Les sanctions jouent un rôle important dans la prise en compte des bonnes pratiques de protection des données à caractère personnel dans les entreprises. Cependant la peur du gendarme suscite des projets divers et des réactions parfois radicales qui me font craindre que certaines entreprises ne jettent le bébé archive avec l’eau du bain des données.
L’exigence de durées de conservation motivées méconnue
Les sanctions infligées par la CNIL au cours de l’année qui vient de s’écouler portaient principalement sur des aspects de sécurité, liés à des failles techniques ou provenant de négligences humaines. Le grief de défaut de définition de durées de conservation des données est moins courant. L’exigence est pourtant bien présente dans le RGPD: les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5 et suivants).
La question des durées de conservation est toutefois mise en avant dans la récente délibération de la CNIL au sujet de la société SERGID (délibération 2019-005 du 28 mai 2019) qui, outre les failles de sécurité, conservait ses données sans limitation de durée, et surtout sans justification. La sanction et ses motifs sont présentés sur le site de la CNIL: « sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation ». Ce cas est d’autant plus intéressant qu’un bon nombre de manifestations et d’articles sur le RGPD ignorent complètement la question des durées de conservation motivées, et que l’attitude des entreprises face à cette exigence de définition de durées de conservation des données varie étonnamment d’une entreprise à l’autre.
Deux extrêmes
Contrairement aux aspects de sécurité informatique, l’attitude face aux exigences du RGPD en matière de détermination de durées de conservation des données n’est pas liée à la taille de l’entreprise ni au budget qu’elle investit dans son projet de mise en conformité; c’est plus une question de management, de sorte qu’on trouve toutes les attitudes possibles aussi bien parmi les grands groupes que dans les PME.
Le positionnement des entreprises en matière de définition de durées de conservation est en grande partie lié aux profils des DPO qui sont eux-mêmes très variés (droit, informatique, sécurité de l’information, management, documentation, archivistique…).
Les deux attitudes les plus extrêmes sont les suivantes:
- Certaines entreprises misent uniquement sur la technologie pour répondre à toutes les situations: les données sont centralisées dans un grand « lac de données » dont les accès sont puissamment contrôlés. Les outils de recherche de l’information permettent une gestion des données à un niveau très fin, avec cette idée que, si on maîtrise l’accès aux données, on peut facilement identifier les données dont « l’effacement » est demandé, soit par la personne concernée, soit par un métier, au moyen d’une fonction de déréférencement. Ce contrôle très poussé des accès laisse croire à ces entreprises qu’elles peuvent s’exonérer de définir des durées de conservation. Le stockage étant bon marché, pourquoi s’embêter à détruire des données si l’on peut simplement supprimer l’accès à ces données pour satisfaire à la demande d’effacement?
- A l’opposé, on trouve des entreprises où c’est la frilosité qui domine. Tétanisés à l’idée d’un contrôle de la CNIL qui mettraient en évidence un défaut de conformité, ils préfèrent devancer l’appel et détruire systématiquement toutes les données à caractère personnel (facilement les deux-tiers des données de l’entreprise) au bout de cinq ou dix ans, sans vraiment chercher à analyser les conséquences d’une suppression excessive de la mémoire de l’entreprise. Je ne parle pas ici de la mémoire historique (sur laquelle il y aurait aussi à dire car le texte du RGPD n’est pas si clair avec sa « conservation à des fins archivistiques dans l’intérêt public » de l’article 89 du Règlement) mais bien de la mémoire des métiers, du besoin par exemple de conserver certaines données clients pendant vingt ou trente ans (ou davantage) dans l’intérêt même du client, pour assurer un service après-vente ou apporter au client un conseil ou une expertise à partir de l’historique de ses achats (dans l’industrie du luxe, il n’est pas rare de devoir retracer l’histoire d’un objet ancien pour des raisons juridiques, sans même évoquer la dimension patrimoniale).
Or, la question n’est pas la conservation ou la destruction en soi, mais la justification de l’un ou de l’autre. Ce que demande le RGPD, c’est la licéité de la collecte et des traitements ultérieurs, ce qui s’exprime dans la notion finalité des données, centrale dans le règlement. L’enjeu est de s’arrêter à la case « finalité » et de savoir réagir pertinemment en cas de finalité plurielle, ce qui est assez fréquent. Si on interprète le RGPD comme l’obligation de détruire toutes les données de plus de dix ans ou de plus de cinq ans, et qu’on se focalise sur ce délai, on a tout faux. Supprimer les données sur un simple argument d’âge équivaut à jeter le bébé-archive avec l’eau du bain. Une erreur qui pourrait coûter cher à l’entreprise.
Conserver et détruire: une question d’archivage
Cette question de conserver ou détruire des données, c’est-à-dire 1) d’identifier ce qui doit être conservé ou détruit (quel document, quel groupe de données) et 2) énoncer le motif de la conservation ou de la destruction en lien avec la finalité du traitement, cette question donc est la question fondamentale de l’archivage managérial / records management.
Identifier l’information créée par l’entreprise ou en son nom et dont la non-disponibilité ou la divulgation inappropriée serait dommageable à l’entreprise, c’est le B-A-BA de l’archivage. C’est le quotidien d’un grand nombre de professionnels de l’archivage et de la conservation des documents engageants depuis plusieurs décennies, bien avant la création de la CNIL et le portage de l’enjeu de protection de la vie privée au niveau européen.
De ce point de vue, on peut en même temps se réjouir du fait que le RGPD énonce clairement l’exigence de définition de durées de conservation motivées, et déplorer que la version française n’évoque pas plus l’archivage que la version anglaise ne parle de records management, une énorme lacune dans la forme du RGPD (NB: je ne parle pas ici de « l’archivage intermédiaire », expression confuse encore utilisée par la CNIL mais qui n’a pas grand-chose à voir avec le records management).
Heureusement, d’autres entreprises, privées ou publiques, ont fait le lien entre la démarche d’archivage et la mise en conformité au RGPD et conduisent les deux projets de manière coordonnée et complémentaire. Voir à ce sujet le compte rendu de la table ronde organisée par le CR2PA, club de l’archivage managérial, et accueillie par L’Oréal en octobre 2017 sur le thème: L’archivage managérial comme levier de conformité au RGPD, avec cette citation d’un participant: « Les professionnels de l’archivage sont les mieux placés, voire les seuls, pour bien pratiquer les durées de conservation ». Un encouragement pour les responsables de projets d’archivage qui ont parfois du mal à faire reconnaître leur compétence pour le profil de DPO et plus généralement pour la gouvernance des données dans l’entreprise.
La valeur ajoutée de la méthode Arcateg™ pour la justification des durées de conservation
Dans ce contexte, la méthode Arcateg™ (archivage par catégorie), créée en 2007, se révèle un outil méthodologique particulièrement adapté aux projets de conformité RGPD dans la mesure où elle offre une grille prédéfinie et universelle des valeurs de conservation de l’information dans l’entreprise.
Contrairement aux tableaux de types de documents auquel on accroche une durée réglementaire ou un délai de prescription de formulation et d’application parfois complexes, le référentiel de conservation Arcateg™, lui, propose une liste-type des valeurs de conservation (ou de destruction) basée sur le risque issu du contexte de production du document et donc, pour parler RGPD, de la finalité des données: au sein de quelle relation les données sont-elles produites? Quelle action tracent-elles? A quoi pourront-elles servir demain, en action ou en défense, en preuve de son bon droit ou à charge?
Arcateg™ prend en compte tous types d’information, toutes formes, tous supports, dès lors que l’entreprise est propriétaire de ces « objets d’information » (stockage, sécurité) et qu’elle assume leur contenu et doit donc rendre des comptes à qui de droit de leur usage (accountability).
En suivant un raisonnement fidèle à la diplomatique (science de l’écrit probant) et aux fondamentaux de l’archivistique (le support n’est pas discriminant pour la valeur de l’écrit), Arcateg™ appréhende un groupe de données qui trace une action à une date donnée dans une relation hiérarchique ou transactionnelle comme un « document » (un écrit daté).
Au sein du référentiel Arcateg™ standard, les catégories de conservation, au nombre de 100, constituent une macro-liste à personnaliser pour produire une cartographie des durées de conservation motivées auxquelles on peut facilement rattacher les données de l’entreprise telles qu’elles se présentent dans les applications et dans les services. Pour en savoir plus, inscrivez-vous à la formation ARCA-RGPD.