Lâapplication du nouveau GDPR (General Data protection Regulation) de lâUnion européenne sâannonce difficile pour les entreprises qui utilisent encore beaucoup les documents papier, assure Iron Mountain.
Fin 2015, le Parlement et le Conseil européens se sont accordés sur la proposition de la Commission européenne dâun règlement général sur la protection des données. Ces nouvelles règles, qui entreront en vigueur début 2018, sont une refonte en profondeur des règles de protection des données et de protection de la vie privée, définies aux tout débuts dâInternet par la Directive de protection des données. Les entreprises du monde entier qui manipulent des données dâorigine européenne seront concernées.
Pour le spécialiste des services de conservation et de gestion de lâinformation, ces réformes, qui ont vocation à prendre en compte les nouveaux besoins de lâéconomie numérique et à défendre les droits de protection de la vie privée de lâindividu, pourraient être difficiles à appliquer à lâinformation sur papier.
Il s'agit de s'organiser. Avant de prétendre « expurger » les informations personnelles de documents ou les supprimer, vous devez pouvoir les retrouver. Les réformes vont instaurer le «droit à lâoubli» des consommateurs dans la loi européenne, ce qui obligera les entreprises à donner suite aux demandes de suppression des informations personnelles. Mais sâil peut être relativement simple de supprimer des données électroniques dâun dossier ou dâune base de données, il apparaît plus compliqué dâintervenir sur des copies papier. Selon Iron Mountain, près dâun quart (22%) des entreprises nâencadrent pas lâarchivage des documents papier, les employés étant libres de procéder comme ils lâentendent…
Première mesure : identifier les services et domaines fonctionnels les plus enclins à produire et archiver des dossiers contenant des informations personnelles et les amener en priorité à numériser les dossiers et à stocker les documents dans des entrepôts distants sécurisés. Autre nécessité : mettre en place un système clair de classement et dâidentification des archives papier, avec des étiquettes et des métadonnées apposées sur les boîtes et les cartons, indiquant clairement quels sont les droits dâaccès et les obligations à respecter.
Lâinstauration de processus clairs de gestion de lâinformation, depuis la création initiale jusquâà la destruction conforme, ne suffit pas toujours. Un document papier peut très bien échapper aux règles les plus strictes de classification et de stockage de lâinformation : reproduit ou imprimé, il peut être laissé négligemment à la vue de tous, ou jeté, en dehors des règles de sécurité ou encore extrait dâun bâtiment dont il nâaurait pas dû sortir. Le rapport 2015 de PwC sur lâobservation des règles de sécurité et de confidentialité révèle que de nombreux incidents de compromission de la sécurité des données en Europe, ayant entraîné des sanctions, étaient souvent dus à lâorigine, à une erreur humaine de manipulation des documents papier. Par conséquent, une organisation aura beau avoir les meilleures intentions vis-à -vis dâune demande de suppression de données, il est fort possible que des copies existent, oubliées par des salariés dans un tiroir de bureau ou même à leur domicile.
Iron Mountain recommande aux entreprises de compléter leurs règles et procédures de gestion de lâinformation par des sessions régulières de formation des salariés et des actions de communication, afin de sensibiliser le personnel à gérer lâinformation avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à -vis de lâinformation. Chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter.
Autre sujet sensible, la confidentialité. Le GDPR appelle à penser confidentialité en amont, dans la manière dont lâinformation est produite, gérée et détruite. Pour les documents papier, ceci concerne les processus de manipulation de lâinformation. Iron Mountain recommande aux entreprises de rendre impossible, sinon difficile pour des individus non autorisés, dâaccéder à des documents comportant des données personnelles ou dâen faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de lâinformation à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.
Dernière mesure : accepter que certaines règles ne pourront pas sâappliquer… Certaines clauses du GDPR, concernant la portabilité des données notamment, seront difficiles à appliquer aux informations au format papier. Parfois, cette inapplicabilité est un avantage. Par exemple, lâinstauration de mesures robustes de cyber-sécurité ne sâapplique pas au papier, car la crainte de piratage nâexiste pas.
