Malgré la numérisation de l’économie et de la société, dans vos bureaux sont reçus, imprimés et jetés chaque jour des dizaines de documents contenant des informations confidentielles. Le risque principal pour une entreprise qui ne sécurise pas ses déchets papiers est évidemment la fuite d’informations.
Éviter les fuites de documents stratégiques
Les données figurant sur vos documents papiers non détruits peuvent être interceptées par des tiers à des fins d’espionnage économique ou de malversations. Il s’agit d’informations commerciales, financières ou industrielles, d’informations relatives à des contrats, des programmes de recherche et développement, données fiscales, secrets de fabrication, informations bancaires ou immobilières, etc.
Éviter les fuites de documents comportant des données personnelles
Sont qualifiées de données personnelles toutes les informations permettant d’identifier une personne : noms, adresse, coordonnées téléphoniques, email, signature, numéro de Sécurité sociale, numéro de compte bancaire, informations médicales, etc.
Les données personnelles se nichent parfois là où on ne les attend pas. On les retrouve notamment dans :
- Les CV de candidats postulant à un emploi,
- Les contrats de travail,
- Les impressions de courriels,
- Les fichiers clients,
- Les bulletins de paie,
- Les photographies,
- Les annuaires d’entreprise,
- Etc.
Récupérées par des personnes malveillantes, ces données peuvent être utilisées pour des usages frauduleux, de la vente illicite d’informations jusqu’à l’usurpation d’identité. La nécessaire protection des données personnelles est encadrée par le RGPD.
La destruction des documents confidentiels est-elle obligatoire ?
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) pose le nouveau cadre réglementaire relatif à la collecte de données personnelles.
Le RGPD a pour principaux objectifs de :
- Renforcer les droits de chacun sur ses données personnelles ;
- Responsabiliser l’ensemble des acteurs impliqués dans un traitement de données à caractère personnel ;
- Harmoniser la législation et la réglementation au sein de l’Union Européenne.
Le RGPD est applicable à tous les établissements publics ou privés qui collectent, traitent et stockent des données à caractère personnel.
Quelles sont les obligations imposées par le RGPD vis-à-vis des documents papiers ?
Selon l’article 4.1 du RGPD, est qualifiée de donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
Le support sur lequel figure la donnée n’a pas d’importance, dans la mesure où le RGPD est applicable aussi bien aux traitements automatisés qu’aux traitements non automatisés, ce qui implique que les données figurant sur des documents papiers sont aussi concernées.
S’agissant de leur conservation et de leur destruction, il énonce notamment les principes ci-dessous.
La durée de conservation
Selon l’article 5 e) du RGPD, « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Ainsi, dès lors que les données collectées ne sont plus utiles, elles doivent être supprimées. Il convient donc de mettre en place une politique de durée de conservation et d’archivage.
Des données à caractère personnel pouvant très probablement figurer sur des documents papier, il convient de respecter les durées de conservation édictées (en tenant compte des obligations légales et des préconisations de la CNIL) et procéder à la destruction des données papier à l’issue de cette conservation.
L’obligation de sécurité
La sécurité des données à caractère personnel est au cœur de la réforme instaurée par le RGPD. En effet, le règlement européen dispose dans son article 32 que : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Par ailleurs, le RGPD impose des obligations à la charge des sous-traitants. Notamment, l’article 28 dispose que le sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Il est impératif de ne pas négliger la sécurité apportée aux données à caractère personnel figurant sur des documents papier, tant au sein des bureaux que lors de leur prise en charge par un prestataire.
L’obligation de transparence et de traçabilité
Le sous-traitant est soumis à une obligation générale de transparence à l’égard du responsable de traitement.
Ainsi, l’article 28 du RGPD impose notamment aux responsables de traitement recourant aux services d’un sous-traitant pour le traitement des données qu’ils collectent, de conclure avec eux un contrat (ou un autre acte juridique), devant impérativement prévoir certaines mentions prévues au sein du même article.
Ce contrat a notamment pour objectif de :
- Préciser les obligations de chaque partie ;
- Recenser par écrit les instructions du responsable de traitement (conformément à l’article 28 du RGPD selon lequel le sous-traitant ne peut agir que « sur instruction documentée du responsable de traitement »).
Lorsque vous confiez la destruction de vos déchets papiers à une entreprise, celle-ci agit comme sous-traitant. A ce titre, elle doit apporter au responsable de traitement, des garanties suffisantes afin de respecter les obligations issues du RGPD.
Quelles sanctions en cas de non-destruction de documents ?
Des sanctions prévues par le RGPD
L’entrée en vigueur du RGPD a eu pour effet d’augmenter le montant des sanctions susceptibles d’être infligées aux entreprises publiques et privées ne respectant pas la réglementation relative à la protection des données à caractère personnel : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Des sanctions prévues par le Code Pénal
Les sanctions pénales ne sont pas en reste. Prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal, elles peuvent aller jusqu’à 300 000 € d’amende et 5 ans de prison.
Comment RECYGO sécurise la destruction de vos documents
Recygo propose des solutions pour la destruction des documents, sous forme :
- D’opérations ponctuelles : idéales pour la destruction d’archives,
- De prestations récurrentes : pour détruire les papiers au quotidien.
La sécurité apportée par Recygo s’appuie sur 4 éléments clés.
Des contenants sécurisés pour protéger vos documents
La sécurité des papiers commence dans les locaux où ils sont jetés. Recygo a imaginé et conçu plusieurs contenants pour trier, entreposer et protéger vos papiers, par exemples :
- Le sac pilon : pour emballer les archives confidentielles,
- La kadnabox : une boite à sceller, qui recueille les papiers au quotidien et les protège jusqu’à leur broyage,
- Le koffre : un coffre en bois verrouillé pour un niveau de protection maximal.
Un système exclusif de traçabilité et des certificats de destruction 100% digitalisés
Les contenants de collecte des papiers à détruire comportent un identifiant unique. Cet identifiant est scanné par le facteur lors de la collecte, puis à l’arrivée sur le site de traitement, juste avant le broyage. Ce double scannage garantit une traçabilité de chaque contenant et permet l’édition d’un certificat de destruction individualisé.
Depuis votre espace client sécurisé, vous accédez en quelques clics à vos certificats de destruction : preuve indispensable en cas de contrôle ou de plainte.
Un réseau de broyeurs agréés
Les papiers à détruire sont acheminés par La Poste jusqu’à l’installation de broyage la plus proche, sur les sites de Nouvelle Attitude, filiale du Groupe La Poste. Tous les broyeurs sont agrémentés selon la norme DIN 66399, et adaptés au niveau de sécurité requis pour vos papiers. Sur le lieu de leur destruction, les documents sont déchiquetés dans une zone sécurisée, et par du personnel soumis à un accord de confidentialité.
Vous avez besoin de vous mettre en conformité avec le RGPD pour vos documents papier ? Recygo vous accompagne pour construire la solution adaptée à votre entreprise, quelle que soit sa taille. Contactez-nous !
Malgré la numérisation de l’économie et de la société, dans vos bureaux sont reçus, imprimés et jetés chaque jour des dizaines de documents contenant des informations confidentielles. Le risque principal pour une entreprise qui ne sécurise pas ses déchets papiers est évidemment la fuite d’informations.
Éviter les fuites de documents stratégiques
Les données figurant sur vos documents papiers non détruits peuvent être interceptées par des tiers à des fins d’espionnage économique ou de malversations. Il s’agit d’informations commerciales, financières ou industrielles, d’informations relatives à des contrats, des programmes de recherche et développement, données fiscales, secrets de fabrication, informations bancaires ou immobilières, etc.
Éviter les fuites de documents comportant des données personnelles
Sont qualifiées de données personnelles toutes les informations permettant d’identifier une personne : noms, adresse, coordonnées téléphoniques, email, signature, numéro de Sécurité sociale, numéro de compte bancaire, informations médicales, etc.
Les données personnelles se nichent parfois là où on ne les attend pas. On les retrouve notamment dans :
- Les CV de candidats postulant à un emploi,
- Les contrats de travail,
- Les impressions de courriels,
- Les fichiers clients,
- Les bulletins de paie,
- Les photographies,
- Les annuaires d’entreprise,
- Etc.
Récupérées par des personnes malveillantes, ces données peuvent être utilisées pour des usages frauduleux, de la vente illicite d’informations jusqu’à l’usurpation d’identité. La nécessaire protection des données personnelles est encadrée par le RGPD.
La destruction des documents confidentiels est-elle obligatoire ?
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) pose le nouveau cadre réglementaire relatif à la collecte de données personnelles.
Le RGPD a pour principaux objectifs de :
- Renforcer les droits de chacun sur ses données personnelles ;
- Responsabiliser l’ensemble des acteurs impliqués dans un traitement de données à caractère personnel ;
- Harmoniser la législation et la réglementation au sein de l’Union Européenne.
Le RGPD est applicable à tous les établissements publics ou privés qui collectent, traitent et stockent des données à caractère personnel.
Quelles sont les obligations imposées par le RGPD vis-à-vis des documents papiers ?
Selon l’article 4.1 du RGPD, est qualifiée de donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
Le support sur lequel figure la donnée n’a pas d’importance, dans la mesure où le RGPD est applicable aussi bien aux traitements automatisés qu’aux traitements non automatisés, ce qui implique que les données figurant sur des documents papiers sont aussi concernées.
S’agissant de leur conservation et de leur destruction, il énonce notamment les principes ci-dessous.
La durée de conservation
Selon l’article 5 e) du RGPD, « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Ainsi, dès lors que les données collectées ne sont plus utiles, elles doivent être supprimées. Il convient donc de mettre en place une politique de durée de conservation et d’archivage.
Des données à caractère personnel pouvant très probablement figurer sur des documents papier, il convient de respecter les durées de conservation édictées (en tenant compte des obligations légales et des préconisations de la CNIL) et procéder à la destruction des données papier à l’issue de cette conservation.
L’obligation de sécurité
La sécurité des données à caractère personnel est au cœur de la réforme instaurée par le RGPD. En effet, le règlement européen dispose dans son article 32 que : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Par ailleurs, le RGPD impose des obligations à la charge des sous-traitants. Notamment, l’article 28 dispose que le sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Il est impératif de ne pas négliger la sécurité apportée aux données à caractère personnel figurant sur des documents papier, tant au sein des bureaux que lors de leur prise en charge par un prestataire.
L’obligation de transparence et de traçabilité
Le sous-traitant est soumis à une obligation générale de transparence à l’égard du responsable de traitement.
Ainsi, l’article 28 du RGPD impose notamment aux responsables de traitement recourant aux services d’un sous-traitant pour le traitement des données qu’ils collectent, de conclure avec eux un contrat (ou un autre acte juridique), devant impérativement prévoir certaines mentions prévues au sein du même article.
Ce contrat a notamment pour objectif de :
- Préciser les obligations de chaque partie ;
- Recenser par écrit les instructions du responsable de traitement (conformément à l’article 28 du RGPD selon lequel le sous-traitant ne peut agir que « sur instruction documentée du responsable de traitement »).
Lorsque vous confiez la destruction de vos déchets papiers à une entreprise, celle-ci agit comme sous-traitant. A ce titre, elle doit apporter au responsable de traitement, des garanties suffisantes afin de respecter les obligations issues du RGPD.
Quelles sanctions en cas de non-destruction de documents ?
Des sanctions prévues par le RGPD
L’entrée en vigueur du RGPD a eu pour effet d’augmenter le montant des sanctions susceptibles d’être infligées aux entreprises publiques et privées ne respectant pas la réglementation relative à la protection des données à caractère personnel : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Des sanctions prévues par le Code Pénal
Les sanctions pénales ne sont pas en reste. Prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal, elles peuvent aller jusqu’à 300 000 € d’amende et 5 ans de prison.
Comment RECYGO sécurise la destruction de vos documents
Recygo propose des solutions pour la destruction des documents, sous forme :
- D’opérations ponctuelles : idéales pour la destruction d’archives,
- De prestations récurrentes : pour détruire les papiers au quotidien.
La sécurité apportée par Recygo s’appuie sur 4 éléments clés.
Des contenants sécurisés pour protéger vos documents
La sécurité des papiers commence dans les locaux où ils sont jetés. Recygo a imaginé et conçu plusieurs contenants pour trier, entreposer et protéger vos papiers, par exemples :
- Le sac pilon : pour emballer les archives confidentielles,
- La kadnabox : une boite à sceller, qui recueille les papiers au quotidien et les protège jusqu’à leur broyage,
- Le koffre : un coffre en bois verrouillé pour un niveau de protection maximal.
Un système exclusif de traçabilité et des certificats de destruction 100% digitalisés
Les contenants de collecte des papiers à détruire comportent un identifiant unique. Cet identifiant est scanné par le facteur lors de la collecte, puis à l’arrivée sur le site de traitement, juste avant le broyage. Ce double scannage garantit une traçabilité de chaque contenant et permet l’édition d’un certificat de destruction individualisé.
Depuis votre espace client sécurisé, vous accédez en quelques clics à vos certificats de destruction : preuve indispensable en cas de contrôle ou de plainte.
Un réseau de broyeurs agréés
Les papiers à détruire sont acheminés par La Poste jusqu’à l’installation de broyage la plus proche, sur les sites de Nouvelle Attitude, filiale du Groupe La Poste. Tous les broyeurs sont agrémentés selon la norme DIN 66399, et adaptés au niveau de sécurité requis pour vos papiers. Sur le lieu de leur destruction, les documents sont déchiquetés dans une zone sécurisée, et par du personnel soumis à un accord de confidentialité.
Vous avez besoin de vous mettre en conformité avec le RGPD pour vos documents papier ? Recygo vous accompagne pour construire la solution adaptée à votre entreprise, quelle que soit sa taille. Contactez-nous !
Malgré la numérisation de l’économie et de la société, dans vos bureaux sont reçus, imprimés et jetés chaque jour des dizaines de documents contenant des informations confidentielles. Le risque principal pour une entreprise qui ne sécurise pas ses déchets papiers est évidemment la fuite d’informations.
Éviter les fuites de documents stratégiques
Les données figurant sur vos documents papiers non détruits peuvent être interceptées par des tiers à des fins d’espionnage économique ou de malversations. Il s’agit d’informations commerciales, financières ou industrielles, d’informations relatives à des contrats, des programmes de recherche et développement, données fiscales, secrets de fabrication, informations bancaires ou immobilières, etc.
Éviter les fuites de documents comportant des données personnelles
Sont qualifiées de données personnelles toutes les informations permettant d’identifier une personne : noms, adresse, coordonnées téléphoniques, email, signature, numéro de Sécurité sociale, numéro de compte bancaire, informations médicales, etc.
Les données personnelles se nichent parfois là où on ne les attend pas. On les retrouve notamment dans :
- Les CV de candidats postulant à un emploi,
- Les contrats de travail,
- Les impressions de courriels,
- Les fichiers clients,
- Les bulletins de paie,
- Les photographies,
- Les annuaires d’entreprise,
- Etc.
Récupérées par des personnes malveillantes, ces données peuvent être utilisées pour des usages frauduleux, de la vente illicite d’informations jusqu’à l’usurpation d’identité. La nécessaire protection des données personnelles est encadrée par le RGPD.
La destruction des documents confidentiels est-elle obligatoire ?
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) pose le nouveau cadre réglementaire relatif à la collecte de données personnelles.
Le RGPD a pour principaux objectifs de :
- Renforcer les droits de chacun sur ses données personnelles ;
- Responsabiliser l’ensemble des acteurs impliqués dans un traitement de données à caractère personnel ;
- Harmoniser la législation et la réglementation au sein de l’Union Européenne.
Le RGPD est applicable à tous les établissements publics ou privés qui collectent, traitent et stockent des données à caractère personnel.
Quelles sont les obligations imposées par le RGPD vis-à-vis des documents papiers ?
Selon l’article 4.1 du RGPD, est qualifiée de donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
Le support sur lequel figure la donnée n’a pas d’importance, dans la mesure où le RGPD est applicable aussi bien aux traitements automatisés qu’aux traitements non automatisés, ce qui implique que les données figurant sur des documents papiers sont aussi concernées.
S’agissant de leur conservation et de leur destruction, il énonce notamment les principes ci-dessous.
La durée de conservation
Selon l’article 5 e) du RGPD, « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Ainsi, dès lors que les données collectées ne sont plus utiles, elles doivent être supprimées. Il convient donc de mettre en place une politique de durée de conservation et d’archivage.
Des données à caractère personnel pouvant très probablement figurer sur des documents papier, il convient de respecter les durées de conservation édictées (en tenant compte des obligations légales et des préconisations de la CNIL) et procéder à la destruction des données papier à l’issue de cette conservation.
L’obligation de sécurité
La sécurité des données à caractère personnel est au cœur de la réforme instaurée par le RGPD. En effet, le règlement européen dispose dans son article 32 que : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Par ailleurs, le RGPD impose des obligations à la charge des sous-traitants. Notamment, l’article 28 dispose que le sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Il est impératif de ne pas négliger la sécurité apportée aux données à caractère personnel figurant sur des documents papier, tant au sein des bureaux que lors de leur prise en charge par un prestataire.
L’obligation de transparence et de traçabilité
Le sous-traitant est soumis à une obligation générale de transparence à l’égard du responsable de traitement.
Ainsi, l’article 28 du RGPD impose notamment aux responsables de traitement recourant aux services d’un sous-traitant pour le traitement des données qu’ils collectent, de conclure avec eux un contrat (ou un autre acte juridique), devant impérativement prévoir certaines mentions prévues au sein du même article.
Ce contrat a notamment pour objectif de :
- Préciser les obligations de chaque partie ;
- Recenser par écrit les instructions du responsable de traitement (conformément à l’article 28 du RGPD selon lequel le sous-traitant ne peut agir que « sur instruction documentée du responsable de traitement »).
Lorsque vous confiez la destruction de vos déchets papiers à une entreprise, celle-ci agit comme sous-traitant. A ce titre, elle doit apporter au responsable de traitement, des garanties suffisantes afin de respecter les obligations issues du RGPD.
Quelles sanctions en cas de non-destruction de documents ?
Des sanctions prévues par le RGPD
L’entrée en vigueur du RGPD a eu pour effet d’augmenter le montant des sanctions susceptibles d’être infligées aux entreprises publiques et privées ne respectant pas la réglementation relative à la protection des données à caractère personnel : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Des sanctions prévues par le Code Pénal
Les sanctions pénales ne sont pas en reste. Prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal, elles peuvent aller jusqu’à 300 000 € d’amende et 5 ans de prison.
Comment RECYGO sécurise la destruction de vos documents
Recygo propose des solutions pour la destruction des documents, sous forme :
- D’opérations ponctuelles : idéales pour la destruction d’archives,
- De prestations récurrentes : pour détruire les papiers au quotidien.
La sécurité apportée par Recygo s’appuie sur 4 éléments clés.
Des contenants sécurisés pour protéger vos documents
La sécurité des papiers commence dans les locaux où ils sont jetés. Recygo a imaginé et conçu plusieurs contenants pour trier, entreposer et protéger vos papiers, par exemples :
- Le sac pilon : pour emballer les archives confidentielles,
- La kadnabox : une boite à sceller, qui recueille les papiers au quotidien et les protège jusqu’à leur broyage,
- Le koffre : un coffre en bois verrouillé pour un niveau de protection maximal.
Un système exclusif de traçabilité et des certificats de destruction 100% digitalisés
Les contenants de collecte des papiers à détruire comportent un identifiant unique. Cet identifiant est scanné par le facteur lors de la collecte, puis à l’arrivée sur le site de traitement, juste avant le broyage. Ce double scannage garantit une traçabilité de chaque contenant et permet l’édition d’un certificat de destruction individualisé.
Depuis votre espace client sécurisé, vous accédez en quelques clics à vos certificats de destruction : preuve indispensable en cas de contrôle ou de plainte.
Un réseau de broyeurs agréés
Les papiers à détruire sont acheminés par La Poste jusqu’à l’installation de broyage la plus proche, sur les sites de Nouvelle Attitude, filiale du Groupe La Poste. Tous les broyeurs sont agrémentés selon la norme DIN 66399, et adaptés au niveau de sécurité requis pour vos papiers. Sur le lieu de leur destruction, les documents sont déchiquetés dans une zone sécurisée, et par du personnel soumis à un accord de confidentialité.
Vous avez besoin de vous mettre en conformité avec le RGPD pour vos documents papier ? Recygo vous accompagne pour construire la solution adaptée à votre entreprise, quelle que soit sa taille. Contactez-nous !
Malgré la numérisation de l’économie et de la société, dans vos bureaux sont reçus, imprimés et jetés chaque jour des dizaines de documents contenant des informations confidentielles. Le risque principal pour une entreprise qui ne sécurise pas ses déchets papiers est évidemment la fuite d’informations.
Éviter les fuites de documents stratégiques
Les données figurant sur vos documents papiers non détruits peuvent être interceptées par des tiers à des fins d’espionnage économique ou de malversations. Il s’agit d’informations commerciales, financières ou industrielles, d’informations relatives à des contrats, des programmes de recherche et développement, données fiscales, secrets de fabrication, informations bancaires ou immobilières, etc.
Éviter les fuites de documents comportant des données personnelles
Sont qualifiées de données personnelles toutes les informations permettant d’identifier une personne : noms, adresse, coordonnées téléphoniques, email, signature, numéro de Sécurité sociale, numéro de compte bancaire, informations médicales, etc.
Les données personnelles se nichent parfois là où on ne les attend pas. On les retrouve notamment dans :
- Les CV de candidats postulant à un emploi,
- Les contrats de travail,
- Les impressions de courriels,
- Les fichiers clients,
- Les bulletins de paie,
- Les photographies,
- Les annuaires d’entreprise,
- Etc.
Récupérées par des personnes malveillantes, ces données peuvent être utilisées pour des usages frauduleux, de la vente illicite d’informations jusqu’à l’usurpation d’identité. La nécessaire protection des données personnelles est encadrée par le RGPD.
La destruction des documents confidentiels est-elle obligatoire ?
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) pose le nouveau cadre réglementaire relatif à la collecte de données personnelles.
Le RGPD a pour principaux objectifs de :
- Renforcer les droits de chacun sur ses données personnelles ;
- Responsabiliser l’ensemble des acteurs impliqués dans un traitement de données à caractère personnel ;
- Harmoniser la législation et la réglementation au sein de l’Union Européenne.
Le RGPD est applicable à tous les établissements publics ou privés qui collectent, traitent et stockent des données à caractère personnel.
Quelles sont les obligations imposées par le RGPD vis-à-vis des documents papiers ?
Selon l’article 4.1 du RGPD, est qualifiée de donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
Le support sur lequel figure la donnée n’a pas d’importance, dans la mesure où le RGPD est applicable aussi bien aux traitements automatisés qu’aux traitements non automatisés, ce qui implique que les données figurant sur des documents papiers sont aussi concernées.
S’agissant de leur conservation et de leur destruction, il énonce notamment les principes ci-dessous.
La durée de conservation
Selon l’article 5 e) du RGPD, « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Ainsi, dès lors que les données collectées ne sont plus utiles, elles doivent être supprimées. Il convient donc de mettre en place une politique de durée de conservation et d’archivage.
Des données à caractère personnel pouvant très probablement figurer sur des documents papier, il convient de respecter les durées de conservation édictées (en tenant compte des obligations légales et des préconisations de la CNIL) et procéder à la destruction des données papier à l’issue de cette conservation.
L’obligation de sécurité
La sécurité des données à caractère personnel est au cœur de la réforme instaurée par le RGPD. En effet, le règlement européen dispose dans son article 32 que : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Par ailleurs, le RGPD impose des obligations à la charge des sous-traitants. Notamment, l’article 28 dispose que le sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Il est impératif de ne pas négliger la sécurité apportée aux données à caractère personnel figurant sur des documents papier, tant au sein des bureaux que lors de leur prise en charge par un prestataire.
L’obligation de transparence et de traçabilité
Le sous-traitant est soumis à une obligation générale de transparence à l’égard du responsable de traitement.
Ainsi, l’article 28 du RGPD impose notamment aux responsables de traitement recourant aux services d’un sous-traitant pour le traitement des données qu’ils collectent, de conclure avec eux un contrat (ou un autre acte juridique), devant impérativement prévoir certaines mentions prévues au sein du même article.
Ce contrat a notamment pour objectif de :
- Préciser les obligations de chaque partie ;
- Recenser par écrit les instructions du responsable de traitement (conformément à l’article 28 du RGPD selon lequel le sous-traitant ne peut agir que « sur instruction documentée du responsable de traitement »).
Lorsque vous confiez la destruction de vos déchets papiers à une entreprise, celle-ci agit comme sous-traitant. A ce titre, elle doit apporter au responsable de traitement, des garanties suffisantes afin de respecter les obligations issues du RGPD.
Quelles sanctions en cas de non-destruction de documents ?
Des sanctions prévues par le RGPD
L’entrée en vigueur du RGPD a eu pour effet d’augmenter le montant des sanctions susceptibles d’être infligées aux entreprises publiques et privées ne respectant pas la réglementation relative à la protection des données à caractère personnel : jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Des sanctions prévues par le Code Pénal
Les sanctions pénales ne sont pas en reste. Prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal, elles peuvent aller jusqu’à 300 000 € d’amende et 5 ans de prison.
Comment RECYGO sécurise la destruction de vos documents
Recygo propose des solutions pour la destruction des documents, sous forme :
- D’opérations ponctuelles : idéales pour la destruction d’archives,
- De prestations récurrentes : pour détruire les papiers au quotidien.
La sécurité apportée par Recygo s’appuie sur 4 éléments clés.
Des contenants sécurisés pour protéger vos documents
La sécurité des papiers commence dans les locaux où ils sont jetés. Recygo a imaginé et conçu plusieurs contenants pour trier, entreposer et protéger vos papiers, par exemples :
- Le sac pilon : pour emballer les archives confidentielles,
- La kadnabox : une boite à sceller, qui recueille les papiers au quotidien et les protège jusqu’à leur broyage,
- Le koffre : un coffre en bois verrouillé pour un niveau de protection maximal.
Un système exclusif de traçabilité et des certificats de destruction 100% digitalisés
Les contenants de collecte des papiers à détruire comportent un identifiant unique. Cet identifiant est scanné par le facteur lors de la collecte, puis à l’arrivée sur le site de traitement, juste avant le broyage. Ce double scannage garantit une traçabilité de chaque contenant et permet l’édition d’un certificat de destruction individualisé.
Depuis votre espace client sécurisé, vous accédez en quelques clics à vos certificats de destruction : preuve indispensable en cas de contrôle ou de plainte.
Un réseau de broyeurs agréés
Les papiers à détruire sont acheminés par La Poste jusqu’à l’installation de broyage la plus proche, sur les sites de Nouvelle Attitude, filiale du Groupe La Poste. Tous les broyeurs sont agrémentés selon la norme DIN 66399, et adaptés au niveau de sécurité requis pour vos papiers. Sur le lieu de leur destruction, les documents sont déchiquetés dans une zone sécurisée, et par du personnel soumis à un accord de confidentialité.
Vous avez besoin de vous mettre en conformité avec le RGPD pour vos documents papier ? Recygo vous accompagne pour construire la solution adaptée à votre entreprise, quelle que soit sa taille. Contactez-nous !
