Le RGPD conduit les entreprises à devoir justifier l’existence de données à caractère personnel dans leur système d’information, au sens large, qu’il s’agisse des applications gérées directement par la DSI ou sous-traitées, ou qu’il s’agisse des serveurs bureautiques ou de messagerie (où il y a souvent autant à boire qu’à manger…), en incluant aussi les documents papiers et audiovisuels gérés par l’entreprise.
Qualifier les données
Pour justifier de l’existence des données à caractère personnel, il faut d’abord identifier ces données, les distinguer de celles qui ne présentent pas de caractère personnel, les qualifier en termes de traitement, de contexte, de personnes concernées, des destinataires, de risques.
En effet, comment attribuer une durée de conservation et une règle de sécurité à telle ou telle donnée dans un système d’information, sans désigner concrètement l’objet informationnel (fichier, document, enregistrement) auquel cette donnée appartient? Une donnée isolée – déconnectée d’un traitement et dissociée des autres données qui tracent avec elle, solidairement, une action réalisée tel jour à tel endroit par tel personne – une donnée isolée donc ne signifie rien en soi et ne saurait recevoir valablement une durée de conservation et une règle de sécurité. Par exemple, la question « Dois-je conserver cette adresse e-mail au regard du RGPD? » n’a guère de sens. Une adresse mail ne peut être gérée au regard du RGPD (ou au regard de l’archivage managérial) si on ne sait pas à qui elle se rapporte, d’où elle sort, et à quoi elle est susceptible de servir.
Pour qualifier les données, il y a deux approches:
- interroger a posteriori les données qui existent pour voir d’où elles proviennent (engagement contractuel, gestion administrative, activité légitime..);
- partir – a priori donc – de la finalité pour décrire quelles données sont nécessaires pour atteindre cette stricte finalité.
Dans les deux cas, on aura deux lots de données: celles dont l’existence et la conservation sécurisée sont justifiées, et les autres, les « non-données » en quelque sorte.
Finalités multiples
Le Règlement général pour la protection des données personnelles insiste, à bon droit, sur la finalité qui doit permettre de justifier la conservation.
Mais comment choisir la bonne durée pour les données qui relèvent de plusieurs finalités?
On met le plus souvent en avant les réponses juridiques et informatiques à cette question. Il existe une réponse complémentaire qui s’appuie sur la diplomatique (analyse de forme et de la validation des traces) et sur l’archivistique (gestion des volumes d’informations engageantes). Cette réponse consiste à identifier des objets de données cohérents et homogènes pour chaque finalité ( c’est-à-dire chaque risque), et retenir le risque le plus long en termes de conservation, en ajustant la durée de l’accès à l’information pour les utilisateurs impliqués dans les finalités plus courtes.
C’est là que l’étoile Arcateg aide à y voir plus clair. Ce support visuel et le raisonnement associé facilitent la critique et la mise en perspective des données liées à plusieurs finalités dans la durée. Il s’agit bien sûr de trouver le meilleur correctif au traitement de l’existant non conforme. Il s’agit aussi, et peut-être surtout, de penser « RGPD » pour mieux produire les données et mettre en place une gouvernance des données by design, avec une composante informationnelle forte.
L’étoile Arcateg peut être utilisée avec profit pour les structurées comme pour les données non structurées. Les données non structurées sont le plus souvent produites sans norme d’écriture et sans contrôle de l’agrégation des données; elles sont organisées dans l’intérêt immédiat de l’utilisateur, c’est-à-dire de manière thématique dans un but de recherche de contenu (avoir toute l’information sur une question, un produit, un lieu ou une personne, etc.) sans prise en compte de l’hétérogénéité de la valeur de ces données dans la durée. Quant aux données structurées dans des bases de données, la question de la durée de conservation des données dans l’intérêt de l’entreprise est régulièrement négligée par les éditeurs de solutions; la fonctionnalité la plus courante sur ce sujet est le masquage des métadonnées, le déréférencement, afin que les contenus n’apparaissent plus dans les résultats de recherche mais, dans le contexte de la cybercriminalité, ceci est insuffisant.
Visualiser les données
Depuis un an, on observe que la principale difficulté des entreprises, dans la mise en œuvre du RGPD, réside dans le manque de visibilité des enjeux et du périmètre d’application. Le recensement des traitements et des données produit trop souvent des listes analytiques ou des tableaux très détaillés que l’on regarde en se disant: so what? Par quel bout prendre le problème?
L’étoile Arcateg offre une grille d’analyse visuelle basée sur l’identification des interlocuteurs de l’entreprise, de trois niveaux de risques et de quatre types de durées de conservation. Le maniement de l’étoile, guidé par le modèle Arcateg (archivage par catégorie) qui définit les 100 valeurs, universelles et pérennes, que peuvent avoir les données de l’entreprise.
L’objectif est de donner à voir les enjeux du RGPD dans VOTRE entreprise, avec ce qu’elle a de commun avec toutes les entreprises et aussi ce qu’elle a de spécifique. Sur la base de cette cartographie, la production du fameux « registre des traitements » (article 30 du RGPD) sera plus facile et plus efficiente.
C’est le sens de la journée du 7 mars 2019, proposée par Archive17. En savoir plus.