Plus les technologies de la communication évoluent se impliquent l’individu à titre personnel, plus la prise de conscience croît, chez tout un chacun, de la nécessité qu’il y a à garder le contrôle des informations personnelles que possèdent à leur sujet et que gèrent entreprises et organismes en tous genres.

Afin d’encadrer les pratiques numériques et de régenter la protection de la vie privée, les autorités ont tenté depuis de nombreuses années de promulguer des textes dans des domaines spécifiques comme celui des télécoms. Publié en 2016, le Règlement Général pour la Protection des Données (RGPD) va un pas plus loin. Il se concentre en effet sur le traitement des données personnelles et exige de toute entreprise ou organisation une totale transparence sur ces processus et l’apport de garanties minimales en matière de gouvernance de l’information. Depuis le 25 mai de cette année et l’entrée en vigueur de ce règlement, toute organisation qui collecte, gère, accède ou “simplement” conserve ce type d’informations doit afficher sa conformité.

Les bons interlocuteurs?

Lorsqu’elles pensent “mise en conformité RGPD”, les entreprises se tournent souvent vers leur propre département informatique qui est en charge de l’infrastructure IT et de la sécurité des systèmes. Certes la technologie et la sécurité des systèmes seront cruciales pour garantir la confiance et la conformité en matière de protection des données à caractère personnel mais toutes les questions ne seront pas traitées si on s’en tient à cela. Comment un directeur IT peut-il gérer ou définir le but ou l’intention business d’un traitement des données? Comment peut-il définir la licéité du traitement en vertu de l’article 6 du règlement? Est-ce bien le rôle d’un directeur IT d’être le point de contact pour tout individu souhaitant accéder ou modifier ses données à caractère personnel gérées par l’organisation?

Quand ces questions surgissent, la réaction suivante des dirigeants d’entreprise est souvent de prendre contact avec le département juridique et de lui confier la responsabilité de la mise conformité RGPD. Bien entendu, des avocats spécialisés auront été bien formés dans ce domaine spécifique et ils sont les personnes-clé en termes de responsabilité (dans son acceptation anglophone d’“accountability”) et pour être des interlocuteurs face aux organes de surveillance. Mais connaissent-ils tous les flux de données? Peuvent-ils prendre en charge la modélisation des processus et assurer le Business Process Management? Est-ce bien leur rôle de définir toutes les données et tous les flux de données au sein d’une entreprise? Sont-ils impliqués dans tous les projets fonctionnels ou techniques de l’organisation – depuis le point de départ, lorsqu’il s’agit de définir la “confidentialité par défaut” (“privacy by design”)?

Les (vrais) gestionnaires de l’information

Il existe une troisième option: des personnes généralement présentes au sein des entreprises mais qui ne sont pas le premier choix et qui devraient être impliquées dans le parcours de mise en conformité RGPD: les gestionnaires de l’information (information managers).

Un “information manager” – appelez-le recordkeeper, archiviste, records manager, document manager ou autre – dispose des compétences-clé pour aider l’entreprise ou l’organisation à se conformer au RGPD et à minimiser les risques financiers ou réputationnels.

Notre mission, en tant que professionnels de l’information, est d’écouter et d’accompagner les acteurs de l’organisation dans un environnement en transition, de comprendre leurs processus métier et de mettre en place les technologies et processus pertinents afin de concrétiser les objectifs d’accessibilité, d’intégrité, d’authenticité et de préservation de l’information.

Pour atteindre ces objectifs, les gestionnaires de l’information doivent acquérir les aptitudes technologiques qui leur permettront de comprendre les processus IT et de les confronter aux exigences métier, de même que les aptitudes juridiques propres à élaborer un calendrier de conservation.

Le RGPD exige de toutes les organisations d’identifier et de documenter tous les processus qui impliquent des données à caractère personnel d’individus, tant internes à l’entreprise (RH, finance,…) qu’externes (core business, marketing, sales,…). Ces tâches font partie des fondements de la gestion de l’information et ces professionnels disposent déjà des outils pouvant les y aider. Le plan de classement et le calendrier de conservation décrivent et définissent quelles informations sont  créées/collectées par l’organisation, leur cycle de vie, les exigences légales concernant ces documents, etc. Ces informations sont fortement similaires au contenu du registre des traitements imposé ou recommandé par le RGPD dans son article 30. Les gestionnaires de l’information, disposant de ces outils et informations, représentent donc une réelle plus-value dans un projet de mise en conformité.   

Le rouage méconnu

Créer ce genre de tableau de bord ou plan de vérification exige de créer des ponts communicationnels avec les départements juridique et IT mais aussi avec les utilisateurs finaux, les business process owner, afin de comparer les pratiques réelles aux définitions de processus.

Les gestionnaires de l’information doivent posséder ces aptitudes de communication et d’implication de tous les stakeholders dans leur métier au quotidien. Ils sont dès lors des personnes centrales dans l’organisation pour l’analyse et le maintien des processus en conformité avec les divers textes législatifs. 

Dans la révolution numérique que nous traversons, le RGPD est l’une des grandes opportunités pour mettre en lumière notre profession. Nous devons faire preuve de proactivité et nous positionner par rapport à ce défi de la protection des données à caractère personnel. Nous devons agir aux côtés des départements juridique et IT, en travaillant comme une équipe triptyque, afin d’aider les entreprises et organisations ainsi que les citoyens à protéger les données personnelles.

Les archives se sont toujours positionnées comme le “garant de la démocratie”. Les gestionnaires de l’information peuvent reprendre ce rôle de super-héros moderne de la protection des données. 

Gestionnaires de l’information, les organisations ont besoin de vous!

Florian Delabie
Expert en préservation numérique
Consultant en sécurité de l’information, Sopra Steria
Administrateur de l’Association
des Archivistes Francophones de Belgique (AAFB)