L’application du nouveau règlement général sur la protection des données de l’UE s’annonce difficile pour les entreprises qui utilisent encore beaucoup les documents papier
Iron Mountain émet quelques recommandations pour leur faciliter la tâche
Fin 2015, le Parlement et le Conseil européens se sont accordés sur la proposition de la Commission européenne d’un règlement général sur la protection des données ou GDPR (General Data Protection Regulation). Ces nouvelles règles, qui entreront en vigueur début 2018, sont une refonte en profondeur des règles de protection des données et de protection de la vie privée, définies aux tout débuts d’Internet par la Directive de protection des données. Les entreprises du monde entier qui manipulent des données d’origine européenne seront concernées.
D’après le spécialiste des services de conservation et de gestion de l’information, Iron Mountain (NYSE: IRM), ces réformes, qui ont vocation à prendre en compte les nouveaux besoins de l’économie numérique et à défendre les droits de protection de la vie privée de l’individu, pourraient être difficiles à appliquer à l’information au format papier. Pour aider les entreprises à inclure leurs archives papier dans leurs efforts de conformité aux nouvelles règles GDPR, Iron Mountain leur propose les réglementations suivantes :
1- Veillez à pouvoir retrouver l’information qu’il vous faut. Avant de prétendre « expurger » les informations personnelles de documents ou les supprimer, vous devez pouvoir les retrouver. Les réformes vont instaurer le « droit à l’oubli » des consommateurs dans la loi européenne, ce qui obligera les entreprises à donner suite aux demandes de suppression des informations personnelles. Mais s’il peut être relativement simple de supprimer des données électroniques d’un dossier ou d’une base de données, il apparaît plus compliqué d’intervenir sur des copies papier. Les recherches d’Iron Mountain montrent que près d’un quart (22%) des entreprises n’encadrent pas l’archivage des documents papier et que les salariés sont libres de procéder comme ils l’entendent. Dans de nombreuses sociétés, nul délégué ou service n’est désigné comme responsable des conditions de stockage de l’information. Et même si l’information peut être localisée, des difficultés demeurent pour modifier les documents, souvent à la main.
Iron Mountain suggère aux entreprises d’identifier les services et domaines fonctionnels les plus enclins à produire et archiver des dossiers contenant des informations personnelles et de les amener en priorité à numériser les dossiers et à stocker les documents dans des entrepôts distants sécurisés. Les organisations ont aussi intérêt à mettre en place un système clair de classement et d’identification des archives papier, avec des étiquettes et des métadonnées apposées sur les boîtes et les cartons, indiquant clairement quels sont les droits d’accès et les obligations à respecter.
2- Soyez conscient qu’un document papier existe souvent en double ou triple exemplaire. L’instauration de processus clairs de gestion de l’information, depuis la création initiale jusqu’à la destruction conforme, ne suffit pas toujours. Un document papier peut très bien échapper aux règles les plus strictes de classification et de stockage de l’information : reproduit ou imprimé, il peut être laissé négligemment à la vue de tous, ou jeté, en dehors des règles de sécurité ou encore extrait d’un bâtiment dont il n’aurait pas dû sortir. Le rapport 2015 de PwC sur l’observation des règles de sécurité et de confidentialité révèle que de nombreux incidents de compromission de la sécurité des données en Europe, ayant entraîné des sanctions, étaient souvent dus à l’origine, à une erreur humaine de manipulation des documents papier. Par conséquent, une organisation aura beau avoir les meilleures intentions vis-à-vis d’une demande de suppression de données, il est fort possible que des copies existent, oubliées par des salariés dans un tiroir de bureau ou même à leur domicile.
Iron Mountain recommande aux entreprises de compléter leurs règles et procédures de gestion de l’information par des sessions régulières de formation des salariés et des actions de communication, afin de sensibiliser le personnel à gérer l’information avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à-vis de l’information. Chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter.
3- Mettez en place des principes de respect de la vie privée dès la conception. Le GDPR appelle à penser confidentialité en amont, dans la manière dont l’information est produite, gérée et détruite. Pour les documents papier, ceci concerne les processus de manipulation de l’information. Iron Mountain recommande aux entreprises de rendre impossible, sinon difficile pour des individus non autorisés, d’accéder à des documents comportant des données personnelles ou d’en faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de l’information à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.
4- Acceptez que certaines règles ne pourront pas s’appliquer. Certaines clauses du GDPR, concernant la portabilité des données notamment, seront difficiles à appliquer aux informations au format papier. Parfois, cette inapplicabilité est un avantage. Par exemple, l’instauration de mesures robustes de cyber-sécurité ne s’applique pas au papier, car la crainte de piratage n’existe pas.
« La multitude des recommandations que l’on peut lire pour aider les entreprises à se préparer à la nouvelle législation concernent toutes ou presque la sécurité IT et les données électroniques. Ignorez le papier à vos risques et périls », fait constater Edward Hladky, Président Directeur Général d’Iron Mountain France. « Les entreprises continuent de produire et de traiter des documents papier comportant des informations personnelles. Beaucoup conservent toujours des archives papier qui s’étendent sur plusieurs décennies. Cet héritage risque de poser problème aux entreprises qui ne sont plus sûres des informations qu’elles ont en leur possession. Il est donc plus important que jamais de savoir ce que l’on a, où l’information se trouve et comment la consulter si besoin. »
A propos d’Iron Mountain
Iron Mountain Incorporated (NYSE: IRM) est un spécialiste des solutions de conservation et de gestion de l’information. Présent à l’international avec plus d’un millier d’implantations dans 36 pays, la surface cumulée de ses installations atteint plus de 6,2 millions m2, lui permettant de répondre aux attentes de ses clients de manière rapide et efficace. Ses solutions de gestion des documents, des dossiers et des archives, de sauvegarde et de restauration de données, aident les entreprises à réduire leurs coûts de stockage, à se conformer aux règlementations en vigueur, à accélérer la reprise de leur activité après un sinistre et à mieux utiliser l’information en faveur de leur compétitivité. Fondée en 1951, Iron Mountain conserve et protège des milliards de fichiers, depuis les archives d’entreprise, bandes de sauvegarde et fichiers électroniques jusqu’aux dossiers médicaux.