09 June , 2022
Quelques années après l’introduction du Règlement général sur la protection des données (RGPD), la plupart des entreprises sont convaincues d’être en conformité avec la législation en application.
Si on creuse un peu plus loin, certaines interrogations demeurent. Il s’agit notamment de savoir si les entreprises sont réellement prêtes, particulièrement en ce qui a trait aux enjeux liés à la gestion des données en aval, tels que l’élaboration d’un plan de réaction en cas de fuite de données.
Dans cette perspective, les entreprises peuvent parfois passer à côté du fait que le RGPD ne concerne pas seulement les données numériques : les dispositions du RGPD s’appliquent tout autant aux dossiers papier.
Comme pour les données numériques, les entreprises doivent avoir mis en place des procédures internes rigoureuses pour assurer la protection des dossiers papier de toutes sortes. Lorsqu’il est effectué dans des conditions inappropriées, le stockage à long terme des documents papier, par exemple des archives en accès libre, constitue une vulnérabilité majeure. Des documents importants contenant des informations personnelles laissés toute une nuit sur une imprimante, un bureau ou dans une corbeille à papier représentent également un risque pour la conformité aux règles établies.
Les dirigeants d’entreprise doivent rapidement réévaluer leur manière de protéger leurs entreprises des risques de sécurité et des fuites de données potentielles, pas seulement sur le plan numérique, mais également dans les environnements traditionnels. Dans le cas d’une enquête, les entreprises qui ne sont pas proactives dans la protection de leurs dossiers papier physiques seront probablement traitées plus sévèrement que celles qui peuvent prouver qu’elles ont fait un maximum d’efforts. Elles doivent s’assurer que leur personnel connaît les procédures et a accès à des outils appropriés (p. ex. consoles sécurisées) pour une mise en œuvre correcte des politiques en vigueur.
Dans ce contexte, la meilleure solution consisterait à fournir des consoles d’informations confidentielles verrouillées qui sont facilement accessibles et à établir des politiques à l’échelle de l’entreprise qui favorisent le principe du « clean desk » (bureau propre) la nuit. Les entreprises doivent également prendre des dispositions pour assurer la destruction sécurisée des documents après la période de conservation prescrite, en ne conservant que des copies numériques des fichiers essentiels sous un format chiffré.
D’autres éléments du RGPD sont plus difficiles à mettre en œuvre lorsque des dossiers papier sont impliqués. La demande d’accès d’une personne concernée, qui permet à un citoyen de demander des copies et de corriger des données détenues à son sujet par une entreprise, représente un défi. À nouveau, la numérisation et la destruction des papiers originaux facilitent le processus.
On peut se réjouir du fait qu’un an après sa mise en œuvre, le RGPD ait acquis une forte notoriété et que son contenu soit largement reconnu, mais les entreprises ne doivent pas faire preuve de complaisance dans leur quête de mise en conformité totale. N’oubliez pas que l’impact de la perte ou du détournement des données sensibles (une fuite de données), peut être important, et inclut, mais sans s’y limiter : des délais opérationnels, une enquête et des actions de réhabilitation menées par un organisme réglementaire indépendant, des actions en justice, l’atteinte à l’image de marque, la perte de confiance des consommateurs et la perte de revenus.