La RGPD/GPDR sonne-t-elle le glas des archives ?

Pendant longtemps, les organisations ont conservé des documents pour des raisons dues aux législations en vigueur, aux règles internes voire de sécurité (« on ne sait jamais, ça pourrait servir »), sans se poser trop de questions quant aux documents à réellement conserver ni même sur les périodes de conservation.

Au fil du temps, les documents se sont accumulés, les archives ont grandi et bon nombre d’organisations se retrouvent aujourd’hui avec des volumes importants d’archives (dans les caves ou chez des tiers-archiveurs) sans toujours savoir ce qui s’y trouve, à quel endroit, ni en combien d’exemplaires d’un même document.

Les dossiers ou ensembles de dossiers, qui sont structurés selon des critères déterminés (de type index ou métadonnées) relèvent effectivement du champ d'application du nouveau règlement.

De fait, les entreprises, responsables de traitement, doivent adopter des règles proportionnelles au risque encouru … ce qui revient à dire qu’elles ne peuvent laisser leurs archives papier sans pilotage opérationnel des cycles de vie des dites archives et données. En d’autres termes, elles vont devoir véritablement piloter le sort final des archives et leurs destruction le moment venu et plus seulement les laisser vieillir en conteneurs ou boites.

Ainsi, dans ce cadre de la RGPD/GDPR, une question s’impose au regard de ces archives physiques : comment gérer la problématique des données privées, du droit à l’oubli, etc. dans cette masse de documents et ainsi éviter d’être confronté à de lourdes amendes ?!

3 grandes réponses à cette question :

1. Trier : véritable travail de fourmi, il serait alors nécessaire d’ouvrir les boîtes d’archives, de sortir les classeurs, d’extraire les documents, d’en prendre connaissance, de décider sur le minimum à conserver (contrats encore en vigueur, documents légaux se trouvant toujours dans la période de conservation légalement obligatoire, etc.) Ce choix entrainera des coûts très importants car il s’agit avant tout prestations humaines.
2. Détruire même à outrance : si le document n’existe plus, pas de risque d’y conserver des données à caractère personnelle et donc pas d’amende possible… mais un risque important subsiste, celui de pouvoir fournir une pièce originale demandée par une Autorité (ex. tribunal, régulateur, …)
3. Digitaliser : cette troisième option peut paraître lourde et couteuse mais, considérant les dernières innovations en la matière, ceci n’est forcément plus avéré.

Il y a fort à parier que les organisations penseront naturellement au choix 2 en premier lieu ; le choix 1 étant très coûteux et le choix 3 est aussi perçu comme tel ; et pourtant, le choix 3 est probablement le meilleur axe à prendre !

Evidement et dans un premier lieu, pour respecter les lois et les règles de compliance en vigueur. La dématérialisation mitige aussi le risque financier et d’image ; en effet et pour exemple, la perte d’un contrat signé peut vous faire perdre un procès ou dégrader l’image de l’organisation quant à la gestion interne de vos dossiers clients.

Avec les technologies modernes, on peut considérer l’approche suivante :

• Effectuer une préparation minimum : certains travaux dits de préparation seront obligatoires (retrait des boîtes d’archives, retrait des classeurs, retrait des agrafes, …) mais d’autres peuvent être évités (mise en place de séparateurs entre les documents, ordonnancement, pré-classement, …)
• Numériser « en vrac » les documents : pas de besoin de spécifier ce qu’on scanne
• OCRiser tous les documents
• Classer les plus automatiquement possible les documents en 2 catégories : grâce à des technologies LAD/RAD, il est en effet possible de repérer automatiquement le type de document traité (facture, courrier client, commande, …) :
  • Les documents à conserver
  • Les documents à détruire sont détruits
• Anonymiser voire pseudonymiser les documents devenus électroniques à conserver : au travers d’application de datamining, d’extraction et de repérage de données, il est possible de détecter les données personnelles et de les remplacer par des pseudos, tant sur l’image que dans les données textes et le moment venu soit détruire tout lien entre les données substituées et les données personnelles d’origine (anonymisation), soit conserver dans un système sécurisé et indépendant une table de correspondance (pseudonymisation) 
• Conserver dans un système d’archivage électronique les données ainsi constituées

Bien entendu, c'est approche est théorique et doit être analysée au cas par cas, en fonction des documents voire des besoins utiles de l'organisation.

A noter que si ces services de numérisation et d’archivage électronique sont assurés par un acteur qualifié (PSDC au Luxembourg, certifié Z42 013 et/ou NF461 en France, selon la Loi du 21/7/2016 en Belgique, etc.), la valeur légale des documents physiques se retrouve transposée dans sa copie électronique, vous pouvez détruire les documents physiques et n’en conserver que l’ « original » devenu électronique.

Vous devez donc considérer la dématérialisation de vos archives physiques vivantes indexées (et la destruction des archives mortes, devenues inutiles, pour éviter tout risque) afin de vous conformer au cadre de la RGPD/GDPR sans prendre le risque de détruire des documents « utiles ».

Les documents ainsi dématérialisés et gérés dans un système de gestion documentaire avec une gestion des accès sont sécurisés ; seuls les détenteurs de droit d’accès peuvent reconstituer une donnée pseudonymisée pour la détruire ou la corriger à la demande.

Mais un tout autre intérêt - de disposer ainsi des documents utiles dématérialisés - concerne la gestion de la connaissance de l’entreprise, facilitant les recherches et l’accès aux documents en quelques clics.

La recherche d’un document papier pourtant classé, quelque part, dans une armoire ou une salle d’archive, coute jusqu’à 20€, les temps de recherche augmentent de 50% tous les ans.

La mise en place d’une solution de gestion documentaire, avec un plan de classement et des facilités de recherche bien pensés, permet aussi à l’entreprise de gagner un temps considérable.