Un événement s’est passé à Bruxelles en avril 2016 dont il semble que toutes les entreprises que je rencontre n’aient pas encore saisi toutes les conséquences pratiques en matière de conservation des données .
Dans un bel élan, j’entends les responsables dire c’est pour 2018… On a le temps. Vous avez bien sûr identifié qu’il s’agit du RGPD : Règlement Général de Protection des Données.
J’ai malheureusement une mauvaise nouvelle : Non vous n’avez pas beaucoup de temps et c’est un projet supplémentaire qui s’ajoute à votre longue liste de courses.
Aujourd’hui je voudrais prendre le RGPD sous l’angle de la conservation des données.
Traditionnellement une politique de conservation de données se hiérarchise par l’ancienneté des documents ou des dossiers et ce largement pour des raisons de coût/performance et productivité. Tant qu’un dossier est actif on le conserve dans un archivage « temporaire » facilement accessible sur disque dur. Puis une fois, le dossier clos on le range dans une sauvegarde de long terme (sur bandes, délocalisée ou externalisée). En fait il n‘y avait initialement pas tant de différences mentales entre un stockage électronique et un stockage classique papier en distinguant le caractère actif ou clos d’un dossier. Evidemment les technologies disponibles ont évolué très vite, les organisations un peu moins mais elles ont avancé. Le changement poussé par les clients a été en fait plus rapide et a un peu bousculé. Les aspects pratiques et la mobilité accrue que permettent le digital ont été adoptées et les organisations ont maintenant des dossiers hybrides (digital plus papier). Rationnellement les entreprises ont commencé à numériser systématiquement les dossiers pour n’avoir qu’un type de données. Même si à notre avis il reste de nombreux progrès à faire en termes de facilité d’emploi, disponibilité, qualité des traitements techniques appliqués et automatisation des processus de distribution routinière de ces documents, allons jusqu’au worklflow.
Dans les entreprises, de nombreux débats internes ont eu lieu pour fixer des taxonomies utiles de type N° de dossier, N° de client, etc…les possibilités techniques sont quasi infinies, les possibilités humaines un peu moins en la matière.
Toutefois quand on regarde comment les personnels travaillent on s’aperçoit que tout n’est pas dans une architecture unifiée qui même si elle existe au catalogue des éditeurs n’est pas tant utilisée sur le terrain.
Donc un dossier client ou à tout le moins les coordonnées de celui ci sont présentes dans la base de données qui réside au niveau infrastructure de chaque logiciel métier ou documentaire (sans doute plusieurs localisations et pas si compatibles que ca) mais aussi dans les tableurs Excel de chacun qui a appliqué des traitements ou généré des rapports et aussi dans les boites mail des collaborateurs. Bien sûr ceci s’est répliqué dans les nombreux dispositifs de performance (caches) et dans ceux de sauvegarde et de conservation des données.
Mais et c’est là que le RGPD intervient : Vous devez pouvoir restituer ou détruire la totalité des documents concernant un consommateur qui vous le demanderait.
La première question que vous poserez à votre DSI est : Mais où sont exactement et précisément stockées les informations relatives à Mr Dupont François qui vous a adressé cette requête.
Si votre DSI est un tant soit peu honnête, il vous répondra qu’il n’en sait rien…partout. Il se rappellera que la direction marketing et communication exploite le CRM qu’il a mis à disposition pour faciliter la relation client personnalisée. Il prendra vite peur des nombreuses applications qui disposent de tout ou partie des données clients.
Vous êtes donc à l’aube d’un projet transverse qui va déterminer quelles sont les pratiques réelles et pas toujours documentées de votre organisation des traitements des coordonnées d’un prospect ou d’un client que vous conservez de fait. Puis, il va falloir être capable de les assembler sous un identifiant unique si cela n’a pas été prévu dans votre taxonomie afin de pouvoir les restituer à ce consommateur.
Nous aurons l’occasion d’échanger sur ces sujets lors des conférences XPlor les 29 et 30 mars sur le salon Documation 2017 mais il est clair qu’une réponse ne vous est pas autorisée : ce n’est pas possible car trop difficile. D’abord les pénalités élevées prévues par la loi devraient vous faire réfléchir mais aujourd’hui Linkedin ou Facebook sont capables de le faire. Pourquoi pas vous ?
Je vous donne une première piste : on parle toujours de politique de conservation de données mais le terme est incomplet. Parlons de politique de conservation et destruction des données. Il y a des délais légaux au delà desquels vous n’avez pas besoin de ces données, créez une politique de destruction des données, vous n’aurez pas tout résolu mais il faut commencer quelque part et vous vous allégerez.
Alors 2018 c’est loin ? Non absolument pas !
Jean-Louis de La Salle
Vice Président Xplor
Président Aurea Performance SAS
