Adopté par le Parlement Européen en avril 2016, le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur le 25 mai 2018. En France, sa mise en oeuvre (et les contrôles associés) est placée sous l’autorité de la CNIL.
Son impact s’annonce important sur la plupart des organisations, mais aussi sur les prestataires d’archivage électronique.
La mise en oeuvre en 2018 du RGPD dans l’ensemble des Etats membres de l’Union Européenne poursuit plusieurs objectifs, notamment celui d’uniformiser la réglementation au niveau européen, de renforcer le droit des personnes, de responsabiliser davantage les entreprises en développant l’auto-contrôle et de pousser au respect des règles en durcissant les sanctions.
Contrôle renforcé
En effet, le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du e-commerce, du cloud, du big data, etc. Le RGPD entend ainsi renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.
Qui est concerné ?
Le RGPD touche pratiquement toutes les organisations. En effet, le règlement s’applique à toutes les organisations qui collectent ou traitent des données à caractère personnel sur les résidents de l’Union Européenne, soit 99% des organisations européennes mais aussi bon nombre d’organisations (entreprises telles que les grands acteurs du web) hors U.E.
Une donnée à caractère personnel, c’est quoi ?
Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, photo, e-mail, adresse, adresse IP, n° de téléphone, date de naissance etc.).
Double impact
L’onde de choc du RGPD aura un impact majeur sur tous les prestataires de stockage de données mais aussi les acteurs en charge de l’archivage électronique. En effet, les documents électroniques archivés (contrats, bulletins de souscription, crédits conso, documents RH etc.) peuvent contenir des données à caractère personnel et lorsque l’archivage des documents d’une organisation (le responsable du traitement au sens de la législation) est confié à prestataire d’archivage (le sous-traitant), le responsable du fichier/traitement a la responsabilité de s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et de confidentialité des données qui lui sont confiées. Celui-ci devra donc fournir au responsable du traitement les éléments lui permettant, qu’il s’agisse d’une entreprise, d’une entité ou d’une collectivité de faire face aux différentes contraintes et formalités imposées par le règlement.
Privacy by design et Accountability
Le RGPD modifie également le management de la conformité en introduisant deux principes : le Privacy by design (qui doit s’appliquer à la plateforme d’archivage du prestataire : connexion sécurisée avec le client, non-analyse des documents entrant – même pour indexation -, garantie d’intégrité pendant la conservation, contrôle des accès avec gestion des droits, sécurisation de la plateforme, etc.) et l’Accountability, principe selon lequel le responsable du traitement doit démontrer sa conformité. Il doit ainsi mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est réalisé dans le respect du règlement. Ce qui va de la tenue de la documentation, à la mise en œuvre des obligations en matière de sécurité, en passant par la réalisation d’une analyse d’impact et la tenue d’un registre des traitements.
La charge de la preuve
Il s’agit là d’une charge de la preuve qui oblige le responsable du traitement (entreprise, ou collectivité publique) à documenter l’ensemble des actions de sa politique de protection des données de manière à pouvoir démontrer aux autorités de contrôle ou aux personnes concernées comment il s’y tient. Ainsi, l’entreprise/entité/collectivité qui fait appel à un prestataire d’archivage (responsable du traitement) devra prendre elle-même toutes les mesures, techniques et organisationnelles, nécessaires à la conformité au règlement, et devra être capable de le démontrer à tout moment grâce à la tenue d’un registre obligatoire. Le prestataire d’archivage devra, pour sa part, fournir à son client (responsable du traitement) les réponses et éléments exigibles, notamment le registre des traitements et les contrats (ou conditions générales) prévoyant des clauses relatives à la protection des données personnelles éventuellement contenus dans les documents archivés. Attention cependant au discours commercial de certains car, à ce jour, aucune certification officielle de conformité au RGPD n’existe en France.
Archivage électronique : 3 points clés pour la conformité au RGPD
Pour être en conformité avec les principes en matière de protection des données personnelles (certains étant antérieurs à l’adoption du règlement) et le RGPD, une conservation électronique des documents « élaborée » est primordiale, car les documents archivés peuvent contenir des données personnelles (notamment pour les entreprises ayant un modèle B2C). Or les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte. L’archivage électronique se doit donc d’être :
• sélectif. Lorsqu’un texte prévoit une obligation d’archivage, il faut veiller à archiver uniquement les données utiles au respect de l’obligation prévue, ou pour faire valoir un droit en justice.
• limité dans le temps. Les données nécessaires pour répondre à une obligation légale ou réglementaire doivent être archivées pour la durée de l’obligation concernée et doivent être supprimées une fois cette durée écoulée. Lorsqu’il s’agit de documents ne faisant pas l’objet d’obligation de conservation, mais destinés à faire valoir un droit en justice, ils doivent être détruit à l’issue de la durée de prescription.
• sécurisé. Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées contre tout type d’événements (destruction, perte, altération, diffusion ou accès non autorisé, etc.).
Montrer patte blanche
Montrer aLorsque l’archivage est confié à un sous-traitant (le tiers-archiveur), le responsable du fichier/traitement doit donc, comme indiqué plus haut, s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et garantit la confidentialité (et la localisation) des données qui lui sont confiées. La certification ISO 27001 qui concerne la sécurité des systèmes informatiques est un bon début. Á cela, s’ajoutent les normes liées à la conception et à l’exploitation du Système d’Archivage Electronique utilisé (ISO 14641-1 et Afnor NF Z 42-013) dont le référentiel de certification NF461 (commun à ces 2 normes) apporte des réponses à la gestion du cycle de vie des archives et la traçabilité de toutes les actions associées.
Le SAE, l’atout maître de la conformité au RGPD
Un SAE certifié NF 461 constitue ainsi une aide précieuse à la conformité. Il permet, en effet, d’apporter des réponses fiables quant à l’intégrité des documents (non altération et non destruction intempestive), à leur pérennité et à leur lisibilité dans le temps (contrôle et validation des formats afin de garantir la possibilité de relecture par le propriétaire au cas où il devrait produire un document en justice…), ainsi qu’à leur traçabilité et aux processus de gestion du cycle de vie des archives (gestion du respect des durées de conservation, processus de destruction en fin de durée de conservation, fourniture d’attestations de destruction permettant à l’entreprise responsable du fichier/traitement de justifier de la destruction en cas de contrôle des autorités compétentes – CNIL, etc.).