Accueil Du RGPD à la gouvernance de l’information

Du RGPD à la gouvernance de l’information

Quand il n’est pas vécu comme une contrainte, le Règlement Général sur la Protection des Données (RGPD) se transforme en levier pour initier et mener une gouvernance de l’information.

 

Alors qu’il fêtera en mai prochain son deuxième anniversaire, le RGPD ne figure toujours pas dans le top des priorités des entreprises. Si les études soulignent les efforts consentis par les grandes entreprises pour se mettre en conformité, elles pointent aussi chez les PME le manque de méthodes et de ressources financières pour appliquer le règlement. Dans un contexte où la tolérance des autorités chargées des contrôles diminue – la France est en tête des pays ayant prononcé les plus lourdes peines, avec des montants cumulés qui atteignent 51,1 millions d’euros, dont 50 millions pour la seule amende infligée par la CNIL à Google – la gestion du risque devient critique. Si beaucoup d’entreprises voient avant tout dans le respect du RGPD un moyen d’échapper à des sanctions financières et pénales, elles savent aussi ce qu’il en coûte d’égarer des fichiers sensibles. La multiplication des failles qui ont exposé en ligne d’énormes volumes de données personnelles pousse les organisations à reconsidérer la confiance perçue par leurs clients, partenaires et employés.

Eric Blat

« Alors que des réglementations telles que le RGPD en Europe ou le CCPA en Californie ont déjà été établies, on ne cesse de voir apparaître de nouvelles mesures autour de la confidentialité des données. Jusqu’à présent, la plupart des organisations ont concentré leurs efforts sur leurs données structurées, mais elles doivent comprendre que des informations personnelles identifiables se trouvent également dans les documents textuels non structurés. Les données archivées, en particulier, représentent une préoccupation pressante pour la plupart des entreprises. C’est pourquoi les solutions basées sur l’IA vont devenir déterminantes pour localiser les données sensibles et les gérer via des workflows automatisés », estime Marc Barrenechea, CEO et CTO d’OpenText. Sans équipe dédiée maniant expertise technique et juridique, une telle approche est difficile. D’autant que « le RGPD ne s’applique pas qu’à l’électronique mais également à l’archive papier… Il est plus simple d’aller rechercher quelque chose dans le monde de l’électronique que dans le monde du papier où il n’existe pas de robots chargés d’analyser des bases de données documentaires », rappelle Eric Blat, directeur marketing et alliances chez Numen.

Olivier Waldin

« La suppression d’un document semble être une démarche simple, encore faut-il savoir où il est et être en capacité de le supprimer de manière définitive, sans parler des documents qui sont encore sous leur forme papier. Le RGPD impose de prendre en compte tout le flux documentaire, y compris les cartons d’archives qui contiennent des données personnelles », souligne de son côté Olivier Waldin, directeur transformation digitale chez Xelians.

L’ampleur du chantier peut être conséquente, alors que dans une majorité d’entreprises il revient au seul DPO (Data Protection Officer, délégué à la protection des données), ou à la personne désignée pour remplir a minima ce rôle, d’identifier les données personnelles, de les trier et de les sécuriser. Communiquer, appliquer une feuille de route et piloter une gouvernance résume la conduite des entreprises face aux enjeux du RGPD.

Le records management sert la gouvernance de l’information

C’est précisément la gouvernance de l’information qui détermine comment les données peuvent être inventoriées, traitées et tracées. C’est elle qui ouvre la voie de la transition numérique, formalise les nouveaux usages et identifie les nouveaux usagers. Toute entreprise sait aujourd’hui que la numérisation de ses documents papier permet une meilleure accessibilité à leur contenu et accroît, par l’emploi de systèmes conformes, la sécurité de la conservation de l’information.

De fait, une bonne gouvernance de l’information implique une maîtrise du records management, autrement dit la gestion des documents d’activités et de leurs métadonnées. À travers le records management, les entreprises orchestrent la conservation de leurs documents stratégiques et probants, en vue de pouvoir les réutiliser ou les produire facilement. Un tel système repose sur une GED et un SAE (Système d’archivage électronique) certifiés par des normes dont l’élément central est l’ISO 15 489. Parmi les composants essentiels de la solution, des fonctions permettent de déposer et de classer les documents puis de les rechercher et les consulter. En permettant de localiser des contenus précis, le records management est un précieux allié du RGPD.

Mais comme il ne prend pas en compte tous les actifs documentaires, on ne peut pas s’en remettre à lui pour assurer la confidentialité de toutes les données. La multiplicité des canaux par lesquels transitent les données dans l’entreprise ne facilite pas l’identification des documents lorsqu’il faut rendre anonymes les données ou limiter leur conservation. Une mauvaise gestion des postes de travail constitue un autre obstacle à la visibilité de ces données. Une récente étude de Tanium souligne les investissements réalisés par les entreprises depuis l’entrée en vigueur du RGPD : elles sont 85 % à avoir embauché de nouveaux talents pour assurer leur conformité et 86 % à avoir investi dans la formation pour accompagner leurs employés dans cette démarche. 80 % ont fait l’acquisition de nouveaux logiciels ou services pour les aider à localiser leurs données et près de 77 % d’entre elles se sont équipées de nouvelles solutions pour classer leurs données. Mais 65 % des responsables ont déclaré découvrir de nouveaux postes de travail ou serveurs dans leur système d’information chaque semaine.

Le RGPD ne se soucie pas des canaux diffusion

S’il est impossible de traiter des données dont on ne connaît pas l’emplacement de stockage, il est difficile de s’attaquer aux données non structurées dont on ne connaît pas, par définition, la nature exacte. L’e-mail est une bonne illustration de ce problème.

Benoît De Nayer

« Le RGPD ne parle pas d’e-mail. Il ne se soucie pas de canaux, puisqu’il ne parle que des traitements des données personnelles. Mais pour envoyer des e-mails, il faut des données. C’est là que le RGPD, sorti par la porte, revient par la fenêtre. Il n’y a pas ainsi de campagne e-mail sans traiter des données personnelles », indique Benoît De Nayer, founder et Chief Product Officer chez Actito.

Alors qu’une adresse mail ne constitue pas une donnée personnelle et que son traitement n’est pas soumis au RGPD, il en va autrement du contenu des messages et des pièces jointes. « Comme pour le courrier, on ne peut pas certifier de façon totalement globale la présence ou non de données personnelles dans un mail. Pour le savoir, il faut analyser le contenu du mail et les pièces jointes. Soit en considérant la typologie des documents : dans un contrat, par exemple, on sait que certaines données sont envoyées a priori volontairement. Soit en se servant de mécaniques d’extraction pour faire de la recherche de données personnelles. Il s’agit alors d’une surcouche au traitement, qui n’est pas nécessairement lié à l’archivage car, du point de vue du RGPD, les mails non archivés sont bien plus dangereux que ceux qui le sont », explique Eric Blat.

A l’obligation de préserver les données sensibles, celles que pourrait contenir par exemple un bulletin de paie électronique envoyé par mail, s’ajoute la notion de consentement qui peut être interprétée très largement. Sans parler de la jurisprudence qui peut brouiller les cartes : durant l’été 2019, le tribunal de grande instance de Paris a refusé d’ordonner au FAI Orange de communiquer des données sur des personnes soupçonnées de mettre en ligne des œuvres de façon illégale, estimant que la collecte et le traitement de leurs adresses IP contrevenaient au RGPD.

Philippe Gilbert

« L’e-mail étant une correspondance professionnelle, l’entreprise a l’obligation de conserver les logs pendant un an. Les outils permettent simplement de dire que telle personne a reçu un message de X et a envoyé un message à Y, mais ces informations sont hors du RGPD car elles concernent le transport de données et non pas le contenu », ajoute Philippe Gilbert, PDG d’Alinto.

Une approche en trois étapes

Plus globalement, on met en avant chez le tiers archiveur Xelians une approche en 3 étapes pour aider le DPO à piloter la gouvernance de l’information et satisfaire aux exigences légales. La première préconise la dématérialisation de la totalité du flux documentaire pour centraliser toute l’information et être ainsi en mesure d’optimiser son traitement sous le prisme du RGPD.

La seconde s’appuie sur les vertus de la GED pour organiser les flux documentaires. Il s’agit en particulier d’établir les droits d’accès et de suivre à la trace toute modification d’un document et de ses données, mais aussi de garantir le droit à l’oubli d’un collaborateur, d’un client ou d’un internaute. Sous-jacent, un référentiel associé aux activités de l’entreprise détaille pour chaque métier des typologies documentaires auxquelles il associe des règles de durée de conservation qui créent automatiquement des alertes dans le temps. Quand la mécanique est en place, on passe à la troisième étape : l’archivage électronique. A ce stade, avec tous les volets sécuritaires à considérer, y compris les fuites et le vol de données, un SAE respectueux des normes en vigueur s’impose.

On se rapproche du records management, mais la maîtrise du cycle de vie des documents et des données que fournit une telle organisation a un coût pour l’entreprise, d’autant plus que son ROI est difficile à démontrer à court terme quand on démarre le projet dans sa globalité. Pour Olivier Waldin, les gains se trouvent ailleurs : « la notoriété, l’empathie pour le consommateur final qui renforce la relation client et les économies réalisées par l’absence d’amendes ».

Les éditeurs multiplient toutefois des solutions dédiées prêtes à l’emploi, à l’image de RGPD 360 de Spigraph qui combine offre technique et services d’accompagnement avec l’ambition de simplifier la mise en œuvre des projets.