Entré en vigueur au mois de mai 2018, le Règlement Général sur la Protection des Données, plus communément connu sous son acronyme RGPD, est venu bouleverser la gouvernance des données en vigueur dans les organisations.
Aujourd’hui, plus de quatre ans après sa mise en application, le RGPD continue d’être une épine dans le pied pour de nombreuses entreprises (pourtant bien intentionnées), qui peinent à trouver la bonne approche pour se mettre en règle.
Assez paradoxalement, l’une des solutions les plus efficaces à cet enjeu était déjà existante il y a 20 ans. Son nom ? La GED, ou Gestion Électronique des Documents.
Mais de quoi parle-t-on au juste ? En quoi GED et RGPD sont-ils étroitement liés ? Réponses dans cet article.
La GED, qu’est-ce que c’est au juste ? En 20 lignes max, pour une fois !
Le terme de GED au sens large désigne la façon dont une entreprise organise la gestion de ses documents numériques.
Notons toutefois que “GED” est aujourd’hui couramment employé pour faire référence aux logiciels de gestion documentaire. Dans ce cas de figure, on parlera donc “d’une GED”.
Généralement, un logiciel de GED (ou un module de GED) propose les fonctionnalités suivantes :
- Numérisation et reconnaissance des documents via les systèmes RAD-LAD & OCR
- Stockage et classement des documents
- Sauvegarde systématique et régulière des documents conservés
- Système de gestion des droits d’accès
- Traçage des accès et historique
- Moteur de recherche via recherche full-text
- Système d’identification des documents (index, glossaire, thésaurus, label…)
- Archivage courant des documents (l’archivage longue durée devant lui s’effectuer via d’autres outils, les SAE).
Largement répandus, les systèmes de gestion documentaire cumulent toutefois deux lacunes principales dans la plupart des cas : une certaine complexité d’utilisation pour des non-spécialistes de l’informatique et l’impossibilité de gérer des données non structurées telles que des emails.
Du reste, le respect du RGPD ne fait pas partie des fonctionnalités “historiques” offertes par les GED, qui existaient bien avant l’entrée en vigueur de la réglementation en 2018. Mais on le verra, les GED aident à mettre un peu d’ordre dans les données d’une entreprise. Un aspect appréciable quand il s’agira de repérer et suivre à la trace les données personnelles, soumises à la réglementation européenne.
Les cinq commandements du RGPD, pour éviter d’être rattrapé par la patrouille
Si le RGPD est désormais bien connu dans son ensemble, distinguer les différentes obligations qu’il impose peut s’avérer complexe. Nous avons effectué ce travail et bien vite, afin de concrétiser le lien entre RGPD et GED.
1 – Transparence et accessibilité
Les internautes doivent être informés des informations personnelles récoltées. Ils doivent pouvoir refuser leur collecte aussi facilement que de l’accepter. Tout manquement peut être puni de cinq ans d’emprisonnement et de 300 000 € d’amende au maximum.
De plus, les données obtenues doivent pouvoir être accessibles sur une simple demande des personnes concernées, qui peuvent également demander leur suppression sous un délai d’un mois maximum.
2 – Finalité limitée
Les données collectées ne doivent être utilisées qu’aux fins annoncées préalablement dans le bandeau prévu à cet effet sur le site par exemple, bien qu’il existe de multiples autres canaux de collecte de données pour une entreprise.
Ce principe de finalité est étroitement lié à celui du consentement : en effet, consentir à la collecte puis au traitement de données, il est nécessaire d’avoir été informé de l’usage leur étant réservé.
Un usage abusif ou non déclaré constitue une infraction avec des peines variables selon l’ampleur du phénomène.
3 – Conservation limitée
La plupart des données personnelles détenues par une entreprise ne peuvent l’être que pour un certain temps. Une fois la durée de conservation définie au préalable atteinte (selon les objectifs et besoins de l’entreprise), chaque donnée doit être supprimée ou tout du moins totalement anonymisée.
En effet, les données anonymisées ne sont pas soumises au RGPD.
Attention toutefois, les données seulement pseudonymisées restent concernées par le RGPD. Eh oui, comme tout règlement, le RGPD comporte des subtilités écrites en petit.
4 – Exactitude
Les données détenues doivent rester exactes. Le RGPD mentionne très précisément que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. »
5 – Sécurité & responsabilité
L’entreprise est responsable des informations qu’elle collecte et utilise au quotidien. Charge à elle de garantir leur sécurité et la confidentialité en prenant les mesures nécessaires. Pour chapeauter ce volet, un DPO (Data Protection Officer) doit être désigné.
Sa mission principale ? Maintenir une cohérence dans la gestion des données et s’assurer du respect des différentes obligations.
Comme nous l’évoquions plus haut, le recours à une GED permet de grandement faciliter les opérations visant à respecter ces cinq grandes règles.
Voyons désormais plus en détail sur quels points du RGPD peut précisément agir un système ou un module de gestion documentaire.
GED et RGPD, la symbiose parfaite ? (Rêvons un peu !)
Une plateforme unique
L’une des recommandations de base du RGPD est de stocker les informations sur une seule plateforme, afin de conserver une meilleure vision sur les flux documentaires et réduire le phénomène de “dispersion”.
La GED permet précisément de répondre à ce besoin, puisqu’elle offre un environnement de stockage centralisé auquel chaque collaborateur peut accéder dans la limite de son niveau d’habilitation.
Un classement précis et une identification rapide des documents
Les modules de GED fonctionnent comme de gigantesques armoires virtuelles dans lesquelles sont rangées les différentes données selon leur nature, le format des documents, leurs thématiques…
Ainsi, faire l’inventaire des documents détenus et justifier d’un stockage approprié est réalisable très facilement en cas de contrôle de la part de la CNIL (un organe chargé de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers), contrôles qui tendent à se gagner en fréquence depuis plusieurs années…
En pratique, une interface simple et intuitive comme celle du logiciel Clarisse offre des gains de temps massifs aux équipes, qui peuvent retrouver et modifier rapidement leurs documents.
Une gestion du cycle de vie native
L’un des freins principaux à la bonne application du RGPD dans les organisations n’est autre que la difficulté pour les services à suivre le cycle de vie de chaque document. Il s’agit effectivement d’un travail titanesque lorsqu’il est réalisé manuellement ou via des outils peu adaptés.
Heureusement, les GED proposent pour la plupart des fonctionnalités permettant de maîtriser la durée de conservation des documents possédés.
Ainsi, une information dont la durée maximale de détention a été fixée à 5 ans pourra être automatiquement supprimée du registre de l’entreprise une fois l’échéance atteinte.
Un traitement des données non structurées (parfois)
La prise en charge des données non structurées, comme nous l’avons évoqué dans la première partie, est bel et bien une faiblesse inhérente à la grande majorité des systèmes de GED actuels.
Pour autant, certains logiciels ou modules de GED tels que Clarisse ont dépassé cette limite. Ils peuvent tout à fait gérer ce type de données qui, rappelons-le, peuvent être soumises au RGPD lorsqu’elles contiennent des informations personnelles.
Comment ? Grâce à une architecture novatrice qui s’affranchit du classique système d’arborescence habituel des GED et capable de gérer les données non structurées.
Une gestion des droits d’accès et un historique de traçabilité
L’accès aux informations personnelles détenues par une entreprise est aujourd’hui réglementé par le RGPD, qui indique bien que chaque donnée concernée doit être protégée, notamment contre le risque de consultation par des personnes non autorisées et par extension contre l’utilisation de ces données à mauvais escient.
Ici encore, les GED offrent une réponse idéale à la réglementation en vigueur grâce au système de gestion des accès intégré. Les modalités d’accès à chaque document peuvent être clairement définies, de manière à ce que seuls les collaborateurs bénéficiant d’une autorisation puissent y accéder.
Notons également la présence quasi systématique d’un historique complet relié à chaque document. De fait, il est possible en quelques clics de savoir qui (et quand) a accédé au document, l’a modifié et le cas échéant quels ont été les changements apportés.
Un ajout particulièrement pertinent pour garantir l’intégrité des données personnelles et combler d’éventuelles failles avant qu’elles ne prennent trop d’ampleur.
Une anonymisation des données
Enfin, rappelons que les données anonymisées ne sont PAS concernées par le RGPD et peuvent donc être conservées indéfiniment.
À ce sujet, la CNIL précise que “l’anonymisation ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur gisement de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver des données au-delà de leur durée de conservation.”
Certains logiciels et modules de GED proposent désormais une anonymisation des données totale, permettant d’alléger les contraintes réglementaires tout en préservant l’utilité des informations détenues au maximum.
Si le RGPD a encore tendance à être perçu comme un véritable casse-tête logistique, le recours à un module de GED simple, performant et capable de traiter les données non structurées simplifie considérablement les choses.
Vous souhaitez initier un projet de GED ? Améliorer votre conformité RGPD ? Notre équipe se tient à votre disposition pour en discuter !