+33 (0)1 58 56 60 60
·
secretariatchoisezavocats@cabinetchoisez.com
·
20
Juil

Fichiers manuscrits et RGPD : les véritables enjeux et risques

no comments

Lundi 20 juillet 2020

  • Pierre CRAPONNE

Article de Maître Pierre CRAPONNE, Avocat of Counsel et DPO, et Emmanuelle BENSOUSSAN-AMSILY, juriste NTIC, publié sur LinkedIn

A l’encontre d’une logique intuitive mal conseillée, les fichiers manuscrits relèvent bien du périmètre du RGPD.

Toutefois, leur nature propre et leur support matériel papier n’entraînent qu’une application limitée des obligations contraignantes de cette réglementation réduisant d’autant les risques afférents.

L’essor des nouvelles technologies bouleverse notre société à tous les niveaux : la manière de travailler est modifiée (délais sans cesse réduits, partage d’informations instantané …), les rapports humains évoluent (exigence de disponibilité accrue …) et le traitement de données personnelles se développe de façon exponentielle au point que lesdites données deviennent le premier actif de la plupart des acteurs économiques.

C’est dans ce contexte numérique et dématérialisé que le RGPD intervient avec pour objectif de réglementer et encadrer ces flux de données aux fins de protection des personnes physiques.

Cependant, la digitalisation n’est pas une règle universelle et les données personnelles sont encore traitées par de nombreux acteurs de manière non automatisée et/ou sur des formats non numériques.

L’application du RGPD à ces traitements de fichiers manuscrits ou sur des supports papiers reste ainsi une source d’interrogation pour certains. Cette question est pourtant tranchée par la délimitation paradoxalement large du champ d’application du RGPD ne distinguant pas le format des fichiers ni le support de ceux-ci.

En revanche, s’agissant de ces fichiers papiers et/ou manuscrits, le véritable enjeu ne se pose pas en termes d’application du RGPD mais plutôt en termes d’obligations pesant réellement sur ces responsables de traitement et de risques liés à ces traitements non digitaux.

Un champ d’application matériel paradoxalement large

Aux termes de l’article 2 du RGPD, celui-ci « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Deux limites apparaissent donc : les données doivent faire l’objet d’un traitement quel qu’il soit et doivent figurer dans un fichier.

Intéressons-nous donc aux définitions de ces notions.

L’article 4 du RGPD définit comme traitement « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Ce même article qualifie de fichier « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

A la lecture de ces définitions, rien ne permet donc d’exclure les fichiers manuscrits ou les documents papier du champ d’application du RGPD dès lors qu’ils contiennent des données à caractère personnelle quand bien même elles seraient uniquement collectées et stockées.

Rappelons l’adage connu des juristes : « Ubi lex non distinguit, nec nos distinguere debemus » (« Là où la loi ne distingue pas, il n’y a pas lieu de distinguer. »).

Ainsi quand bien même la tendance naturelle du contexte actuel serait de considérer que le RGPD ne s’appliquerait qu’aux données numériques, tel n’est pas le cas.

Le RGPD s’applique bien à tous les fichiers, peu importe leur format ou leur support, numérique ou non, issus d’un traitement automatisé ou non.

Tout professionnel traitant des données à caractère personnel, même exclusivement sur des documents papier, est donc tenu d’être en conformité avec le RGPD et les textes en découlant.

La vraie question se posant alors est celle de l’étendue des obligations leur incombant et des risques pesant sur eux.

Des obligations limitées

L’objectif non dissimulé du RGPD est de rendre aux personnes physiques la maîtrise de leurs données personnelles et ainsi d’en limiter la libre diffusion dans un espace économique sans frontières.

Cette réglementation vise donc bien en premier lieu les données numériques qui se transmettent aisément et massivement. Toutefois, cela n’enlève rien à la nécessité d’encadrer également le traitement des données sur fichiers papiers et/ou manuscrits, la seule différence tenant à un nombre moins important d’obligations à la charge des responsables de traitements.

Premier exemple évident concernant l’obligation de tenue des registres des activités de traitement (article 30 du RGPD).

Parmi les mentions à faire figurer sur ces registres, figure notamment les mesures de sécurité prises pour assurer l’intégrité des données.

Bien évidemment, un responsable de traitement en disposant que de fichiers papier et/ou manuscrits n’aura que peu de contraintes sur ce point, la sécurité se limitant à des mesures physiques et logiques (verrouillage des zones de stockage, limitation d’accès, mise sous coffre pour les documents les plus sensibles …).

L’aspect technique de sécurité informatique n’entre pas dans l’équation.

Ce constat est d’ailleurs l’occasion de rappeler que la sécurité physique et logique est bien souvent oubliée dans le cadre des travaux de mise en conformité au RGPD (les responsables se focalisant davantage sur la sécurité informatique).

Pourtant, le vol de données par effraction dans les locaux reste un moyen aussi efficace qu’une intrusion informatique dans un système d’information.

Second exemple notoire : l’obligation de procéder à des analyses d’impact sur la vie privée ou AIVP (article 35 du RGPD).

Celle-ci est en effet obligatoire lorsque le traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Les lignes directrices du G29 retiennent qu’une analyse d’impact doit être menée si deux des neuf critères suivants sont réunis :

  1. Évaluation ou notation;
  2. Décision automatisée avec effet juridique ou effet similaire significatif;
  3. Surveillance systématique ;
  4. Données sensibles ou données à caractère hautement personnel ;
  5. Données personnelles traitées à grande échelle ;
  6. Croisement d’ensembles de données ;
  7. Données concernant des personnes vulnérables ;
  8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  9. Exclusion du bénéfice d’un droit, d’un service ou contrat.

Sur ces 9 critères, 5 (2, 3, 5, 6, 8) ne peuvent concerner que des données traitées sous format numérique et les 4 autres sont bien souvent associés également à des traitements informatiques.

Aussi, un traitement de fichiers manuscrits a peu de chance d’être soumis à une AIVP.

Des risques réduits

Au-delà des obligations manifestement limitées lorsque le traitement n’est pas informatisé, il apparaît que les risques pesant sur les responsables de tels traitements sont également mineurs en règle générale.

Il suffit en effet d’examiner les tendances de la CNIL dans ses mises en demeure et décisions de sanction pour constater que les sanctions les plus lourdes sont prononcées à l’encontre d’entreprises traitant de données en très grande quantité.

C’est en effet le constat qui ressort des quatre sanctions rendues au visa du RGPD en 2019 : GOOGLE LLC (50 000 000 euros), SERGIC (400 000 euros), ACTIVE ASSURANCES (180 000 euros) et FUTURA INTERNATIONALE (500 000 euros).

Or, un traitement massif de données suppose pratiquement que le traitement soit informatique voire automatisé.

La problématique est la même en ce qui concerne les risques d’atteinte aux données (impliquant des notifications aux autorités de contrôle voire aux personnes concernées).

En effet, hormis l’hypothèse d’une effraction classique ou d’un dommage « classique » type incendie ou dégât des eaux, les risques de perte, vol, altération ou destruction des données compilées sur des fichiers papier sont limités.

Si ces risques ne doivent pas être écartés dans la gestion de l’entreprise, il n’en demeure pas moins que la conformité au RGPD d’entités ne traitant pas ou peu de données numériques, bien qu’obligatoire, reste limitée dans sa mise en œuvre.

Entre principe d’application et risques réels, le droit de la protection des données reste affaire de subtilité.