picture « Malgré les pénalités encourues pour défaut d’application, son approche ne doit pas être vécue comme une contrainte par les organisations » Marlène Cailleau, Information Governance Manager & DPO
Le RGPD, qui définit un cadre strict à la collecte, au traitement et à la gestion des données privées, place la sécurité des données au premier plan des préoccupations des entreprises. Celles-ci ont aujourd’hui beaucoup à gagner d’une remise à plat de leurs pratiques de gestion de l’information.

Cette année, aucune entreprise n’y a échappé. Entré en vigueur en mai dernier, le RGPD (Règlement général sur la protection des données) a encouragé la plupart à engager les efforts nécessaires à leur mise en conformité. Comme de nombreux secteurs d’activité soumis à l’application de normes rigoureuses, ce nouveau règlement s’est imposé aux sociétés dans un contexte global de normalisation, afin d’instaurer une meilleure sécurisation des données personnelles, et un niveau de qualité minimal requis. Encore opaque pour certaines dont la gestion des données n’est pas le coeur de métier, le texte semble toutefois avoir trouvé une bonne résonnance tout secteur et taille d’organisations confondus, à renfort de guides d’application notamment édités par la CNIL. Signal fort de sa mise en oeuvre : l’émergence croissante de DPO (Data Protection Officer) ces derniers mois, nommés en interne ou recrutés par les entreprises, lorsqu’elles ne sous-traitent pas la question à un cabinet d’avocats spécialisé. Pour Iron Mountain, société mondiale dédiée à la conservation, la protection et la gestion de l’information, cette tendance dénote une véritable prise de conscience. « Pour une fois, un texte met en avant que les données possèdent une vraie valeur dans le capital informationnel des entreprises, explique Marlène Cailleau, Information Governance Manager & DPO au sein du groupe. Malgré les pénalités encourues pour défaut d’application, son approche ne doit pas être vécue comme une contrainte par les organisations, mais comme l’opportunité de se remettre en question dans la gestion documentaire, à des fins d’une plus grande efficacité dans le traitement des données et d’une meilleure performance

globale ».

 

Un inventaire clarifié et intelligent

Réduction des coûts de conservation, accompagnement à la transformation digitale, gestion des risques, conservation/ destruction sécurisée des documents physiques, gestion des données archivées… pour Iron Mountain, la manipulation et la protection de données sensibles s’inscrit déjà de longue date dans son spectre d’activité. « Nous avons de fait une approche très pointue sur le sujet, souligne Marlène Cailleau. Si le RGPD n’a pas remis en cause notre méthodologie, nous avons toutefois élargi et adapté nos solutions pour pouvoir répondre aux démarches de conformité de nos clients, en permettant d’identifier plus facilement les données personnelles dans l’appareil documentaire. Via de nouvelles fonctionnalités de détection, par exemple, nos outils permettent désormais de ne plus importer de façon volontaire ces données, les soustrayant instantanément de l’inventaire informationnel. Nous avons également mis au point de nouvelles clés de recherche sous forme de codes d’attribution uniques, qui permettent de contourner, là encore, le recours aux données soumises à protection ».

 

Vers une transformation métiers

Spécialiste de l’archivage, Iron Mountain oppose aujourd’hui une vraie différence entre les pratiques de conservation d’hier, et la notion de conservation d’informations qu’induit aujourd’hui le RGPD. Dans ce nouvel environnement, stocker ad vitam aeternam la donnée ne trouve plus sa raison d’être, surtout lorsque l’on peut la valoriser autrement. « Choisir de conserver l’information plutôt que de l’accumuler offre aux entreprises l’opportunité d’élaborer de nouvelles stratégies afin de maîtriser de façon plus intelligente les données. In fine, le RGPD n’est ni plus ni moins que la mise en place de très bonnes pratiques d’identification, de sécurisation et de confidentialité des données ». Si la valorisation du capital informationnel constitue un atout de taille, les entreprises peuvent également voir dans l’instauration de ces bonnes pratiques l’occasion d’améliorer les process de travail, et d’accroître la responsabilisation de ses ressources. « Dans la cadre d’un fonctionnement traditionnel d’un service d’archive, le document est transmis tel quel à l’inventaire avant d’être externalisé, ajoute Marlène Cailleau. Depuis que de nouveaux besoins ont été identifiés, nécessitant des clefs de recherche spécifiques notamment sur les données personnelles, nous sommes face à de nouvelles procédures sur la conduite du changement menée auprès des personnes à l’initiation du document, ce qui accroît leur niveau de responsabilité ». Pour garantir l’adhésion à ce changement de paradigme, managers SI, DPO, RH… sont aujourd’hui embarqués dans la conformité. « Une vraie nouveauté, constate Marlène Cailleau, car cela s’opérait avant à la fin du processus. Avec le RGPD, si l’on veut être efficace, il faut vraiment remonter au processus d’origine de la production informationnelle, à travers une action plus collective ». Des actions qui requièrent en somme une vision préventive, non plus corrective. Le RGPD, par les mutations organisationnelles qu’il incite au sein des entreprises, s’avère être ainsi une ligne de conduite impactant tous les corps d’activité. Sans omettre de rassurer l’environnement consommateur/ client, désormais attentif à sa bonne marche. Le suivi du dispositif peut en effet constituer un argument commercial fort, par le climat de confiance qu’il génère.

 

60%

 

des entreprises interrogées saisissent le RGPD comme une opportunité d’améliorer la confidentialité, la sécurité, la gestion des données ou de catalyser de nouveaux modèles économiques (Etude IBM 2018) 

 

78%

 

des Français disent se soucier de la collecte et de l’usage de leurs données personnelles, 24 % ayant déjà entendu parler du RGPD (Etude Ifop/ SendinBlue)

 

 

 

 Téléchargez cet article au format pdf