Le CR2PA organise le mercredi 11 octobre 2017 après-midi une table ronde pour débattre de l’interaction dans une entreprise entre le processus de mise en conformité RGPD et la politique d’archivage managérial. Cette manifestation sera accueillie par L’Oréal (Saint-Ouen).
Participation gratuite, inscription en ligne obligatoire.
Intervenants:
- Déborah QUIRANT-PIDET, cheffe de projet Archivage électronique au ministère de la Justice, précédemment CIL de SYSTRA
- Sylvie de OLIVEIRA, directrice juridique IT/Digital et en charge du projet Nouveau Règlement chez L’Oréal
- Isabelle CANTERO, avocat associé du cabinet Caprioli, directeur du Pôle vie privée et protection des données à caractère personnel, et administrateur de l’AFCDP
- Damien PARIZIA, Consultant en organisation (Adway Conseil).
Débat animé par Marie-Anne CHABIN (membre fondateur du CR2PA, Archive17, professeur associé à Paris8)
Argument
Le règlement européen pour la protection des données à caractère personnel sera applicable dans moins d’un an. La prise de conscience des entreprises face à ces enjeux progresse doucement. Les initiatives de conseil et de formation se multiplient.
Si le règlement vise en premier lieu les traitements à grande échelle de données sensibles, il impose à toute organisation de plus de 250 employés de veiller à la conformité de ses traitements de données à caractère personnel dans le cadre de ses activités, autrement dit de pouvoir justifier de ces traitements devant les autorités compétentes.
Données à caractère personnel, traitement, limitation du traitement
Les trois premières définitions données par l’article 4 du règlement donnent la dimension des enjeux.
- Les « données à caractère personnel » sont « toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
- Le «traitement» renvoie à « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
- La «limitation du traitement» désigne « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ».
D’autres définitions concernent notamment, outre le désormais classique « responsable du traitement », les notions de sous-traitant, de destinataire, de tiers, de consentement, d’entreprise, de « règles d’entreprise contraignantes » (26 termes au total dans le glossaire du règlement).
Qualification des données et règles de vie
Les définitions ci-dessus suffisent à comprendre que le périmètre d’information concerné est large, et qu’il est incontournable de « marquer » les données pour cadrer leur usage.
Concernant le périmètre, les données à caractère personnel existent dans toute entreprise (ne serait-ce que par le biais de la gestion des collaborateurs) mais les capacités de collecte et de traitement des technologiques numériques élargissent rapidement le champ des activités potentiellement concernées (clients, prospects, patients, locataires, élèves, etc.). Si l’on considère que ces données sont liées à des processus et à des outils qui englobent d’autres données, on arrive rapidement à la conclusion que le système d’information de l’entreprise dans son ensemble est très largement impacté. Or, une façon assez sûre d’établir une liste des traitements de données à caractère personnel est de réaliser une liste de tous les traitements puis de la diviser en deux : ceux qui touchent (ou pourraient toucher aux données personnelles) et les autres, de façon à documenter une vision d’ensemble.
La notion de « marquage des données » comme outil de limitation des traitements dans le respect du règlement renvoie à la notion existante de règle de conservation dans le domaine de l’archivage managérial (records management), autrement dit :
- l’identification des données dans leur contexte et finalité de production,
- la qualification ou description des documents ou des objets d’information (fichiers, bases de données, logs…) qui contiennent ces données,
- l’évaluation du risque de non-disponibilité de ces objets dans le temps (cf ISO 15489), du risque de sur-conservation de ces éléments (protection des données personnelles, mais aussi maîtrise des coûts et de la qualité de l’information archivée) et le risque subséquent à les conserver ou à les détruire,
- l’énoncé d’une règle de vie (conservation et destruction motivée), attachée à un « groupe de données » concrètement circonscrit et assortie des modalités techniques de conservation.
L’expression de durée de conservation est largement présente dans le texte du règlement (« garantir que la durée de conservation des données soit limitée au strict minimum ») et, bien que le mot archivage n’apparaisse pas dans le règlement, c’est pourtant bien de cela qu’il s’agit : mettre en sécurité dans le temps les données dont la conservation est justifiée et détruire les autres.
L’archivage managérial comme levier de mise en conformité
La vision managériale de l’archivage portée par le CR2PA présente une zone de recouvrement importante avec les exigences édictées par le RGPD, à la fois sur la qualification des données et sur la description des traitements.
En effet, comme le CR2PA l’a exposé dans ses MOOCs, les données d’entreprise, quelles qu’elles soient, sont enregistrées sur des supports (documents papier, fichiers numériques, bases de données…) qui constituent les objets à stocker, sauvegarder, conserver, mettre à disposition, détruire, etc. pour lesquels le référentiel de conservation des documents de l’entreprise indique la durée de conservation et la justification de cette durée. Le lien entre la qualification des données à caractère personnel et le référentiel de conservation des documents de l’entreprise est évident. À noter à cet égard que plus d’un membre du CR2PA porte depuis longtemps déjà le titre de « responsable de la conservation des données ».
Les maîtres-mots de l’archivage managérial sont : évaluation du risque, identification des processus à enjeux, qualification des documents engageants, définition des règles de vie de l’information et des règles du jeu dans les processus documentaires de l’entreprise. Il faut rappeler ici que l’archivage managérial est centré sur les principes de conservation / destruction (en anglais retention / disposition) qui sont deux des huit principes d’archivage de l’ARMA (Association of Records Managers and Administrators, http://www.arma.org) : Responsabilité, Intégrité, Protection, Conformité, Disponibilité, Conservation, Destruction et Transparence (Accountability, Integrity, Protection, Compliance, Availability, Retention, Disposition and Transparency).
Pour le CR2PA, le RGPD est un levier à la prise de conscience des dirigeants d’entreprises des risques liées à la production et à la diffusion tous azimuts des données qui engagent la responsabilité de l’entreprise. Inversement, une politique d’archivage managérial, grâce à un cadre méthodologique solide peut être un levier puissant pour la mise en conformité d’une entreprise face au RGPD.
