in

RGPD : Les droits des citoyens qui lient les entreprises – Klaus Shulz, Responsable marketing produit senior PFU

Il existe d’innombrables cas dans lesquels l’adoption des nouvelles technologies est dû à l’entrée en vigueur d’un nouveau texte réglementaire. Le règlement général sur la protection des données (RGPD) ne fait pas exception.

Pour garantir le succès d’une nouvelle législation, les gouvernements doivent s’adresser aux deux principaux groupes d’acteurs concernés par l’affaire. D’une part, les citoyens et, d’autre part, les entreprises qui gèrent les données ; ces dernières doivent garantir aux utilisateurs qu’elles se conforment à la nouvelle directive. Bien-sûr, dans le contexte actuel, prestataires et fournisseurs de solutions IT en offrant un soutien technologique, sont exposés en première ligne.

Avantages / Droits pour l’utilisateur ?

Le règlement pose des bases fondamentales : « vos » données sont « les vôtres » et vous avez le droit de « savoir » ce qui en est fait, si elles sont rectifiées ou supprimées (le « droit à la suppression »).

Implications pour les entreprises

Bien que tous ces droits semblent relever du bon sens, toutes les entreprises ne sont pas prêtes à relever ce grand défi. Alors que la technologie pour se conformer à la loi soit disponible, le problème majeur se cristallise autour des données personnelles qui peuvent circuler entre les organisations de manière transversale et ce, pas toujours de manière contrôlée ou structurée. Le plus inquiétant est que la culture interne profondément ancrée dans de nombreuses entreprises change difficilement et ce, d’autant plus que toutes n’ont pas suffisamment conscience des conséquences liées à l’utilisation abusive des données.

Le rôle des entreprises IT

Le risque d’amendes (jusqu’à 4% du chiffre d’affaires d’une entreprise) lié au manque de connaissances opérationnelles – concrètement par où commencer ? – a conduit certaines entreprises informatiques à opérer du « RGPD washing ». De toute évidence, déployer un pare-feu, un antivirus ou toute autre mesure permettant de prendre en charge la gestion de la sécurité des données ne doit pas pour détourner l’attention du contenu lui-même.

Nous devons prêter attention aux droits des citoyens à comprendre la complexité que de nombreuses organisations rencontrent dans leur adaptation à la loi en allant largement plus loin que l’affirmation de sécuriser les serveurs. Pour pouvoir garantir les droits des utilisateurs, il est nécessaire d’établir des processus qui fournissent des connaissances et un contrôle sur les informations que les entreprises détiennent sur leurs clients : qui peut y accéder, pour quel processus et qui peut les supprimer ?

La gestion électronique des documents existe depuis plus de 25 ans dans le but d’assurer un contrôle inter-organisationnel de la documentation dans les entreprises. Aujourd’hui ce qui est important n’est pas tant le document lui-même que l’information qu’il contient. Dans ce contexte, il faut être en mesure de décider du processus, en indiquant le type d’information que l’entreprise détient, si elle est accessible, quels sont les champs et contenus disponibles et surtout, pour qui.

Aujourd’hui, au 21e SIÈCLE l’information sur papier constitue encore trop souvent la base des processus métier, sans parler de la photocopieuse qui est encore utilisée pour faire des copies « au cas où ». Il existe également de nombreuses entreprises qui possèdent de grandes quantités de fichiers numérisés sans aucune information sur le contenu de ces archives.

Dans ce contexte très courant, nous sommes confrontés à des défis majeurs tels que de savoir comment est-il possible de garantir le droit d’un citoyen de supprimer ses données qui ne sont pas sous contrôle. Comment justifier qu’il ait confié ses données pour un usage spécifique ?

Papier et GDPR ?

Beaucoup de métiers travaillent encore à partir de processus papier. Le traitement des informations sur papier constitue un risque en matière de RGPD qui pourraient être évité, soit en les numérisant à la source, soit en les numérisant au plus près de leur origine.

Risque 1 : tout document contient de l’information potentiellement critique

Un C.V, un arrêt maladie, une adresse, un numéro de sécu, sont autant de données qui doivent être contrôlées mais figurant néanmoins sur de nombreux documents commerciaux. Répertorier manuellement les informations et classer les documents par niveau de confidentialité apparait comme une solution coûteuse si elle n’est pas déployée par des professionnels qualifiés et / ou des moyens automatiques.

Dans cette perspective, les technologies de numérisation se positionnent comme la bonne alternative. La numérisation en amont avec le processus OCR et/ou l’indexation permettra aux entreprises de référencer efficacement les informations. Il n’est pas nécessaire que l’entreprise stocke les informations sur papier pouvant être retournées à l’utilisateur.

Risque 2 : Qui a accès ?

Avant l’arrivée des smartphones, la photocopieuse a sans doute le plus facilité la fuite de données. Contrôler l’accès à l’information sur papier n’est ni facile, ni économique, la plupart des entreprises ne sont pas en mesure de le maitriser.

C’est une réalité qui demeure il reste difficile de contrôler qui accède à l’information et/ou copie de celle-ci. Il est très commun, précisément en raison des habitudes de travail de beaucoup, de trouver des bureaux remplis de documentation écrite contenant pourtant des informations critiques.

Les systèmes de gestion documentaire permettent de gérer ce type de problématique en permettant la traçabilité détaillée des accès. Il est possible de contrôler quel type de données est accessible et de restreindre les droits en fonction des utilisateurs. De toute évidence, la première étape consiste à numériser l’information dès que possible, suivie de son indexation et l’association de métadonnées pour contrôler les accès. De plus, les logiciels inclus dans les scanners professionnels, permettent une meilleure indexation des informations, étape essentielle pour contrôler à terme les accès.

Risque 3 : Comment récupérer l’information ?

Le droit à l’oubli implique de pouvoir consulter ses données. Le papier par nature est souvent stocké par date d’arrivée et non par contenu. L’archivage de la documentation papier devient alors problématique pour les entreprises qui souhaitent se conformer au RGPD.

Numériser les documents permet de les localiser aisément et surtout de les conserver en lieu sûr. Par conséquent, s’il faut supprimer un fichier en particulier, il est retrouvé immédiatement et une preuve de sa destruction établie à un coût faible pour l’entreprise.

La dernière génération de scanners intelligents garantit l’intégrité que ce qui est numérisé et de ce qui est archivé. En outre, des logiciels spécifiques permettent d’indexer et cataloguer les données conformément au RGPD. La gestion de la documentation écrite et le respect scrupuleux du RGPD peuvent être compliqués. Les organisations doivent rechercher des mécanismes pour que l’information arrive nativement au format numérique ; si toutefois, elle est reçue au format papier, il faut la numériser immédiatement et renvoyer les originaux à l’utilisateur pour éviter tous risques. Les entreprises en améliorant ainsi à terme leurs processus métier libérés du papier, tireront un avantage évidemment de cette nouvelle réglementation.

Klaus Shulz, Responsable marketing produit senior PFU

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.