Marie-Anne Chabin, membre fondateur du CR2PA
Marie-Anne Chabin, créatrice de la méthode Arcateg, analyse pour le CR2PA l’imbrication très forte du RGPD et de l’archivage managérial.
« Le RGPD éclaire l’archivage managérial (et réciproquement) »
1/ Quel est le rôle du RGPD face aux nouveaux usages technologiques ?
Le Règlement européen pour la protection des données personnelles, entré en vigueur en mai 2018, restaure un certain équilibre entre le droit et la technologie. Le développement des réseaux et l’usage du smartphone ont conduit à une accélération des échanges et à une accumulation sans précédent de données, ce que l’on appelle le «big data». Ces données sont de tous types mais très souvent personnelles, traçant en continu les faits et gestes des internautes.
Les GAFAM sont les premiers visés par le RGPD, afin de freiner l’aspiration des données des internautes pris en otages (si vous ne signez pas les CGU, vous n’aurez pas le service). Mais toutes les entreprises sont concernées dès lors qu’elles collectent des données en ligne et exploitent l’information via les technologies de deep learning et d’intelligence artificielle.
La puissance de la technologie – sans parler des ambitions commerciales, idéologiques voire politiques – ne peut être contrebalancée que par le droit. C’est l’ambition du RGPD.
2/ Quels sont les apports du RGPD à l’archivage managérial ?
Le RGPD est vraiment une opportunité pour la visibilité de l’archivage managérial.
Que dit le règlement? Que les données collectées et traitées par les entreprises doivent être associées à une finalité licite (réglementaire ou contractuelle) et gérées en conséquence, faute de quoi elles ne doivent pas être produites/conservées. Une analyse de risque doit permettre d’attribuer une durée de conservation motivée aux données avant de les sécuriser.
Et que dit l’archivage managérial ? Que les données et les documents de l’entreprise qui engagent sa responsabilité doivent être identifiés et mis en sécurité avec une règle de conservation issue d’une analyse de risque (voir le Référentiel Archivage managérial). Avouez que c’est très proche.
L’intérêt du RGPD pour l’archivage managérial est que ce texte est le premier et le seul document réglementaire (assorti de fortes sanctions) qui oblige les entreprises à une gouvernance des données à risque dans la durée. En effet, il n’existe en France aucune loi sur l’archivage (les archives sont traitées en France du point de vue du patrimoine culturel). Même si le RGPD n’utilise pas le mot archivage (la version anglaise ne parle pas davantage de ‘records management’ et il faut le déplorer), l’archivage managérial doit profiter de la dynamique portée par le RGPD.
3/ Le RGPD instaure le traitement des données et de certains documents.
Faut-il aller plus loin ?
Le RGPD est dédié à la protection des données personnelles car c’est le point sensible, aussi bien au plan technologique qu’au plan politique. Le RGPD ne vise donc a priori qu’une partie des données de l’entreprise.
Mais il serait dommage de limiter l’investissement que représente un «projet RGPD» aux seules «données à caractère personnel».
En effet, il y a un recouvrement entre données à caractère personnel et données «tout court» dans l’entreprise; Si on considère que les technologies sont capables d’associer des données d’apparence anodines à des individus précis, la quantité de données concernées par le RGPD est énorme. A mon avis, elle dépasse les 80% de l’information.
Par ailleurs, la gestion de l’information à risque dans la durée (conservation et destruction des données et des documents) existait avant le RGPD. C’est exactement le rôle des records managers, c’est-à-dire des responsables de l’archivage managérial: identifier, qualifier et gérer le cycle de vie des données. Les entreprises qui cherchent à se mettre en conformité au RGPD ont donc tout intérêt à s’appuyer sur cette compétence-là. Une politique d’archivage et un référentiel de conservation sont deux atouts de poids pour accélérer la conformité au RGPD, et consolider la gouvernance des données de l’entreprise au-delà du RGPD.
