La protection des données personnelles et l’utilisation des fiches papiers
Contrairement à ce que les gens tendance à croire, le règlement européen sur protection des données personnelles ne régit pas seulement que la donnée numérique.
Il concerne aussi l’ensemble des données contenues sur support papier. Ils doivent aussi être protégé cela va de soi. C’est qui soumet généralement les distributeurs d’assurance au respect des règlements de la RGPD.
Cet article va aussi vous intéresser : RGPD, rançongiciels : les inquiétudes du Clusif sur les collectivités
« L’essor des nouvelles technologies bouleverse notre société : la manière de travailler est modifiée (délais réduits, partage d’informations instantané…), les rapports humains évoluent (exigence de disponibilité accrue…) et le traitement de données personnelles se développe de façon exponentielle au point que lesdites données sont devenues le premier actif de la plupart des acteurs économiques. Courtiers, agents généraux et même compagnies n’échappent pas à ces règles et recherchent toujours de nouveaux moyens de faire évoluer la gestion des contrats, les relations avec les clients via des outils digitaux.
C’est dans ce contexte numérique et dématérialisé que le règlement européen sur la protection des données personnelles (RGPD) encadre les flux de données pour protéger les personnes physiques. Cependant, la digitalisation n’est pas une règle universelle et les données personnelles sont encore traitées par de nombreux distributeurs sans outil numérique. L’application du règlement européen à ces traitements de fichiers papier reste ainsi une source d’interrogation pour ces acteurs « traditionnels » signifie Pierre Craponne, avocat du conseil au sein du cabinet Choisez & Associés – et DPO certifié.
Pourtant, ce problème elle était tranchée par le règlement général sur la protection des données. En effet il faut signifier que la norme européenne, dans sa formulation ne fait aucune distinction entre le format papier ou le format numérique. Une donnée personnelle reste une donnée personnelle peu importe son support. Pourtant lorsqu’on aborde la question de fichier papier, on perçoit un véritable enjeu pour ce qui concerne les obligations les acteurs au niveau du traitement des données. À ce propos, rappelons la disposition de l’article 2 du règlement général de la protection des données qui signifie qu’il « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». En clair, on retient que les données doivent être traitées quelle que soit la procédure. Elles doivent être contenues dans un fichier pas de format. Pour ce qui est de la notion du « traitement”, au sens du règlement européen. L’article 4 de la norme européenne le définit comme définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation […] ». La même disposition définie le fichier comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés ».
On revient alors, au vu du règlement européen, que la question de données ne se limite pas seulement numérique. Le document papier n’est pas exclu donc doit être soumis au même régime que le document informatique. « Rien ne permet donc d’exclure les fichiers manuscrits ou les documents papier du champ d’application du RGPD dès lors qu’ils contiennent des données à caractère personnel, quand bien même elles seraient uniquement collectées et stockées. Or Ubi lex non distinguit, nec nos distinguere debemus (Là où la loi ne distingue pas, il n’y a pas lieu de distinguer) » précise Pierre Craponne
Pour ce qui est de l’obligation qui pèse sur les entreprises qui traite ses données, il est important de savoir que la sévérité de la loi ne va pas fluctuer. L’objectif du règlement général la protection des données et de permettre aux individus de pouvoir maîtriser leurs données personnelles. De savoir comment elles sont traitées et dans quelles conditions, de sorte à pas leur porter atteinte.
Dans la pratique, on verra que la sanction de la négligence de la part des personnes qui possèdent au traitement automatisé des données, généralement moindre que si c’était le cas des données numériques.
« La problématique est la même en ce qui concerne les risques d’atteinte aux données. Hormis l’hypothèse d’une effraction ou d’un dommage classique (incendie ou dégât des eaux), les risques de perte, vol, altération ou destruction des données compilées sur des fichiers papier sont limités. Si ces risques ne doivent jamais être écartés dans la gestion de l’entreprise, il n’en demeure pas moins que la conformité au RGPD d’entités ne traitant pas ou peu de données numériques, bien qu’obligatoire, reste moins contraignante dans sa mise en œuvre. Entre principe d’application et risques réels, le droit de la protection des données reste affaire de subtilité. » conclut Pierre Craponne.
Accédez maintenant à un nombre illimité de mot de passe :