Le Records Management et le RGPD

par Lucia Stefan, Dipl Eng Chem., MSc Computing, Director of Archiva Ltd., Newton Abbot

Titre original: Records Management and the GDPR

Traduction: Marie-Anne Chabin, pour le CR2PA

Nota bene: l’expression “records management” a été conservée en anglais; le terme record a été traduit, suivant les traductions initiales d’ISO1549, MoReq2 et ISO 16175 par « document à archiver », « document archivé » ou document engageant » selon le contexte.

Le records management est aujourd’hui au point mort. En dehors de quelques opérations marketing, rien de neuf dans le domaine technologique ou théorique. Rien depuis longtemps.

Mais la gestion documentaire et l’archivage (records and information management) va connaître un nouvel âge avec le Règlement général pour la protection des données personnelles (RGPD) (Règlement européen 2016/679) qui entrera en vigueur au printemps 2018. Voici mes prédictions à ce sujet. À suivre !

  1. Avec le RGPD, les données personnelles sont traitées comme des documents à archiver

Pour l’instant, la mise en œuvre du RGPD a été confisquée par les spécialistes de la sécurité qui prétendent que le Règlement ne concerne que la sécurité de l’information, la cybersécurité, la norme ISO 27000, etc. Mais le RGPD dépasse largement la sécurité de l’information. Le RGPD concerne les droits des personnes et le maintien de ces droits tout au long de la vie des données.

La seule façon d’assurer la conformité est de gérer les données personnelles comme des documents à archiver.

Cette façon de gérer les informations à caractère personnel garantira la conformité car elles seront contrôlées pendant tout leur cycle de vie, ce qui inclut notamment (parmi beaucoup d’autres points)  : établir les bonnes règles de conservation pour les données personnelles, organiser l’accès aux données par les personnes concernées, organiser les destructions (droit à l’oubli) et les mises à jour, collecter les consentements.

Le RGPD introduit le principe de responsabilité en vertu duquel les entreprises doivent documenter le traitement des données personnelles pendant toute leur vie. La documentation prend la forme de politiques, de procédures, de décision, de preuves de consentement et autres notifications, de règles de conservation et d’autres documents tout aussi importants.

En résumé, la question n’est pas tant ce qu’on a fait pour la conformité mais pourquoi on l’a fait ! Pour la conservation par exemple, une règle de conservation/destruction ne suffit pas, il faut y associer la justification de cette règle. Autrement dit, tous les événements personnels doivent être archivés et conservés pour la durée appropriée. La conformité au RGPD est une exigence réglementaire et on ne peut l’atteindre qu’au moyen d’un bon archivage managérial. Il n’y a pas d’autres moyens pour être conforme au RGPD.

Mais ce n’est pas tout. Il faut encore regrouper les données personnelles qui sont dispersées dans l’ensemble des systèmes d’information de l’entreprise pour créer le fichier de données personnelles correspondant à la requête de l’intéressé ou au besoin de portabilité des données. Pour produire le jeu de données recherché et son historique, il faut bien comprendre que les données personnelles (tout comme n’importe quelle information) ont un contenu, un contexte et des métadonnées. Si on traite chaque donnée individuellement, on a le contenu et les métadonnées mais pas le contexte.

En considérant les données personnelles comme un tout, comme un document engageant composé de diverses données, le contexte est préservé.

Le RGPD a besoin d’outils pour reconstituer, à partir des données, un historique complet et authentique de l’activité de la personne, outils qui n’existent pas encore (à ma connaissance du moins).

  1. Le RGPD obligera à revoir la théorie du records management

Le RGPD apportera également un nouvel élan à la théorie du records management. Jusqu’ici, le records management visait essentiellement la gestion des documents et fichiers non structurés. Cette façon de laisser les systèmes de bases de données de côté restreint le champ du records management. Une autre restriction vient du concept de fixité, un sujet largement débattu par les responsables de l’archivage et les archivistes. Stricto sensu, le contenu d’un document archivé est supposé figé et non modifiable, des l’instant de sa capture dans le système d’archivage. Ceci convient pour un document non structuré mais pas dans un environnement structuré.

La plupart des données personnelles existent sous une forme structurée, dans des bases de données dont le contenu ne peut pas ne pas être modifié, contrairement à la définition rigoureuse d’un document archivé. Les bases de données ont été créées dans le but de collecter et modifier des données en fonction des besoins, de sorte que les objets documentaires changent constamment. Peu de responsables de l’archivage les regardent comme des documents à archiver au sens de l’ancienne définition d’ISO 15489. Comme gérer les données personnelles comme des documents si les données élémentaires ne sont pas considérées comme des composantes de documents ?

Les données élémentaires doivent être considérées comme des composantes de documents engageants. En d’autres termes, un document personnel peut être composé de données éclatées entre plusieurs bases au sein d’une architecture complexe. Cette approche existe mais est généralement ignorée. C’est pourtant ce que dit ISO 16175 (module 3)[1] qui, dans cet environnement, définit un document numérique comme un document composite constitué de données provenant de plusieurs bases de données. Ce document numérique composite n’a pas non plus un contenu figé, mais il est retenu pour la durée correspondant à une finalité contractuelle ou de preuve.

En conséquence, la théorie du records management devra revoir deux questions importantes : le concept de document lui-même et le concept de fixité comme caractéristique d’un document archivé.

L’extension de la théorie du records management à l’environnement structuré des bases de données et à leur cycle de vie est une nécessité et se produira, tôt ou tard.

  1. Le contenu des réseaux sociaux relèvera du RGPD

La nouvelle réglementation sur la protection des données personnelles obligera aussi les réseaux sociaux à traiter les informations personnelles dans le respect des nouvelles règles. Les messages des réseaux sociaux peuvent être produits comme preuve, comme dans le cas McAlpine vs Bercow, même si les réseaux sociaux sont incapables d’archiver les messages dans un format garantissant l’authenticité et l’intégrité visant à les utiliser comme preuve dans un cadre légal.

La nouvelle réglementation va obliger les fournisseurs de réseaux sociaux à rendre leurs applications conformes au RGPD, en gérant les messages comme des documents engageants et en d’améliorant leur valeur de preuve.

  1. Le RGPD obligera à une nouvelle révolution technologique des bases de données

Le RGPD va conduire à des évolutions technologiques majeures. La plupart des données personnelles se trouvent dans des systèmes structurés, complexes et imbriqués, ce qui leur vaut le nom de « plat de spaghetti ». Dès lors, on peut prévoir deux grandes évolutions.

La première concerne l’interrogation des bases de données, c’est-à-dire la capacité de rechercher et d’’extraire des données personnelles dans une architecture d’information complexe, par exemple pour la requête d’une personne concernée ou pour une opération de portabilité. Les technologies de recherche devront garantir que toutes les données personnelles ont été retrouvées, que rien n’a été oublié, et que l’extraction n’a pas endommagé ou altéré les données. Le maintien de l’intégrité, de la complétude et de l’authenticité des données personnelles sera primordial.

La seconde évolution concerne la destruction (dite « destruction défendable » dans certains pays).

Le RGPD exige un stockage limité, c’est-à-dire que les données personnelles ne soient pas conservées plus longtemps que nécessaire. Les technologies actuelles ne permettent pas l’implémentation de règles de conservation/destruction dans les systèmes structurés. Les seuls systèmes permettant l’intégration, la conservation et la modification de règles de conservation à l’appui d’une destruction défendable sont les très décriés ECMs (Enterprise Content Management Systems). Cette possibilité n’est pas étendue aux technologies actuelles de bases de données. Des bases de données de conservation, où les données seraient automatiquement détruites à échéance de la durée de conservation, procureraient une conformité au RGPD.

Des bases de données pilotant les durées de conservation constitueront une révolution technologique.

Et finalement,

  1. Le Records Management sera traité comme un service (Records Management as a service)

Les professionnels du records management se plaignent souvent de leur statut au sein des départements IT. Le records management n’a jamais été considéré comme critique par l’IT et les records managers ne sont sollicités qu’en cas de gros défaut de conformité signalé par un audit. Le reste du temps, ils sont marginalisés ou regardés bizarrement par les gens de l’IT.

Pourquoi ? Parce que le records management n’a jamais été considéré comme un service essentiel de l’IT ni inclut dans ITIL (version 3)[2].

Tous les départements IT fonctionne avec ITIL et tout responsable informatique ou CIO connaît ITIL. Ce qu’il faut savoir ici, c’est que le records management n’est pas reconnu comme un service. La plupart des responsables de l’archivage eux-mêmes ne considèrent pas le records management comme un service. Résultat : le records management, n’étant pas intégré au cadre ITIL, n’est pas reconnu comme une composante de l’IT et, par conséquent, se trouve marginalisé.

Ce n’est qu’en devenant une composante du cadre de référence ITIL que le records management obtiendra un statut dans les DSI. Ceci peut être fait assez facilement parce que la base théorique a déjà été exposée dans la norme MoReq2010. Le génie de MoReq2010, mal compris et largement critiqué par les responsables traditionnels de l’archivage, tient dans la  description de toutes les fonctions du records management comme des services. MoReq2010 est l’outil qui peut faciliter l’intégration du records management dans ITIL version 3, justement parce que le records management y est présenté comme un service. Il est crucial pour les associations des professionnels de l’archivage de plaider la cause de l’intégration du records management comme un service IT dans le cadre d’ITIL.

Le nouveau RGPD obligera les entreprises européennes ou en affaire avec des sociétés européennes à réhabiliter le records management et à lui donner la place qu’il mérite.

 

Ce texte de Lucia Stefan a été publié en juin 2017 dans la Newsletter exceptionnel de la société Project Consult pour son 25e anniversaire : http://www.project-consult.de/news/2017/project-consult-newsletter-jubilee-edition

 

[1] http://blog.cr2pa.fr/wp-content/uploads/2012/12/ICA-Req_FR1.pdf

[2] https://fr.wikipedia.org/wiki/Gestion_des_services_informatiques / https://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
Wikipédia définit ITIL (Information Technology Infrastructure Library / Bibliothèque pour l’infrastructure des technologies de l’information) comme un ensemble de pratiques pour la gestion des services informatiques (ITSM) qui aligne les services IT sur les besoins métier.
Depuis juillet 2013, ITIL appartient à Axelos qui délivre les licences de marque et d’utilisation, accrédite les organismes de certification et gère les mises à jour

0 réponses

Répondre

Vous souhaitez vous joindre à la discussion ?
N'hésitez pas !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *