in

Les pratiques de gestion des documents papier de salariés même bien intentionnés sont-elles une menace pour la protection des données et de la vie privée ? Par Edward Hladky, Président Directeur Général d’Iron Mountain France

La vulnérabilité du papier couplée à la négligence des salariés peut générer de nombreux cas de compromission de données

Fin 2015, le Parlement et le Conseil européens se sont accordés sur la proposition de la Commission européenne d’un règlement général sur la protection des données ou GDPR (General Data Protection Regulation). Ces nouvelles règles, qui entreront en vigueur début 2018, sont une refonte en profondeur des règles de protection des données et de la vie privée définies aux tout débuts d’Internet par la Directive de protection des données. Les entreprises du monde entier qui manipulent des données d’origine européenne seront concernées.

Mais ces réformes, qui ont vocation à prendre en compte les nouveaux besoins de l’économie numérique et à défendre les droits de protection de la vie privée de l’individu, pourraient être difficiles à appliquer à l’information au format papier, sans parler des salariés qui impriment et manipulent des documents papier.

Dans l’actuel contexte des affaires de plus en plus connecté, les entreprises peuvent sous-estimer l’ampleur du défi. Tout d’abord, elles ne mesurent pas nécessairement les volumes d’impression produits au quotidien par les salariés. Selon l’AIIM (Association of Information and Image Management), 40% des employés de bureau préfèrent toujours archiver les informations les plus importantes au format papier. Et alors que 40% des organisations déclarent que plus de la moitié de leurs factures sont émises au format électronique, 35% reconnaissent qu’elles continuent d’en imprimer la plupart.

Ensuite, alors que beaucoup sont dotées de processus robustes de gestion de l’information, elles ne vérifient pas toutes leur efficacité. Lors d’une étude menée avec PwC, nous avons découvert que 79% des entreprises de taille moyenne en Europe et en Amérique du Nord déclarent avoir un inventaire détaillé des informations qu’elles détiennent et où elles sont archivées, mais près de la moitié ne prennent pas la peine de vérifier si cet inventaire est juste.

Les humains n’adoptent pas toujours le comportement recommandé vis-à-vis des processus. Les gens oublient, ignorent ou contournent les consignes qu’ils jugent trop compliquées ou restrictives ; et leur façon de traiter les documents papier peut réduire à néant les meilleures intentions de l’équipe de gouvernance de l’information.

¼ des entreprises n’encadrent pas l’archivage des documents papier

Dans les entreprises qui n’ont pas mis en place de processus, les risques sont encore majorés. Les recherches d’Iron Mountain montrent que près d’un quart (22%) des entreprises n’encadrent pas l’archivage des documents papier et que les salariés sont libres de procéder comme ils l’entendent. Aucun délégué ou service n’est alors désigné comme responsable des conditions de stockage de l’information si bien que nul ne supervise la sécurité afférente.

S’ajoute à cela le fait qu’un document papier existe souvent en double ou triple exemplaire.Différentes personnes peuvent en faire des copies, les imprimer et sortir très facilement des documents de l’entreprise. C’est souvent le cas de salariés zélés qui emportent du travail à la maison ou de collaborateurs nouveaux ou intérimaires qui ignorent comment reconnaître des informations confidentielles ou sensibles. Certains sont aussi trop surchargés de travail pour prendre le temps de gérer l’information correctement ; et parfois, c’est le manque de bon sens ou d’intérêt qui explique que l’information n’est pas traitée comme elle le devrait.

Une organisation aura beau avoir les meilleures intentions d’application des règles du GDPR, vis-à-vis du « droit à l’oubli » notamment, il est fort possible qu’elle se rende compte tardivement que des copies existent, oubliées par des salariés dans un tiroir ou dans leur bureau à domicile.

La vulnérabilité du papier couplée à la négligence des salariés donne lieu à de nombreux cas de compromission de données. Or avec les réformes du GDPR, les sanctions en cas de violation seront nettement plus lourdes. Le rapport annuel de PwC sur l’observation des règles de sécurité et de confidentialité apporte un éclairage fascinant sur les multiples pratiques à risque des salariés concernant les données sur papier.

Parmi les incidents recensés en 2014, dernière année couverte à ce jour, on a parlé d’un carton contenant des informations sur des meurtres et des cas d’abus sur enfants oublié dans un précédent poste de police alors que l’agent avait été muté ailleurs ; d’un travailleur social qui a également perdu le dossier papier d’une personne avec des renseignements personnels sensibles, simplement oublié sur le toit de sa voiture avant de démarrer ; d’un agent immobilier qui s’est débarrassé des justificatifs de déclaration fiscale et de la copie de passeport d’un client dans une pochette transparente sur le trottoir…

La nécessité de former et communiquer

Nous recommandons aux entreprises de compléter leurs règles et procédures de gestion de l’information par des sessions régulières de formation des salariés et des communications afin de sensibiliser le personnel à gérer l’information avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à-vis de l’information.

Pour que les mesures de protection des données soient concluantes, chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter. Les entreprises doivent rendre impossible, sinon difficile pour des individus non autorisés, d’accéder à des documents comportant des données personnelles ou d’en faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de l’information à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.

Beaucoup conservent toujours des archives papier qui s’étendent sur plusieurs décennies. Parmi ces énormes volumes d’information, il y a probablement des données personnelles que l’entreprise doit légalement conserver, mais il y a aussi sûrement des informations dont elle aurait pu et dû se séparer depuis longtemps.   A l’aune du nouveau règlement GDPR, il est plus important que jamais de savoir ce que l’on a, où l’information se trouve, qui la détient, comment la consulter au besoin et quand la détruire, totalement et de façon définitive, où qu’elle soit.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.