont de trois ans pour les coordonnées d’un prospect ne répondant pas aux sollicitations de l’entreprise, cinq ans pour les données inhérentes à la gestion de la paie, dix ans pour un dossier de nature médicale.
Par contre, pour les données dont l’intérêt est scientifique, historique ou statistique, aucun délai n’est prévu par le RGPD.
Lire aussi :