Arkhineo

cadenas avec RGPD écrit dessus

Le règlement RGPD en archivage électronique : 5 questions à se poser

Dans un contexte de digitalisation accrue, la gouvernance de l’information est clé. Elle dLe Règlement Général sur la Protection des Données ou RGPD adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018 est une avancée législative fondamentale pour les résidents européens. Il protège les données personnelles des individus dans toute l’Union Européenne et prévient tout abus. Quelles sont ses exigences ? Arkhineo répond à 5 questions concernant le règlement RGPD en archivage électronique.

Quelles sont les entreprises concernées par le RGPD ?

Le règlement RGPD s’applique à toutes les organisations effectuant un traitement de données personnelles, qu’elles soient :

• établies sur le territoire de l’Union européenne
• ou installées hors UE et dont l’activité s’exerce sur le marché européen.

Il s’adresse à toutes les entreprises situées sur le territoire de l’Union européenne qui traitent ou stockent des données à caractère personnel et cela, quelle que soit leur taille, leur secteur d’activité ou leur chiffre d’affaires. Ainsi, Le RGPD concerne leurs sous-traitants.

RGPD : que mettre en place pour être conforme ?

L’objectif du règlement RGPD est la protection de la vie privée des citoyens. Le traitement des données personnelles peut faire l’objet d’une collecte, d’un stockage ou d’une utilisation. Voici donc quelques actions simples à mettre en place pour assurer sa conformité au RGPD :

• collecter uniquement les données pertinentes et indispensables pour atteindre un objectif défini.
• créer un registre pour recenser les données collectées et vérifier leur conformité avec le RGPD.
• veiller à informer clairement les personnes concernées.
• sécuriser les données collectées et stockées en mettant en place des mesures de sécurité.
• identifier et gérer les risques que représentent ces données (en quantité et en caractère) afin de prendre les mesures de sécurité adaptées.
• respecter les durées de conservation légales.

Non-conformité au RGPD : quelles sanctions ?

Tous les organismes traitant des données à caractère personnel sont soumis aux obligations du RGPD. La CNIL a la possibilité de les auditer et les contrôler à tout moment. L’objectif est notamment de vérifier leur conformité au règlement.
En cas de non-conformité, l’autorité de contrôle ordonne à l’organisme en question la mise en conformité avec des amendes administratives pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Les sanctions prononcées sont communiquées sur le site de la CNIL.

Le règlement RGPD en archivage électronique : comment justifier les durées de conservation ?

Le RGPD précise que les données personnelles ne peuvent être conservées de façon indéfinie. Chaque type de document dispose d’une durée de conservation légale. Une fois cet objectif atteint (la finalité du traitement), alors ces données doivent être supprimées ou anonymisées.

En cas d’archivage de documents faisant l’objet d’obligations légales de conservation, ces documents (et les données à caractères personnel contenus dans ceux-ci) ne peuvent être conservés au-delà de la durée légale prévue ou du délai de prescription.

Ainsi, afin d’être en conformité totale avec le RGPD, Arkhineo vous permet, lors de la création des espaces dans le SAE et de la définition des durées de conservation associés, de les justifier en précisant l’article de loi du code concerné (la base légale). Cette justification est tracée de manière intègre dans le journal de cycle de vie des archives (JCVA), au même titre que la durée de conservation.

Archivage électronique : peut-on cartographier les données à caractère personnel ?

La cartographie des données personnelles est une fonctionnalité disponible sur le portail MyArkhineo. Elle permet (par exemple dans le cadre d’une étude d’impact) de connaître le nombre d’archives contenant des données à caractère personnel et le type des données concernées.

Pour ce faire, lors de la configuration des sections et des compartiments, le service support peut ajouter une liste de données à caractère personnel en métadonnées administratives. Ces métadonnées se présentent sous forme de case à cocher. Ainsi lorsque vous déposerez une archive, celle-ci sera estampillée comme contenant les types de données à caractère personnel configurés pour l’espace.

#conformiteRGPD #RGPD #SAE #arkhineo