Pourquoi le RGPD est l'opportunité de mettre en place une vraie gouvernance de l'information

  • Iron_Mountain.jpg

    Iron_mountain
    In fine, près d’un an après son entrée en vigueur, le RGPD n’est pas encore pleinement intégré ni compris. Mais il a certaines conséquences positives.
  • Les organisations sont encore nombreuses à exposer (laisser en accès libre en interne) leurs données sensibles (informations personnelles, données de santé, bancaires, identités, etc.). Et ce, alors que le RGPD fait foi depuis mai 2018, que les cyber-menaces sont en constante augmentation et que la Cnil a annoncé que le temps de la tolérance touchait à sa fin et qu’elle allait désormais se montrer beaucoup plus stricte vis-à-vis des organisations qui tardent à se mettre en conformité.

    Dans une récente étude, Varonis rappelle justement qu’en moyenne, 22% des fichiers d'une organisation sont accessibles à l’ensemble des collaborateurs, et que dans plus de la moitié des entreprises, ce sont au moins 1 000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les collaborateurs.

    Contrôle et destruction obligatoires

    L’absence de contrôle et de purge exposent clairement ces fichiers sensibles. Toujours selon cette même étude, 87 % des organisations auraient même plus de 1 000 dossiers contenant des données sensibles dont elles n’ont plus l’utilité et 40 % compteraient plus de 1 000 utilisateurs autorisés à accéder au réseau, mais inactifs. Les habitudes en matière de protection des informations sensibles doivent donc changer. Et pour cela une prise de conscience est nécessaire. Á moins qu’il ne faille un contrôle et une amende pour qu’enfin certaines organisations ne s’emparent du problème.

    Des plaintes en hausse

    Depuis mai 2018, les organisations sont pourtant sensibilisées à la protection des données à caractère personnel. D’ailleurs, la Cnil dans son rapport annuel indique que les plaintes qu’on lui a adressées ont considérablement augmenté (11 077 au total, +32% par rapport à 2017), tout comme les demandes d’information. Ces plaintes portent principalement sur la diffusion des données sur Internet et concernent le secteur marketing/commerce notamment la prospection par SMS et la publicité par e-mail. Non seulement les professionnels ont pris conscience de leurs obligations, mais surtout les particuliers ont exercé leurs droits.

    Triple effet

    Le RGPD est entré en vigueur l’an dernier, à un moment où l’on assistait de manière concomitante à la montée en puissance de l'automatisation au sein des organisations (robotisation, processus dématérialisée et en temps réel, etc.), à la croissance du volume des données (liée à l’essor de la mobilité et de l'accès instantané à l'information) et à l’importance prise par la confidentialité de ces mêmes données (cybercriminalité oblige). Ce nouvel environnement impose une adaptation de la gestion de l'information.

    Changement de paradigme

    D’autant que les méthodes de travail aussi évoluent. Aujourd’hui, les organisations se recentrent sur leur cœur de métier. Elles ont de moins en moins de scrupules à externaliser toutes les opérations qui ne sont pas stratégiques et à automatiser certains processus métiers pour gagner en agilité et faciliter les prises de décision. Mais pour cela, il convient de définir et d’appliquer une politique de gouvernance globale. D’où l’importance de cartographier et de maîtriser les informations qui circulent dans l'organisation et de tout mettre en œuvre pour les protéger, limiter leur exposition et éviter les failles de sécurité.

    Le RGPD : une opportunité pour mieux gérer le cycle de vie des documents

    Le RGPD peut donc être vu comme une opportunité. L’idée étant de s'appuyer sur ce règlement pour pousser les entreprises, dès l'intégration d’un document (ou dès sa réception, s’il n'est pas produit en interne), à associer à ce document une durée de vie et ensuite à l'éliminer pour ne pas que les serveurs soient submergés d'informations et de documents que l’entreprise ne serait plus dans l'obligation de conserver (voire, l'obligation de détruire).

    L’e-mail, un sujet de plus en plus difficile à maîtriser

    L’e-mail est justement dans le collimateur de cette nouvelle gestion de l’information et pose un vrai problème de maîtrise. D'une part, parce que les utilisateurs font face à un immense vrac numérique, et d’autre part, parce qu’ils ne maîtrisent pas les données incluses dans ces e-mails qui circulent à une vitesse vertigineuse. Les e-mails sont donc le plus souvent mal référencés, alors qu’ils exigent une analyse de chaque document et d’être rattachés à un dossier. Ils sont finalement mis de côté, mais conservés malgré tout et ce, alors qu’ils sont susceptibles de contenir énormément de données personnelles. Dans les organisations françaises, dans le doute on s'abstient et on conserve tout. Et c’est là, le problème.

    De l’eau au moulin des archivistes

    “Il est important de comprendre qu'à partir du moment où l’on dispose d’un environnement, d’un logiciel, d’une solution ou d’une application qui embarque de la donnée personnelle, on est concerné par le RGPD” souligne Marlène Cailleau, DPO, Information Governance Manager, Iron Mountain. Sans compter qu’il n’y a pas que le RGPD qui fait foi. Derrière lui, il y a aussi la loi française, les lois européennes, les lois propres à chaque pays et tout un environnement réglementaire (par exemple le code des assurances) qui reste applicable. “Le RGPD n'est donc pas le seul dogme, confirme Sonia Lieutier, responsable Documentation & Veille juridique chez Gecina. Il ne fait d’ailleurs que s’appuyer la démarche initiée depuis longtemps par les archivistes, mais a largement contribué à la légitimer auprès des directions et des collaborateurs pour les sensibiliser aux documents (et aux données) qu'ils manipulent”.

    Rappel des obligations

    Le RGPD rend obligatoire, dans certains cas, la désignation d’un DPO qui peut être interne ou externe. La présence d’un “gardien du temple” est nécessaire pour répondre à toutes les questions de mise en conformité et de privacy-by-design par exemple. Il y a ensuite l'obligation de documenter procédures et liens contractuels, mais aussi de sécuriser la partie hébergement des données, d’être plus transparent à son sujet et de cartographier les données. Sachez également que dès que des données sortent du territoire européen, l’organisation est dans l'obligation de le déclarer. L’objectif étant, ensuite, de mettre tous les pare feux autour de ces données pour sécuriser les flux.

    Pas de privée sans sécurité

    “Dès qu’une organisation collecte une donnée sur la vie privée d’une personne, que ce soit ses données de santé, ses données bancaires ou autres, elle entre dans le cadre du RGPD, insiste Marlène Cailleau. L’organisation est du moins tenue de préserver la confidentialité de ces données. Or, il lui est impossible de sécuriser ces données si elle ne sait pas où elles sont”. Sans maîtrise de la localisation, des lieux, des systèmes d'hébergement et des applicatifs (s'ils sont multiples), impossible d’assurer cette sécurité.

    La sécurité : l’affaire de tous

    La sécurité est par ailleurs l'affaire de tous. L'IT aura beau développer tous les pare-feux nécessaires au maintien de cette sécurité, mettre hors ligne un certain nombre d'informations, si l'individu, au quotidien, n'est pas le relais de cette confidentialité et de cette sécurité, forcément il y aura des trous dans la raquette. Il ne faut donc pas attendre de l’IT qu'il ait la solution miracle. En revanche, il peut mettre certains outils à disposition. La sécurité des données passe donc par une cartographie complète, la rédaction de procédures et un audit en temps réel : “Je dis ce que je fais, je fais ce que je dis, et je contrôle que j'ai fait et ce que j'ai dit”. C'est du bon sens.

    Faut-il avoir peur des sanctions ?

    Malgré l’ampleur des sanctions prévues par le RGPD, il ne faut pas perdre de vue que l'autorité de contrôle est parfaitement consciente qu'une partie des données personnelles a été créée, reçue ou collectée dans un contexte “hors RGPD”. Elle ne va donc pas avoir le même niveau de sanction avec un flux produit avant l’entrée en vigueur du règlement, et un flux produit après. “Elle ne va pas non plus avoir le même niveau d'exigence avec une organisation dont la donnée personnelle est le cœur de métier et avec une organisation pour laquelle la donnée personnelle n’est pas une donnée vitale” précise Sonia Lieutier.

    Faire preuve de bonne volonté

    Ce qui sera surtout vérifié, c'est la bonne volonté des organisations à se mettre en conformité, à partager le fait que la donnée personnelle est une donnée sensible et qu’un plan d’action a bien été instauré pour prendre en compte ces nouvelles exigences. Ensuite, certaines choses peuvent être résolues rapidement : un document à modifier, ajouter un avenant, etc. D’autres, en revanche, sont un peu plus complexes et nécessitent davantage de temps et/ou de moyens. Le plan de remédiation ne se fera donc pas du jour au lendemain et pourrait même s’étaler sur plusieurs années.

    Les questions pour s’emparer du sujet

    Oui, mais voilà, par où commencer ? Les questions qui se posent sont de trois ordres :

    • les ressources : Qui s’occupe du sujet ? Qui nommer DPO ? Une externalisation est-elle possible ? La personne que j’ai en tête a-t-elle toutes les compétences nécessaires ? Nécessite-t-elle un accompagnement ?
       
    • le terrain. De quoi exactement est composé mon fonds documentaire ? Comment puis-je montrer ce que j'ai déjà mis en œuvre ? Et prouver que je suis bel et bien en ordre de marche ?
       
    • la stratégie. Que puis-je mettre en place ? Quelles procédures ? Comment responsabiliser les collaborateurs autour de ce que je veux créer et de ce à quoi j'ai pensé ? Comment puis-je m'assurer que tout cela est une réalité dans l'organisation et pas un simple postulat ? Si j’ai besoin de ressources supplémentaires, comment puis-je les chiffrer ?

    Il n’y a pas de réponse toute faite. Cela dépend du contexte de chacun.

    Une conséquence positive

    In fine, près d’un an après son entrée en vigueur, le RGPD n’est pas encore pleinement intégré ni compris. Mais il a certaines conséquences positives. Car pour protéger les données personnelles, les organisations doivent aujourd’hui intégrer que celles-ci ne leur appartiennent pas et les traiter comme un élément temporaire, qui leur aurait été confié, et non comme quelque-chose dont elles sont propriétaires par défaut.

    Les informations doivent donc être stockées avec un niveau de sécurité adéquat, pour que seules les personnes habilitées puissent y accéder. Ce changement de perception, aussi évident soit-il, est essentiel pour protéger les données personnelles.

    Pour aller loin sur le sujet, laissez-vous guider par un outil de gestion des durées de conservation pour réussir votre conformité RGPD

    UKDM-FA-080619A-MarlèneCailleau.jpg

    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    Serda Formations Archives 2023

    Indispensable

    Bannière BDD.gif