RGPD : et si, comme Banksy, on broyait tout?

Rédigé le 30/10/2018
Marie-Ségolène Griton, Rexel

A l'image de Banksy, roi du street art, qui a fait le buzz grâce à l'autodestruction de son oeuvre « Girl with balloon » lors d'une vente chez Sotheby's, le Règlement Général sur la Protection des Données impose aux entreprises de détruire elles aussi un certain nombre de données personnelles. Une loi qui concerne les informations stockées sous format numérique, mais également sur papier.

Pourtant, à ce jour, deux tiers des organisations ne sont pas conformes au règlement et admettent accorder une importance minime aux documents papier. Une hérésie quand on sait que 40% des incidents sont liés… aux documents papier ! Faute avouée à moitié pardonnée ? Pas selon la CNIL qui distribue les mauvais points : l'enseigne Optical Center a ainsi récemment écopé de 250 000 euros d'amende !

RGPD : l'affaire de tous

Le Règlement Général sur la Protection des Données dit RGPD, entré en vigueur depuis mai 2018, a pour objectif de rendre au citoyen européen le contrôle sur ses données personnelles. Une protection des droits à la vie privée des individus qui contraint les organisations à mettre en œuvre des pratiques efficaces pour protéger les données numériques et imprimées sur papier, et aviser les personnes affectées ou susceptibles de l'être.

La conséquence directe du RGPD est une responsabilisation accrue des entreprises dans la gestion des données. Pour elles, c'est un changement de philosophie qui doit s'opérer dans la collecte, l'utilisation, l'archivage et la destruction des données vers une approche « par les risques » qui place la sécurité au cœur de tout traitement de données.

Méfions-nous de la paperasse…

Alors que de nombreuses organisations placent la protection des données numériques au premier rang de leurs préoccupations, beaucoup d'entre elles omettent la protection des données imprimées sur papier. Pourtant, elles comportent, elles aussi, des données personnelles sensibles et sont aussi concernées par le RGPD !

40% des incidents liés à la sécurité des données au Royaume-Uni concernent des documents papier. Sur 598 incidents relatifs à la protection des données enregistrés entre juillet et septembre 2016 par l'autorité de contrôle britannique, l'Information Commissionner's Office, 14% sont liés à la perte ou au vol de documents, 19% concernent un envoi par la poste ou par fax au mauvais destinataire, 4% concernent des données laissées dans un lieu peu sûr, et 3% sont dus à l'élimination de documents papier de façon non sécurisée.

Des incidents qui peuvent avoir de lourdes conséquences à la fois pour les entreprises – amendes - et les consommateur, vulnérables à la fraude et aux usurpations d'identité.

À l'heure du tout numérique, les entreprises négligent l'importance des documents papiers et ne prennent pas le temps de gérer les problèmes de sécurité qui leur sont associés. L'entreprise ne doit pas se contenter de mettre en place une réglementation, elle doit aussi la communiquer efficacement à tous les niveaux hiérarchiques pour la faire connaître et appliquer par tous.

L'importance de la communication interne à tous les niveaux hiérarchiques

Face à un tel enjeu, il est essentiel de sensibiliser toutes les parties prenantes de l'entreprise autour de cette réglementation. Pourtant selon un sondage PwC/Iron Moutain de 2014, seulement 40% des entreprises fournissent à leurs employés des instructions claires sur l'élimination et sur l'archivage interne des documents papier. Et elles ne sont que 27% à avoir mis en place une procédure sur la sécurité, l'archivage et l'élimination d'informations confidentielles de façon sécurisée. Le caractère complexe et chronophage des process est également un frein.

En imposant aux entreprises de protéger les données qu'elles traitent et, in fine, la vie privée des consommateurs, le RGPD participe à (re)construire une relation de confiance avec les clients un brin échaudés par les pratiques douteuses des GAFA…

Libre à nous, de nous demander si ce chantier de destruction des données est une opportunité ou une menace pour les entreprises…