DPO Martigues

contact@lefilrgpd.fr

Le RGPD et documents papier : obligations, risques et sanctions

Temps de lecture : 6 minutes

Sommaire de l'article

Temps de lecture : 6 minutes

Le Règlement général sur la protection des données (RGPD) est encore souvent perçu comme un texte réservé au numérique. Cette lecture est non seulement fausse, mais potentiellement dangereuse pour les organisations.

À l’ère du digital, beaucoup pensent à tort que les documents papiers échappent aux obligations européennes en matière de protection des données personnelles.

Or, le RGPD ne distingue pas les supports qu’ils soient physiques ou électroniques : dès lors que des données permettent d’identifier une personne, quel que soit le format, elles sont soumises au RGPD, qu’importe qu’elle soit stockée sur un serveur ou dans une armoire. Les archives papier mal gérées exposent ainsi les entreprises à des sanctions financières, à des atteintes à leur réputation et à une perte durable de confiance.

Cet article a pour but d’apporter un éclairage complet et accessible sur l’application du RGPD aux documents papier, en détaillant les obligations, les risques, les bonnes pratiques, et en répondant aux questions les plus fréquentes rencontrées par les professionnels, DPO et entreprises.

Le champ d’application du RGPD : pourquoi le papier est concerné

La notion de « système de fichiers » (Articles 2 et 4 du RGPD)

L’article 2 du RGPD dispose que « Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Cet article est crucial pour comprendre l’étendue du champ d’application du RGPD aux archives papier qui souvent négligées dans les politiques de conformité. La mauvaise gestion de ces archives expose à des sanctions financières, à des atteintes à la réputation et à une perte de confiance des clients ou collaborateurs.

Pour saisir pourquoi le RGPD concerne les documents papier, il faut comprendre la notion de système de fichiers. Selon l’article 4 du RGPD, un fichier est défini comme étant  :  « tout ensemble structuré de données à caractère personnel, accessible selon des critères déterminés », par exemple : nom, date, numéro, service. Cela inclut les fichiers physiques organisés — dossiers clients, classeurs RH, registres — même s’ils ne sont pas informatisés.

Concrètement, un tas de feuilles en vrac ne constitue pas un système de fichiers si aucune organisation ne permet de retrouver une information selon des critères précis. En revanche, un classeur de dossiers patients classés par ordre alphabétique, des CVs papiers rangés ou un registre de visiteurs trié par date tombent pleinement sous le coup du RGPD.

Voici quelques de documents papier soumis au RGPD (la liste est non-exhaustive), sont notamment concernés :

  • Dossiers de ressources humaines (contrats, évaluations, absences)
  • Registres de visiteurs à l’accueil ou cahiers de présence
  • Formulaires de santé papier (fiches médicales, questionnaires)
  • Bons de commande, factures contenant des données personnelles
  • CV et lettres de motivation reçus sur papier
  • Notes manuscrites organisées pour le suivi de dossiers

Dès lors qu’un document papier est organisé et exploitable selon un critère, il entre dans le champ du RGPD.

Les obligations liées à la gestion des archives physiques

La sécurité des données papier (Article 32 du RGPD)

La sécurité des données ne se limite pas aux systèmes informatiques. Le RGPD impose la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données, y compris sur support papier.

Quelques exemples de bonnes pratiques :

  • Armoires ou salles fermées à clé : seules les personnes autorisées peuvent accéder aux archives sensibles.
  • Contrôle des accès : registre d’accès aux locaux d’archives, badges d’entrée, alarme et vidéosurveillance si nécessaire.
  • Broyage ou destruction sécurisée : au lieu de jeter des documents à la poubelle, utiliser une déchiqueteuse professionnelle ou un service de destruction certifié.
  • Formation des employés : sensibilisation à la confidentialité, rappel des risques de laisser des dossiers traîner sur un bureau ou dans une voiture.
  • Traçabilité : conserver une trace des mouvements d’archives (emprunt, retour, destruction).

Les incidents les plus fréquents liés aux données papier sont la perte ou le vol de dossiers (ex : un dossier oublié dans un taxi, une fiche de paie égarée dans un open space). Ces situations constituent des violations de données (data breach) devant être notifiées à la CNIL et peuvent entraîner des sanctions.

Intégrer le papier dans le registre des traitements

Le RGPD impose à toute organisation de tenir un registre des traitements, qui doit recenser également les flux de données papier. L’inventaire doit être mis à jour régulièrement et intégré dans la politique globale de conformité RGPD de l’entreprise.

Un article a été consacré sur le registre de traitement.

Les droits des personnes face aux documents papier

Droit d’accès et de rectification

Les personnes concernées disposent des mêmes droits quel que soit le support. Un salarié ou un client peut demander à consulter les informations le concernant, ou à en obtenir la rectification.

Pour répondre à une demande d’accès ou de rectification :

  1. Identifier rapidement l’emplacement des dossiers papier concernés, grâce à un système de classement efficace.
  2. Prévoir un espace confidentiel pour la consultation, sans risque d’exposition à des tiers.
  3. Documenter la procédure et conserver la preuve que la demande a été traitée dans les délais légaux (en général, un mois).
  4. Si une rectification est demandée, corriger le document et conserver la trace de la modification.

Le droit à l’effacement : une destruction irréversible

Le droit à l’effacement s’applique également aux archives papier. Il ne suffit pas de jeter un document à la poubelle classique : cela constitue une violation de données si le document contient des informations personnelles, car il pourrait être récupéré par une personne non autorisée.

La destruction doit être irréversible : le broyage ou la destruction sécurisée sont obligatoires pour garantir le respect de ce droit, notamment les CV, fiches de paie, dossiers médicaux, etc.

La durée de conservation : un enjeu clé

Déterminer le cycle de vie d’un document papier

Le RGPD impose le principe de limitation de la conservation : une donnée ne doit être conservée que le temps nécessaire à la finalité poursuivie.

Les archives dites « obsolètes » (inutilisées, dépassées) doivent être régulièrement triées et détruites de façon sécurisée pour éviter tout risque de fuite ou d’accès non autorisé.

La purge régulière : comment organiser le désarchivage ?

Pour organiser la destruction régulière des documents papier :

  1. Établir un calendrier de conservation pour chaque type de document
  2. Programmer des campagnes de tri et de destruction sécurisée (annuelles, semestrielles…)
  3. Faire appel à un prestataire certifié si besoin (voir section suivante)
  4. Documenter chaque opération de destruction (date, volume, méthode, personne responsable)

Sous-traitance et transport des archives : vigilance renforcée

Choisir un prestataire conforme (Article 28 du RGPD)

Si la destruction des documents est confiée à un tiers, ce dernier doit présenter toutes les garanties de conformité au RGPD. Le contrat de sous-traitance doit préciser :

  • Les mesures de sécurité mises en œuvre (transport sécurisé, personnel habilité, processus de broyage…)
  • La délivrance d’un certificat de destruction pour chaque opération
  • L’engagement à ne conserver aucune copie ou trace des documents traités

Vérifiez les références du prestataire et exigez une traçabilité complète du processus.

Le transfert de données papier hors de l’entreprise

Le transport d’archives physiques (vers un site de stockage, un centre de destruction, un cabinet d’expertise) comporte des risques : perte, vol, accès non autorisé. Il est essentiel de :

  • Conditionner les documents dans des contenants sécurisés et scellés
  • Limiter le nombre d’intermédiaires lors du transport
  • Faire signer des clauses de confidentialité à tous les intervenants

En cas de perte ou de vol, l’incident doit être documenté et, le cas échéant, notifié à la CNIL sous 72 heures.

FAQ : Vos questions sur le RGPD et le papier

Un post-it avec un nom et un numéro est-il soumis au RGPD ?

Oui, si ce post-it est utilisé dans un contexte professionnel et fait partie d’un système d’organisation (ex : collé sur un dossier client ou sur un tableau de suivi), il entre dans le champ du RGPD. S’il s’agit d’un usage strictement personnel et temporaire, l’application du RGPD est moins évidente, mais la prudence reste de mise.

Un carnet de notes personnel est-il concerné par le règlement ?

Si le carnet est utilisé uniquement à des fins personnelles, sans lien avec une activité professionnelle ou associative, il n’est pas concerné. En revanche, dès qu’il sert à organiser des informations dans le cadre d’une activité professionnelle, il devient un système de fichiers au sens du RGPD.

Quelles sanctions pour un dossier papier égaré ?

La perte d’un dossier papier contenant des données personnelles constitue une violation de données. L’organisation doit évaluer les risques pour les personnes concernées, notifier l’incident à la CNIL si nécessaire, et prendre des mesures correctives. Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial, sans compter l’impact sur la réputation.

Comment prouver la conformité pour les archives papier ?

En tenant un registre des traitements à jour, en documentant les procédures de tri, de destruction, de gestion des accès, et en conservant les certificats de destruction fournis par les prestataires.

Peut-on conserver indéfiniment des archives papier ?

Non, le RGPD impose de détruire ou d’anonymiser les données une fois la durée de conservation atteinte. La conservation sans justification expose à des sanctions.

Conclusion

La conformité au RGPD est indépendante du support. Les documents papier, souvent moins surveillés que les fichiers informatiques, représentent pourtant un risque majeur en cas de mauvaise gestion. Les DPO et les responsables doivent intégrer les archives physiques dans leur politique de protection des données, former le personnel, et mettre en œuvre des procédures rigoureuses de sécurité, de tri et de destruction.

Pour garantir une conformité globale, il est recommandé de réaliser un audit complet des zones de stockage physique : identifiez les points faibles, mettez à jour vos registres, et adoptez une démarche proactive pour limiter les risques et renforcer la confiance de vos partenaires et collaborateurs.

Vos archives papier sont-elles réellement conformes au RGPD ? Faites le point avec un audit ciblé de vos pratiques et identifiez vos zones de risque avant qu’un incident ne survienne.

Transformez - le RGPD en avantage concurrentiel
La conformité RGPD n'est pas qu'une obligation légale : c'est un gage de sérieux et de confiance pour vos clients.
Contactez moi et construisons votre conformité ensemble

DERNIERS ARTICLES