Le règlement général européen sur la protection des données (GDPR), qui entrera en vigueur en 2018, pourrait être difficile à appliquer à l’information au format papier. Voici quelques conseils du spécialiste des services de conservation et de gestion de l’information pour faciliter la tâche des entreprises qui utilisent encore beaucoup les documents papier.
Pouvoir retrouver l’information nécessaire
Avant de prétendre « expurger » les informations personnelles de documents ou les supprimer, vous devez pouvoir les retrouver. Les réformes vont instaurer le « droit à l’oubli » des consommateurs dans la loi européenne, ce qui obligera les entreprises à donner suite aux demandes de suppression des informations personnelles. Mais s’il peut être relativement simple de supprimer des données électroniques d’un dossier ou d’une base de données, il apparaît plus compliqué d’intervenir sur des copies papier. Les recherches d’Iron Mountain montrent que près d’un quart (22 %) des entreprises n’encadrent pas l’archivage des documents papier et que les salariés sont libres de procéder comme ils l’entendent. Dans de nombreuses sociétés, nul délégué ou service n’est désigné comme responsable des conditions de stockage de l’information. Et même si l’information peut être localisée, des difficultés demeurent pour modifier les documents, souvent à la main.
Iron Mountain suggère aux entreprises d’identifier les services et domaines fonctionnels les plus enclins à produire et archiver des dossiers contenant des informations personnelles et de les amener en priorité à numériser les dossiers et à stocker les documents dans des entrepôts distants sécurisés. Les organisations ont aussi intérêt à mettre en place un système clair de classement et d’identification des archives papier, avec des étiquettes et des métadonnées apposées sur les boîtes et les cartons, indiquant clairement quels sont les droits d’accès et les obligations à respecter.
Prendre conscience qu’un document papier existe souvent en double ou triple exemplaire
L’instauration de processus clairs de gestion de l’information, depuis la création initiale jusqu’à la destruction conforme, ne suffit pas toujours. Un document papier peut très bien échapper aux règles les plus strictes de classification et de stockage de l’information : reproduit ou imprimé, il peut être laissé négligemment à la vue de tous, ou jeté, en dehors des règles de sécurité ou encore extrait d’un bâtiment dont il n’aurait pas dû sortir. Le rapport 2015 de PwC sur l’observation des règles de sécurité et de confidentialité révèle que de nombreux incidents de compromission de la sécurité des données en Europe, ayant entraîné des sanctions, étaient souvent dus à l’origine, à une erreur humaine de manipulation des documents papier. Par conséquent, une organisation aura beau avoir les meilleures intentions vis-à-vis d’une demande de suppression de données, il est fort possible que des copies existent, oubliées par des salariés dans un tiroir de bureau ou même à leur domicile.
Iron Mountain recommande aux entreprises de compléter leurs règles et procédures de gestion de l’information par des sessions régulières de formation des salariés et des actions de communication, afin de sensibiliser le personnel à gérer l’information avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à-vis de l’information. Chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter.
Mettre en place des principes de respect de la vie privée dès la conception
Le GDPR appelle à penser confidentialité en amont, dans la manière dont l’information est produite, gérée et détruite. Pour les documents papier, cela concerne les processus de manipulation de l’information. Iron Mountain recommande aux entreprises de rendre impossible, sinon difficile pour des individus non autorisés, d’accéder à des documents comportant des données personnelles ou d’en faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de l’information à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.
Certaines règles ne pourront pas s’appliquer
Certaines clauses du GDPR, concernant la portabilité des données notamment, seront difficiles à appliquer aux informations au format papier. Parfois, cette inapplicabilité est un avantage. Par exemple, l’instauration de mesures robustes de cyber-sécurité ne s’applique pas au papier, car la crainte de piratage n’existe pas.
« La multitude des recommandations que l’on peut lire pour aider les entreprises à se préparer à la nouvelle législation concernent toutes ou presque la sécurité IT et les données électroniques. Ignorez le papier à vos risques et périls », fait constater Edward Hladky, président directeur général d’Iron Mountain France. « Les entreprises continuent de produire et de traiter des documents papier comportant des informations personnelles. Beaucoup conservent toujours des archives papier qui s’étendent sur plusieurs décennies. Cet héritage risque de poser problème aux entreprises qui ne sont plus sûres des informations qu’elles ont en leur possession. Il est donc plus important que jamais de savoir ce que l’on a, où l’information se trouve et comment la consulter si besoin. »