Le RGPD chamboule la gestion des papiers de bureaux

Les entreprises en phase d’application

Le règlement général sur la protection des données (RGPD) est entré en application en Europe il y a un an. En France, il intègre peu à peu les entreprises et les administrations, sources principales de données à caractère personnel. L’informatique et surtout les papiers de bureaux font partie des supports visés. Au-delà de leur tri en vue d’un recyclage, il s’agit désormais d’identifier et sécuriser ces documents. Pas simple quand l’habitude est de tout mettre à la corbeille. Les opérateurs de collecte s’organisent et proposent des services adaptés. Mais l’impact sur le recyclage n’est pas neutre.

Dans une entreprise, les papiers de bureaux constituent encore 80 % des déchets. Alors que le décret cinq flux est en vigueur depuis presque trois ans, seulement 20 % de ce gisement est recyclé. Il y a un an, les contraintes sont montées d’un cran avec l’application du RGPD. Il ne s’agit plus seulement de détruire les papiers dits confidentiels et de trier pour recycler, mais bien de sécuriser les documents papiers à caractère personnel. Une donnée personnelle est une information relative à une personne physique identifiée directement ou indirectement (article 4 de la RGPD). Sont considérés comme documents renfermant des données personnelles, les CV, les contrats, l’impression de courriels, les fichiers clients, les bulletins de salaire, les photographies (trombinoscope), l’annuaire d’entreprise. Autrement dit, quasiment tous les documents émis au sein des entreprises et qui finissent encore en majorité dans une poubelle classique de tri. Selon le cabinet d’avocats Haas, spécialisé en droit de la propriété intellectuelle et des NTIC, huit papiers de bureaux sur dix recueillent désormais des données à risque. Comment est ce possible ?

Un document jusque-là anodin comporte un risque pour l’entreprise dès lors qu’il identifie une personne par son nom, sa photo, ses coordonnées. Si une entreprise laisse traîner un document comportant ce type d’informations ou bien si elle conserve des archives au-delà du temps autorisé (CV, bulletin de paie, listing commercial), elle peut être désormais condamnée à des peines financières lourdes. Or deux tiers des conteneurs de déchets d’entreprises possèdent au moins un document confidentiel selon une enquête nationale menée en 2017 par Shred-It France, société de destruction de documents et Createst, spécialiste des études de marché en ligne  : « les entreprises ne sont pas encore toutes conscientes et sensibles à cette information » souligne Gérard Haas*. 80 % des documents présents dans une poubelle d’entreprise sont à caractère confidentiel. Or 55 % des entreprises ne sensibilisent pas leurs salariés à la protection des données papiers.

Changer les habitudes

 

Après son passage chez Shred-It, Nour Habita a créé il y a un an, Nouvel Horizon Conseil, une société de conseil en RGPD. Elle accompagne aujourd’hui une quinzaine entreprises et d’administrations dans leur politique de sécurisation de données (audits, conseil en prestation de collecte…) en France et en Afrique du Nord. Nour Habita reconnaît une évolution des comportements : « il y a encore neuf ans, les entreprises se fichaient clairement du sort réservé à leurs documents dits sensibles. Aujourd’hui, c’est moins le cas, mais on trouve toujours des listings de clients dans les poubelles classiques de bureau ». La prise de conscience existerait davantage au sein des grandes entreprises qui ont souvent anticipé cette réglementation européenne et qui ont les moyens de la mettre en œuvre. Pour autant, les habitudes ont la vie dure, ajoute Nour Habita. De nombreuses entreprises, surtout les TPE et PME, pensent qu’elles ne sont pas concernées car les règles sont un peu plus souples pour les structures de moins de 250 salariés et que par ailleurs, le RGPD s’adresse principalement aux données informatiques. « Notre mission est de rappeler les règles et de mettre en pratique les gestes les plus simples et rapides à faire : éviter les doublons entre le papier et l’informatique et procéder aux désarchivages, dès que les durées de conservation autorisées sont dépassées ». Car là encore, les mentalités sont difficiles à changer. Au sein des services administratifs c’est encore pire, faute de subventions publiques pour basculer vers un autre système.

Boîtes en carton vs conteneurs métalliques

Si les entreprises commencent à faire des efforts de tri et de sécurisation, il arrive encore que des papiers de bureau contenant des données personnelles, se retrouvent dans des déchèteries, sans précaution particulière. Pourtant, les moyens matériels existent et les offres de produits de collecte sécurisée se multiplient sur le marché. Boîtes en carton scellées avec fente en plusieurs formats, bornes métalliques cadenassées ou encore broyeurs d’entreprise, le matériel ne manque pas pour prévenir les risques de divulgation. Jusqu’à présent, les seuls documents à caractère confidentiel pouvaient être broyés en interne ou bien détruits par un prestataire externe habilité. Chez Cèdre, une entreprise du secteur adapté, basée en région parisienne et spécialisée dans la collecte et la gestion des déchets de bureau, le RGPD a été anticipé : « nous avons tout d’abord formé nos collaborateurs pour sécuriser ces flux, mis à jour nos référentiels et digitalisé l’intégralité de la collecte en éliminant les bordereaux papiers pour les chauffeurs collecteurs et en équipant les camions de dispositifs de géolocalisation » explique Jérôme Boillot, président de Cèdre.

La traçabilité fait désormais partie des procédures incontournables avant et après la collecte. Cèdre propose aujourd’hui à ses clients franciliens des conteneurs en aluminium ou en acier munis de serrures. Il répond également à des demandes en broyeurs manuels pour un usage interne en entreprise. Tout sauf une bonne idée selon Nouvel Horizon Conseil : « non seulement, cela crée des nuisances sonores et occupe un temps non négligeable pour la personne en charge, mais ne garantit aucune traçabilité certifiée puisque l’opération est réalisée sur site en l’absence de tiers » souligne Nour Habita.

Un livre blanc pour septembre 2019

 

Fruit d’un partenariat entre le groupe La Poste et Suez il y a un an, Recygo collecte les déchets de bureaux dans toute la France. Pour accompagner ses clients dans leur mise en conformité avec le RGPD, Recygo a confié au cabinet Haas Avocats, la rédaction d’un livre blanc qui sera publié en ligne en septembre prochain. Ce document destiné aux entreprises clientes, fera le point sur la réglementation et les mesures organisationnelles qui s’imposent. A ce jour, Recygo propose déjà plusieurs équipements de collecte et de désarchivage (boîtes cartonnées Exigo et Kadnabox, conteneurs métalliques), misant sur la sécurité et la confidentialité mais prépare également une extension de son offre pour l’automne. Après collecte, la destruction des boîtes est garantie par un certificat téléchargeable en ligne à tout moment sur un portail digital sécurisé. « Ces solutions présentent un haut niveau de sécurité tout en restant accessibles à tous les bureaux, quelle que soit leur taille et partout en France métropolitaine, insiste Corinne Sieminski, présidente de Recygo. Un cabinet médical, une étude notariale, ou toute autre entreprise, peut commander directement en ligne, une opération de destruction d’archives sécurisée. Notre activité a permis, depuis un an, d’apporter des solutions à près de 3 000 nouveaux clients ». Pour la direction de Recygo, sécurisation des données et recyclage vont de pair. D’ailleurs, les entreprises sensibles à la sécurité de leurs données, exigent de plus en plus le recyclage de leurs papiers. Corinne Sieminski reconnaît que la tendance actuelle vient surtout des grandes entreprises plus engagées dans une stratégie RSE.

L’offre Confidence proposée par Recygo

Depuis un an, Recygo constate également plus de demandes de conseils ou de désarchivages sécurisés sans pour autant enregistrer une augmentation significative des flux confidentiels sur les sites de traitement. « Notre politique porte sur le broyage et le recyclage systématique des flux, insiste Corine Sieminski. Nos deux principaux partenaires, Nouvelle Attitude et Suez ont investi depuis longtemps dans des outils industriels capables de détruire les papiers en conformité avec la norme DIN 66 399 et traiter en zone sécurisée s’il s’agit de documents sensibles (listing de prix, fichiers clients, bilans comptables, etc.) ». Chez Confidentialys (groupe Paprec), on n’a pas attendu le RGPD pour gérer les documents confidentiels et développer un dispositif complet et normé pour broyer les papiers de bureaux sensibles. Opérationnelle depuis 1995, l’entreprise est spécialisée dans la destruction sécurisée, et peut traiter 14 tonnes de matières à l’heure. « Nous proposons habituellement aux entreprises, un type de conteneur métallique fermé à clef. Ni le client, ni le chauffeur du fourgon de collecte ne peuvent l’ouvrir. C’est une sécurité supplémentaire pour tout le monde. Avec l’arrivée du RGPD, nous ne changerons pas nos habitudes. Ce qui marche pour les papiers dits sensibles, fonctionnera aussi avec les papiers à donnée personnelle », souligne Yves Lorieux, directeur national de La Corbeille Bleue et Confidentialys. Pour répondre à une demande croissante, Paprec envisage de déployer à court terme de nouvelles capacités de traitement en France. Selon Nour Habita, le volume des papiers à sécuriser pourrait encore augmenter pendant quatre à cinq ans, même si à terme, la baisse de la consommation de papier est inexorable.

Qualité 2.06 dominante

 

Cèdre a équipé ses trois sites franciliens avec des broyeurs dont un de taille industrielle où sont déchiquetés les documents. Sur l’un des sites, une zone confidentielle a été mise en place cette année, afin d’opérer du pré-tri sur certains mélanges, et des systèmes d’aspiration ont été aménagés l’an dernier, pour être conforme aux normes Atex. Soit un investissement total de 100 000 euros. Pour Jérôme Boillot, la réduction de la consommation de papier va se poursuivre dans le temps, mais les prestations de collecte confidentielle pourront compenser cette baisse financière. En attendant, Cèdre a enregistré une hausse de ses flux de l’ordre de 15 % depuis l’an dernier.

Opérant également en Ile-de-France, l’entreprise adaptée Le Petit Plus a choisi d’aménager une partie de ses locaux en zone de destruction confidentielle, pour un investissement global de 200 000 euros. Ses clients ? Des PME mais aussi de très grands comptes. « Nous avons un peu plus de volumes à détruire car nous travaillons beaucoup pour les assurances et les banques, qui suivent le règlement de protection des données à la lettre. En revanche, les TPE et PME sont toujours en retard, y compris pour la gestion des déchets cinq flux », souligne Mathieu Boullenger, président du Petit Plus. Concernant le recyclage, même constat que Cèdre : le papier après broyage ne peut plus être trié ; il est donc déclassé en écrits couleurs (sorte 2.06), intégrant de fait jusqu’à 5 % d’indésirables (plastiques, adhésifs, colle). Cette hausse des écrits couleurs se fait ainsi au détriment du papier blanc graphique 3.05. Comme il s’agit de documents confidentiels à broyer, hors de question le plus souvent de les trier ; tout part au broyage. Cette pratique pourrait même se généraliser à terme à tous les papiers de bureaux, affirme Yves Lorieux, et ce n’est pas plus mal, affirme-t-il : « aujourd’hui, une entreprise a le choix de générer deux types de flux, l’un pour ses documents confidentiels, l’autre pour le tout venant. Avec le RGPD, on peut considérer que la quasi totalité des documents de bureaux renferment des données confidentielles. Pour optimiser la collecte et rendre le geste de tri du salarié plus simple, l’entreprise pourrait tout à fait choisir une prestation unique de collecte confidentielle. Le surcoût induit ne serait pas significatif dans la durée, compte tenu du gain en sécurité et du geste de tri renforcé ». De leur côté, les papetiers ne rechignent pas à prendre cette matière, qu’ils rachètent de fait moins cher, et peuvent transformer en matière de haute qualité, grâce à la performance de leurs installations.

Si les professionnels du recyclage enregistrent depuis quelques temps une hausse des collectes de papiers de bureaux, malgré un gisement en baisse, difficile toutefois de le lier directement au RGPD ou à l’application du décret cinq flux, avoue Pascal Genneviève, président de Federec Papier : « une légère hausse des demandes de destruction confidentielle a également été observée mais le lien de causalité avec le RGPD n’est pas non plus évident à démontrer. On peut toutefois se réjouir de ce règlement. Il va sans doute booster l’activité pendant quelques années tant sur le volume que sur les tarifs de prestation, pour compenser la baisse constante du gisement de papiers graphiques à collecter » pointe Pascal Genneviève.

* Gérard Haas, avocat, spécialiste en propriété intellectuelle, auteur de nombreux ouvrages dont le livre « Le RGPD expliqué à mon boss ».

Crédit : CM, Cèdre, Recygo

A lire aussi :

Le Petit Plus, un collecteur pas comme les autres

Tout savoir ou presque sur le RGPD

« L’Echo circulaire a cessé sa parution mais l’actualité de l’économie circulaire continue d’être suivie par "Déchets Infos". »

Partagez cet article