« Nous sommes tous transformés en data »
« Il vaut mieux peu de données de qualité que beaucoup de données qui ne servent à rien »
« Les professionnels de l’archivage sont les mieux placés, voire les seuls, pour bien pratiquer les durées de conservation »
L’archivage managérial comme levier de conformité au RGPD (Règlement général pour la protection des données personnelles) ou GDPR (en anglais) était le thème de la table ronde organisée par le CR2PA et accueillie par L’Oréal le 11 octobre dernier (voir l’argument de la table ronde).
Voici une synthèse des principaux échanges avec Déborah QUIRANT-PIDET, cheffe de projet Archivage électronique au ministère de la Justice, Sylvie de OLIVEIRA, directrice juridique IT/Digital et en charge du projet Nouveau Règlement chez L’Oréal, Isabelle CANTERO, avocat associé du cabinet Caprioli, directeur du Pôle vie privée et protection des données à caractère personnel, et administrateur de l’AFCDP, Damien PARIZIA, Consultant en organisation (Adway Conseil), table ronde animée par Marie-Anne CHABIN avec de nombreux participants (le compte rendu détaillé est à disposition des membres du club dans l’espace adhérents).
Tout commence par la collecte
Les données personnelles incluent les données collectées directement au moyen de formulaires et les données qu’on laisse sans en avoir conscience.
Le RGPD exige une collecte des données personnelles « loyale et licite ». La collecte « licite » repose sur un consentement préalable et l’explication de la légitimité de la collecte (prospection commerciale, marketing, étude, statistiques…). La documentation doit consigner le consentement, avec une garantie de traçabilité dans le temps.
Le principe de proportionnalité de la collecte est mis en avant : s’en tenir au strict besoin.
La documentation du RGPD
Le registre des traitements exigé par le règlement est la principale composante de la documentation pour la protection des données personnelles ; il contient la carte d’identité des traitements.
Mais il y a d’autres documents : des politiques liées à la gestion de l’information, des notes d’information internes, sans oublier la gestion des consentements.
La politique de sécurité et la politique d’archivage appartiennent à la documentation pour la protection des données personnelles. La politique des gestion des droits d’accès rejoint l’exigence d’information préalable du client.
L’archivage managérial est pionnier pour la gestion des durées de conservation
Le fait de prendre en compte les données dès leur création et de définir des durées est la base de l’archivage managérial.
Le règlement parle de durée de conservation pour les données mais les données sont enregistrées dans des documents, des fichiers, des supports physiques ou numériques, et les durées de conservation de ces documents sont souvent liées aux délais de prescription civile, commerciale, immobilière, etc.
En se focalisant sur la durée d’utilisation opérationnelle des données personnelles, on a tendance à oublier l’archivage managérial et à sortir des exigences de la gestion de preuve ; or, les données individuelles appartiennent aussi à des bases de données qui ont des valeurs de preuve à plus long terme.
Données personnelles et système d’information
Sur le plan des outils, la protection des données by design s’inscrit dans une transformation digitale de l’entreprise. Il s’agit de s’assurer que les personnes qui vont gérer une application vont bien gérer les données collectées dès le départ. Archivage et protection des données personnelles partagent un même objectif : être associés le plus en amont possible aux nouveaux projets informatiques.
Il est nécessaire d’avoir une bonne gestion des profils d’habilitation ou de bien segmenter les processus métier afin qu’un métier ne puisse pas utiliser indûment des données sur un client collectées dans le cadre d’une autre action (ex : une personne cliente d’une banque à titre privé et à titre de chef d’entreprise).
Le traitement de l’arriéré exigerait des capacités humaines et technologiques énormes. La priorité est clairement sur le présent. Il faut cependant essayer de mesurer le delta entre les nouvelles exigences et les données existantes.
Conduite du changement
La conduite du changement vise d’abord les dirigeants. Si le dirigeant n’est pas lui-même convaincu, ça ne marchera pas.
Outre les enjeux financiers (sanctions très lourdes, pouvant aller jusqu’à 4% du chiffre d’affaire mondial consolidé), les dirigeants doivent avoir conscience :
- de la responsabilité du responsable du traitement, même si le RGPD reconnaît désormais la responsabilité des sous-traitants,
- du fait que la valorisation des données n’est pertinente que si les données sont licites,
- de l’évolution d’une logique de déclaration préalable à une logique de responsabilité (accountability) permanente. Il faut construire un système de management de la protection des données à caractère personnel en s’appuyant sur les règles d’archivage déjà mises en place, déjà connues par un réseau d’acteurs dans l’entreprise.
Les actions de sensibilisation doivent être ciblées : on n’aborde pas le sujet de la même façon avec un responsable RH et un commercial.
Illustration avec L’Oréal
Chez L’Oréal, le RGPD est déjà une réalité : Nathalie MORAND-KHALIFA, en charge de l’archivage managérial de Recherche et Innovation, a été nommée DPO pour R&I. Au niveau Groupe, le projet est piloté par un compliance officer, avec un juriste en droit des technologies, avec un support au plus haut niveau. Quatre politiques sont articulées : Data retention policy, Data privacy policy, Data confidentiality and information protection policy, IT security policy.
Le RGPD et l’archivage sont des leviers l’un pour l’autre car « archiver, conserver et maîtriser des données personnelles relève du même processus qu’archiver, conserver et maîtriser des documents engageants ; on a besoin de connaître leur durée de conservation et la justification de cette durée, sinon on les jette ».
