L’application du nouveau GDPR (General Data Protection Regulation) de l’Union européenne s’annonce difficile pour les entreprises qui utilisent encore beaucoup les documents papier, assure Iron Mountain.
Fin 2015, le Parlement et le Conseil européens se sont accordés sur la proposition de la Commission européenne d’un règlement général sur la protection des données. Ces nouvelles règles, qui entreront en vigueur début 2018, sont une refonte en profondeur des règles de protection des données et de protection de la vie privée, définies aux tout débuts d’Internet par la Directive de protection des données. Les entreprises du monde entier qui manipulent des données d’origine européenne seront concernées.
Pour le spécialiste des services de conservation et de gestion de l’information, ces réformes, qui ont vocation à prendre en compte les nouveaux besoins de l’économie numérique et à défendre les droits de protection de la vie privée de l’individu, pourraient être difficiles à appliquer à l’information sur papier.
Il s’agit de s’organiser. Avant de prétendre « expurger » les informations personnelles de documents ou les supprimer, vous devez pouvoir les retrouver. Les réformes vont instaurer le «droit à l’oubli» des consommateurs dans la loi européenne, ce qui obligera les entreprises à donner suite aux demandes de suppression des informations personnelles. Mais s’il peut être relativement simple de supprimer des données électroniques d’un dossier ou d’une base de données, il apparaît plus compliqué d’intervenir sur des copies papier. Selon Iron Mountain, près d’un quart (22%) des entreprises n’encadrent pas l’archivage des documents papier, les employés étant libres de procéder comme ils l’entendent…
Première mesure : identifier les services et domaines fonctionnels les plus enclins à produire et archiver des dossiers contenant des informations personnelles et les amener en priorité à numériser les dossiers et à stocker les documents dans des entrepôts distants sécurisés. Autre nécessité : mettre en place un système clair de classement et d’identification des archives papier, avec des étiquettes et des métadonnées apposées sur les boîtes et les cartons, indiquant clairement quels sont les droits d’accès et les obligations à respecter.
L’instauration de processus clairs de gestion de l’information, depuis la création initiale jusqu’à la destruction conforme, ne suffit pas toujours. Un document papier peut très bien échapper aux règles les plus strictes de classification et de stockage de l’information : reproduit ou imprimé, il peut être laissé négligemment à la vue de tous, ou jeté, en dehors des règles de sécurité ou encore extrait d’un bâtiment dont il n’aurait pas dû sortir. Le rapport 2015 de PwC sur l’observation des règles de sécurité et de confidentialité révèle que de nombreux incidents de compromission de la sécurité des données en Europe, ayant entraîné des sanctions, étaient souvent dus à l’origine, à une erreur humaine de manipulation des documents papier. Par conséquent, une organisation aura beau avoir les meilleures intentions vis-à-vis d’une demande de suppression de données, il est fort possible que des copies existent, oubliées par des salariés dans un tiroir de bureau ou même à leur domicile.
Iron Mountain recommande aux entreprises de compléter leurs règles et procédures de gestion de l’information par des sessions régulières de formation des salariés et des actions de communication, afin de sensibiliser le personnel à gérer l’information avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à-vis de l’information. Chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter.
Autre sujet sensible, la confidentialité. Le GDPR appelle à penser confidentialité en amont, dans la manière dont l’information est produite, gérée et détruite. Pour les documents papier, ceci concerne les processus de manipulation de l’information. Iron Mountain recommande aux entreprises de rendre impossible, sinon difficile pour des individus non autorisés, d’accéder à des documents comportant des données personnelles ou d’en faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de l’information à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.
Dernière mesure : accepter que certaines règles ne pourront pas s’appliquer… Certaines clauses du GDPR, concernant la portabilité des données notamment, seront difficiles à appliquer aux informations au format papier. Parfois, cette inapplicabilité est un avantage. Par exemple, l’instauration de mesures robustes de cyber-sécurité ne s’applique pas au papier, car la crainte de piratage n’existe pas.