Appliqué au 25 mai 2018, le RGPD, règlement général sur la protection des données, s’impose à toutes les organisations qui collectent, traitent et stockent des données personnelles relatives aux résidents de l’Union européenne, afin de renforcer les droits des particuliers. Mais pas de panique, votre GED a déjà tout prévu (ou presque), et peut même vous aider à optimiser la gestion du cycle de vie de ces données.
Le règlement général sur la protection des données (RGPD), ou GDPR pour General Data Protection Regulation en anglais, repose sur un principe simple : renforcer les droits des particuliers concernant leurs données personnelles, collectées et manipulées par les organisations. Il leur impose de facto des obligations complémentaires. Si elles ne sont pas respectées, les sanctions peuvent être importantes : des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial sont prévues, auxquelles peuvent s’additionner des dommages et intérêts pour préjudice subi. Le respect de ces obligations, quant à lui, peut induire des contraintes à la fois techniques, organisationnelles et métiers…
Mais c’est aussi l’occasion de transformer l’approche de la gestion du cycle de vie des données, et pourquoi pas d’imposer du coup sa différence face à la concurrence. Quoi de mieux que la GED (gestion électronique des documents), et plus généralement l’ECM (en englobant les fonctions d’acquisition des informations et documents entrants et de gestion des processus métiers) pour vous accompagner dans cette démarche ?
La mise en conformité au RGPD
Être et rester en conformité avec le RGPD peut se révéler une lourde tâche, que ce soit pour les structures de taille modeste qui n’ont que rarement les moyens techniques et humains pour établir une cartographie de l’ensemble des données manipulées dans leur SI, que pour les multinationales qui gèrent des volumes toujours croissants de données dans une architecture IT en constante évolution, ou pour des structures de taille intermédiaire. Toutes sont en effet confrontées à la gestion de volumes d’informations à la croissance exponentielle, souvent dispersées mais utiles à de nombreuses briques du SI pour leurs activités courantes. Une telle cartographie permet non seulement de catégoriser les données (bancaires, santé, biométriques, numéro de sécurité sociale…), d’identifier la finalité pour laquelle elles sont recueillies, les acteurs (internes ou externes) qui les traitent, ainsi que leurs flux et éventuels transferts. Autant de données qui, selon le nouveau règlement européen, doivent être rapidement accessibles afin que chaque individu puisse les faire rectifier, les faire supprimer (droit à l’oubli) ou les faire transférer (droit à la portabilité).
Quels sont donc les apports des solutions de GED et d’ECM dans ce nouveau contexte réglementaire ?
La GED pour fédérer l’information documentaire dans un référentiel unique
Une des recommandations pour réussir sa mise en conformité avec le RGPD est de créer une plateforme unique pour y rassembler toutes les données acquises. Cette plateforme est garante d’une vision à 360° et d’une maitrise des flux de données.
Les solutions de GED permettent de fédérer l’information documentaire dans un référentiel unique, sécurisé, dans lequel les utilisateurs accèdent instantanément à une information continuellement à jour. Mais alors comment manipuler des données relatives à des particuliers ? Comment envisager le droit à l’oubli ? Comment s’assurer que les données personnelles ne soient plus accessibles à la demande de son propriétaire ?
Tout ce travail, qu’impose le RGPD, est d’ores et déjà intégré dans les logiciels de GED.
Des fonctions, généralement disponibles par simple paramétrage, permettent en effet de prendre des traitements de masse sur les données stockées (mise à jour, anonymisation, export, suppression…).
De plus, la GED permet de gérer le cycle de vie de l’information. Par exemple, il est possible de configurer les solutions pour permettre la manipulation des données personnelles indispensables, de manière temporaire, à des fins de traitement (workflow, case management…) et, dès lors que le traitement est terminé, de purger les informations personnelles qu’il est inutile de conserver.
Ce qu’impose le RGPD, la GED, et plus généralement les solutions d’ECM, le proposent déjà…
La GED pour organiser et piloter les processus internes
En complément de la gestion documentaire offerte par la GED, le socles d’ECM au sens large peuvent présenter des avantages déterminants et même revêtir un caractère central dans les efforts de mise en conformité.
Les solutions de dématérialisation, grâce à leurs systèmes de reconnaissance numérique, de reconnaissance optique de caractères (OCR), de lecture et de reconnaissance automatique de documents (LAD et RAD), sont des solutions idéales pour une exploitation automatique des données, pouvant alimenter non seulement un référentiel documentaire, mais également des référentiels et applications métiers. Elles peuvent constituer un point d’entrée central dans l’acquisition des données, plus faciles à contrôler et auditer.
Une fois ces informations acquises, leur utilisation et leur traitement peuvent être pilotés par des processus mis en œuvre dans une solution de workflows ou de Case Management, garantissant le respect des processus définis par l’entreprise et la traçabilité des traitements pris.
Ces mêmes solutions offrent des bénéfices identiques lorsqu’elles pilotent tous les traitements relatifs à l’instruction des demandes des personnes, qu’il s’agisse du droit de rectification, du droit à l’oubli ou du droit à la portabilité.
La GED pour prouver sa mise en conformité avec le RGPD
La GED se révèle donc un outil stratégique car il permet à la fois de conserver les données, de fournir une traçabilité sur leur utilisation, de piloter les processus relatifs à leur traitement, le tout de manière sécurisée.
Être en mesure de prouver le respect du RGPD est indispensable pour échapper à de très lourdes amendes administratives.
La GED offre donc une réponse idéale pour optimiser la gestion du cycle de vie des données : elle permet de rationaliser les opérations, de supprimer les données inutiles et de limiter le traitement aux informations essentielles.
Le RGPD n’apparait donc pas comme une révolution ou un sujet d’inquiétude pour les éditeurs et intégrateurs de GED. Que les clients se rassurent : il s’agit plutôt d’un simple rappel aux bonnes pratiques dès lors qu’une entreprise manipule et archive des données.