Le GDPR sous-tendra des changements significatifs dans l’utilisation (gestion, traitement et stockage) des informations personnelles sur les individus au sein de l’Union européenne. Comme prévu, il affectera largement: les ressources humaines, les cabinets comptables et les cabinets médicaux, bien que chaque organisation devrait examiner ses archives et prendre les mesures nécessaires pour se préparer. Beaucoup d’organisations ont tendance à ignorer leurs archives papier, enfermées dans des salles de stockage cachées. Cependant, ces documents ne doivent pas être négligés.
Le dépôt
Plusieurs entreprises n’ont aucune politique concernant le dépôt de documents. Par conséquent, aucune personne ou équipe définie n’a une surveillance complète des informations stockées. Même lorsque l’information peut être localisée, il y a des difficultés pratiques à devoir éditer partiellement des documents, souvent à la main. Il est conseillé aux organisations d’identifier les départements et les secteurs fonctionnels les plus susceptibles de créer et de stocker des enregistrements contenant des informations personnelles identifiables. Elles devraient aussi accorder la priorité à l’analyse et à la sécurisation du stockage hors site pour ces enregistrements. Les organisations devraient également mettre en place et appliquer un système de classement et d’identification clair pour tous les dossiers papiers, avec des étiquettes et des métadonnées marquées sur des boîtes et des cartons, ainsi que des droits d’accès et des responsabilités clairement définis.
La classification
Des processus clairement définis pour gérer les informations depuis la création afin de sécuriser la destruction peuvent ne pas suffire à eux seuls. Le papier peut passer entre les mailles les plus strictes de la classification des informations et des politiques de stockage, simplement en étant copié ou imprimé et laissé traîner, jeté inconsidérément, ou même retiré d’un bâtiment sécurisé. Malgré les meilleures intentions d’une organisation pour se conformer à une demande de suppression de données, les employés peuvent conserver celles-ci dans un tiroir de bureau ou à domicile. Les entreprises devraient donc, compléter leurs politiques et processus de gestion de l’information par une formation et une communication régulières des employés qui montrent au personnel comment gérer l’information en toute sécurité et soutenir une culture de responsabilité de l’information à l’échelle de l’entreprise. Chaque employé doit comprendre ce qui constitue des données privées ou confidentielles et comment les gérer.
La confidentialité
Le GDPR veut que la vie privée soit considérée dans la façon dont l’information est produite, gérée et supprimée. Pour le papier, tout portera sur les processus de traitement de l’information. Il faudra aux entreprises rendre difficile voire impossible l’accès ou la copie de documents contenant des informations personnelles par des personnes non autorisées. Les processus de stockage, de rétention et de destruction des informations doivent tous être revus en tenant compte des exigences de confidentialité et être adaptés si nécessaires.
Les règles du GDPR inapplicables aux documents papiers
Les éléments du GDPR, tels que la portabilité des données, seront difficiles à appliquer aux informations stockées uniquement sur papier. Dans certains cas, ce manque d’applicabilité est un avantage. Par exemple, les demandes de mesures de sécurité informatique robustes ne s’appliquent pas au papier, car il ne peut pas être piraté. En cas de besoin, WAZO Consultant GDPR propose un accompagnement des entreprises pour la mise en conformité à la nouvelle règlementation.