Le 25 mai 2018, une nouvelle loi va entrer en vigueur concernant le règlement général sur la protection des données. Vous trouverez notre décryptage global du RGPD et de ses différentes mesures en suivant ce lien. Dans le présent article, nous allons nous intéresser à l’impact du RGPD sur les documents papier.

  1. Quelles mesures à mettre en place pour traiter les documents papier ?
  2. Les documents papier récupérés lors d’événements
  3. La base active
  4. Les archives
  5. Protection des données sensibles
  6. LAD/RAD et dématérialisation de vos documents papier

 

1. Quelles mesures à mettre en place pour traiter les documents papier ?

Le RGPD indique dans l’article 4 la définition des données à caractère personnel comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Cela implique que peu importe la forme de la donnée personnelle, celle-ci doit être contrôlée et transparente.

Comme toutes les données personnelles, il faut donc organiser les données papier en respectant les principes du RPGD :

  • Détruire les documents selon leur délai de conservation (exemple : 3 ans maximum pour les coordonnées d’un prospect qui ne répond à aucune sollicitation)
  • Savoir à tout moment de quelles données vous disposez et à quelles fins, où elles se trouvent, comment elles sont gérées et sécurisées
  • Limiter la quantité de données traitée et sécuriser les données dès la conception du produit ou du service et par défaut (logique de responsabilisation / privacy by design & privacy by default)
  • Demander le consentement explicite de collecte d’informations privées au moment du recueil
  • Mettre en place des mesures de sécurité physique des documents
  • Tracer et conserver l’accès aux données papier par une journalisation des consultations
  • Déclarer tout vol de données dans les 72h à la CNIL

RGPD-documents-papier

Concrètement, quelles données papier sont concernées ?

2. Les documents papier récupérés lors d’événements

Lorsque vous participez à un salon, vous pouvez être tenté de rentabiliser au maximum votre présence en récupérant le plus de données personnelles possible. Mais que ce soit des données numériques ou bien des cartes de visite papier, vous devez informer clairement de la finalité du traitement de ces données afin que le consentement ne soit pas faussé. Par exemple, vous ne pouvez pas recueillir les cartes de visite sous le prétexte d’un jeu concours, sans indiquer leurs réelles fins de prospection. Il faudra également conserver la date, le lieu et de quelle manière vous avez recueilli ces données (par exemple en prenant en photo le texte qui informait les visiteurs du stand).

cartes-de-visite-rgpdCes règles concernent également les CV que vous pouvez recevoir par courrier ou lors d’événements. Dès lors que vous les conservez dans votre organisation, il faut que la personne en soit informée, que son consentement soit prouvé, et que le document soit classé.

3. La base active

Ce sont les données papier qui circulent dans l’organisation, appelées aussi archives courantes. Selon la logique de responsabilisation, il vous faudra opérer un tri parmi la totalité des données collectées pour ne garder que les seules données indispensables. Le but est de limiter la quantité de données collectées à la seule finalité de la collecte, et empêcher des utilisations pour d’autres finalités non consenties. Il faudra donc sûrement reprendre numériquement vos documents papier pour les trier, lorsque ces derniers contiennent plusieurs types de données. Les techniques de LAD/RAD (reconnaissance de caractères) deviennent dans ces cas très utiles (voir le paragraphe 6).

Chaque personne ayant un droit d’accès de ses données personnelles, il vous faudra également rassembler vos documents pour les envoyer facilement par courrier aux personnes concernées.

4. Les archives

Tout comme les archives courantes, vos archives intermédiaires vont devoir être facilement accessibles, en cas de demande d’accès d’un de vos clients, fournisseurs ou collaborateurs. Le délai pour fournir les données concernant une personne est en effet d’un mois. Il est donc temps de classer correctement vos archives !

Il faudra également faire la liste des délais de conservation selon les types de documents, et détruire tout document obsolète. Quelques exemples :

  • 3 ans maximum pour les coordonnées d’un prospect qui ne répond à aucune sollicitation
  • 5 ans pour les données relatives à gestion de la paie ou le contrôle des horaires des salariés
  • 10 ans pour un dossier médical
  • Pas de délai pour les données présentant un intérêt historique, scientifique ou statistique

Tout manquement peut être contrôlé et sanctionné par la CNIL. Plus de détails à ce sujet dans notre article.

RGPD-conformite-25-mai-conseils-recommandations

5. Protection des données sensibles

Les entreprises vont devoir mettre en place des mesures pour garantir la sécurité des données en permanence et dans tous les services. La première étape est de réfléchir à une procédure de protection des données, et comme pour les données numériques, de désigner un Délégué à la protection des données (DPO). Il faudra ensuite identifier les documents sensibles ou obsolètes et les protéger ou les détruire.

Cela implique également la sensibilisation des collaborateurs sur les bonnes pratiques d’une gestion sécurisée des documents. Par exemple, ne pas laisser sans surveillance des impressions sensibles dans l’imprimante ou sur les bureaux.

La destruction des documents obsolètes ou confidentiels doit aussi être revue pour s’adapter à la norme DIN 66399. Si vous passez par un sous-traitant, il faudra revoir son contrat pour inclure des mentions indiquant le respect du RGPD. En effet, l’élimination et stockage des documents doivent également être tracés et certifiés pour prévenir toute faille de sécurité.

6. LAD/RAD et dématérialisation de vos documents papier

La LAD et la RAD sont des techniques qui s’appuient sur l’OCR (reconnaissance optique de caractères). Ces techniques permettent une numérisation efficace des documents papier, puisqu’ils sont classés automatiquement dans votre système informatique, dès lors qu’il est relié à une GED.

La LAD (lecture automatique des documents) permet de récupérer les informations textuelles sur les documents. La LAD offre donc dans le cadre d’une gestion électronique de documents un traitement extrêmement rapide des formulaires papier ainsi que la possibilité d’associer des métas-données à un document numérisé pour en faciliter la recherche.

La RAD (reconnaissance automatique de documents) permet de distinguer un type de document d’un autre en s’appuyant sur plusieurs paramètres prédéfinis tels que le logo d’une entreprise cliente ou fournisseur, ou encore un code-barres présent dans le document. Avec une RAD bien paramétrée, vous avez l’assurance de documents bien classés. + d’infos

LAD-RAD-GED-RGPDLe classement complet des documents papier, des archives mais aussi des données déjà numérisées peut sembler une tâche difficile. Mais cela peut aussi être l’occasion de passer au tout numérique et de dématérialiser l’ensemble de vos documents. Car le RGPD n’est pas une purge unique à effectuer, c’est bien une méthode de travail à mettre en place sur le long terme. La dématérialisation de l’ensemble des futurs documents semble donc une démarche logique pour éviter des classements disparates.

 

Le RGPD peut donc sembler très contraignant pour le traitement des documents papier, et notamment pour conserver toutes les informations liées à leur collecte. Mais il faut voir cela comme une opportunité de qualifier toutes les données qui circulent dans votre entreprise.

Et si c’était l’occasion pour vous de mettre en place la dématérialisation de vos données ?
Nous contacter

Partager cet article ...Share on Facebook
Facebook
Email this to someone
email
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin