Le RGPD, ou Règlement général sur la protection des données, remplace la Directive sur la protection des données personnelles de 1995 et entrera en vigueur le 25 mai 2018. Il vise à protéger la vie privée des citoyens européens, à unifier les lois relatives à la protection des données au sein de l’Union européenne et à redéfinir les méthodes de traitement et de gestion des données personnelles par les entreprises de l’Union européenne et au-delà. L’objet et la portée du texte montre la prise de conscience de l’importance grandissante des données pour les entreprises.
En 10 ans,
le volume de données a littéralement explosé. Les entreprises qui ont investi dans les outils pour traiter et analyser ces données ont pu en tirer des avantages concurrentiels appréciables : dans leur gestion de clientèle ou dans leurs campagnes marketing par exemple. Les réseaux sociaux doivent aussi une grande partie du succès de leur modèle dans l’utilisation des données personnelles. Malheureusement cette mine d’or a attiré bien des convoitises et a donné naissance à des pratiques douteuses de gestion des données, au détriment du respect de la vie privée. Le RGPD va, espérons-le, instaurer une gestion plus saine.
La question qui commence à affoler tout le monde est : comment s’assurer d’être en conformité avec ce nouveau règlement ? Il faut dire que les sanctions prévues ne prêtent pas à sourire : une amende d’un montant maximal de
20 millions d’euros ou de
4 % du chiffre d’affaires annuel total. Il faut ajouter les compensations que les entreprises visées sont susceptibles de devoir verser aux individus concernés. Parmi les autres conséquences potentielles figurent notamment l’interruption ou la restriction des transferts de données, le blâme public et l’atteinte à la réputation.
Le RGPD définit un ensemble spécifique de normes et d’exigences,
mais ne précise aucune technologie, aucun processus ni aucun système en particulier. Autrement dit chaque entreprise est libre de choisir les outils et modes d’organisation nécessaires pour se conformer au règlement. Évacuons d’emblée ce qui peut prêter à confusion : la mise en conformité au RGPD est avant tout un travail d’organisation,
aucun outil ne va miraculeusement vous mettre en conformité. Ceci dit, dans certaines entreprises, une solution
ECM peut grandement faciliter la mise en conformité, et nous allons voire comment.
Quelles sont les exigences et dispositions du RGPD ?
L’objet principal du RGPD est
la gestion des données à caractère personnel, à savoir :
“
L’ensemble des données concernant une personne identifiée ou identifiable. Il peut notamment s’agir d’identificateurs, comme le nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou de tout autre critère propre à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne.”
Le règlement s’applique
à toute organisation qui recueille et traite des données personnelles concernant des individus au sein de l’Union européenne, mais aussi aux entreprises hors-UE qui proposent des biens et des services à des individus au sein de l’Union européenne. Il n’est pas propre à un secteur et s’applique aux procédures de stockage et de traitement des données aussi bien dans le cloud que sur site. Autant dire que le champ est large ! Les exigences du RGPD reposent sur sept grands principes de traitement, précisés dans le règlement.
Tous ces principes visent à protéger la vie privée des individus au sein de l’Union européenne :
- Légalité, équité et transparence : les organisations doivent procéder au traitement des données de façon légale, équitable et transparente. Le consentement de l’individu est donc indispensable.
- Limitation à la finalité : les organisations peuvent uniquement traiter les données aux fins pour lesquelles elles ont été recueillies et communiquées à une personne concernée.
- Portée minimale des données : dans le cadre du traitement, seule une quantité minimale de données doit être recueillie pour atteindre les objectifs définis.
- Exactitude des données : les données recueillies doivent rester exactes tout au long du traitement par le responsable du traitement ; les données inexactes doivent être supprimées ou rectifiées.
- Limitation de la durée de conservation : les organisations doivent conserver les données aussi longtemps que nécessaire.
- Intégrité et confidentialité : le traitement doit être effectué de façon à protéger correctement les données en utilisant des contrôles techniques et organisationnels et en empêchant toute divulgation non autorisée ou accidentelle ou tout préjudice.
- Responsabilité : la responsabilité première de veiller à ce que ces principes soient respectés, y compris lorsqu’ils sont délégués à un gestionnaire, incombe au responsable du traitement.
Une solution ECM permet une meilleure protection des données
C’est l’un des principes forts du RGPD : exiger des entreprises qu’elles prennent des mesures de protection des informations sensibles et à caractère personnel. Lorsque l’on parle de sécurité des données, il faut distinguer
intégrité et
confidentialité qui sont deux notions différentes.
- L’intégrité assure que les données ne sont pas modifiées ou altérées pendant leur conservation.
- La confidentialité assure que seuls les utilisateurs autorisés peuvent accéder aux données.
Une
solution ECM permet de garantir à la fois l’intégrité et la confidentialité des données. Des fonctionnalités intégrées, comme des politiques de mots-clés strictes et une gestion granulaire des droits, permettent de contrôler précisément les personnes autorisées à accéder aux informations et la façon dont ces dernières peuvent être utilisées. De plus, le cryptage des données permet de protéger les informations sensibles, et ce qu’elles soient stockées, en cours d’utilisation ou en transit entre deux serveurs. Enfin, la traçabilité incluse dans ce type de plateforme permet à tout moment de déceler que ces droits sont respectés et bien appliqués (qui a visualisé ou modifié telle donnée et à quel moment du processus).
Une solution ECM permet de faciliter la gestion des données personnelles
C’est un fait : une entreprise capte et gère de plus en plus de données. Ces données prennent de la place, et les volumes importants font qu’il devient difficile de suivre ce qui est stocké et où. L’entreprise a de moins en moins de visibilité sur l’intégralité des données qu’elle conserve. Le RGPD
impose aux entreprises d’avoir un meilleur contrôle sur les données qu’elles traitent, et ainsi :
- ne conserver que les données strictement nécessaires,
- ne conserver les données que le temps nécessaire (ce qui implique de régulièrement supprimer les données “périmées”),
- s’assurer que les données conservées soient exactes.
Cela demande un effort de “management des données” considérable. Une
solution ECM facilite ce travail par une
gestion ultra-précise des métadonnées liées à chaque document ou donnée. Autrement dit, chaque document est indexé avec des données précises.L’utilisation des métadonnées offre plusieurs avantages.
h4>Les métadonnées permettent de cartographier l’ensemble des données
Utiliser des métadonnées pour indexer l’ensemble des données et documents permet de disposer d’un plan de classement rigoureux, et une vision complète de toutes les données traitées par l’entreprise. Les métadonnées permettent également d’effectuer des requêtes précises sur la base de données, comme par exemple : “trouver tous les documents et informations relatives à Mr Dupont”. Une
solution ECM apporte la
capacité à produire des données spécifiques sur demande dans le but de répondre à une requête, tout en liant les droits du demandeur au résultat de cette requête et en cadrant précisément les actions à suivre (droit à la visualisation, impression, export, modification etc).
Les métadonnées permettent de gérer la durée de vie des données
Une
solution d’Enterprise Content Management permet à l’entreprise de
définir des périodes de conservation des données en fonction des exigences réglementaires ou
déclencher automatiquement leur destruction sur la base d’un événement ou d’une demande spécifique. Une
solution ECM permet donc de respecter les exigences du RGPD en matière de vie privée, comme le droit d’un individu de demander à ce que ses données soient effacées (« droit à l’oubli »). Des règles prédéfinies permettent d’
automatiser entièrement le processus de gestion des enregistrements, de la création des documents à la déclaration des enregistrements en passant par la suppression/destruction finale. La rationalisation des processus de conservation et de destruction des documents contenant des données à caractère personnel permet de mettre en œuvre les politiques d’entreprise tout en limitant ou en évitant le risque de pénalité associé à l’accumulation d’enregistrements arrivés à expiration.
Une solution ECM facilite les audits de conformité
Appliquer les dispositions du RGPD est une chose,
prouver qu’on est en conformité en est une autre ! En effet le RGDP introduit le principe de responsabilité :
l’ensemble des traitements de données doit être retracé et justifié afin que le responsable du traitement des données soit en mesure, à tout moment, de rapporter la preuve que la protection des données personnelles est assurée, au regard de la réglementation RGPD. Une
solution ECM permet notamment d’enregistrer chacun des moments où un utilisateur accède à un document ou à un enregistrement de données, le consulte, le modifie ou le manipule.
En résumé, à partir du moment ou une donnée ou un document est introduit dans la plateforme, toute action y compris une simple visualisation crée un enregistrement inaltérable qui fournira à l’auditeur toute information utile sur qui a fait quoi et quand et dans quel contexte. Le management a la possibilité de passer en revue les journaux d’audit pour vérifier que le paramétrage de la solution respecte bien les règles et veiller ainsi à ce que toutes les personnes accédant à des informations à caractère personnel respectent les normes de l’organisation ou du secteur. Les données des audits peuvent même être mises à la disposition d’auditeurs externes, ce qui permet d’éviter l’application de lourdes pénalités, de rationaliser les audits et d’appliquer les mesures de conformité de l’entreprise et du secteur. Une
solution ECM peut donc apporter une aide précieuse pour les grandes organisation afin de couvrir les risques de cette nouvelle réglementation.