Comment réagir en cas de violation de données personnelles ?

La violation de données à caractère personnel est définie par le RGPD comme la “destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”. Il s’agit en fait de tout incident de sécurité, malveillant ou non, qui a pour conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles.

Que faire en cas de violation des données ?

Sur la violation de données personnelles, les articles 33 et 34 du RGPD sont clairs. Tout d’abord, vous devez prévenir toute violation de données en ayant mis en place, en amont, des mesures techniques de protection appropriées. Il s’agit de la notion de “privacy by design”.

1) Mettre en place une procédure pour endiguer la violation de données

Si, malgré ces précautions, vous devez faire face à un cas de violation de données personnelles, les organismes traitant des données personnelles (responsable de traitement ou sous-traitant) doivent lancer un processus adapté à la situation. Ce processus doit permettre de :

  • Détecter rapidement la violation de données
  • L’endiguer rapidement
  • Analyser les risques engendrés par l’incident
  • Déterminer si la Cnil et les victimes doivent être prévenues (les données qui ont fuité sont-elles sensibles ou non ?)

2) Informer la Cnil de la violation de données

Le RGPD oblige donc les entreprises, si elles constatent une faille, d’en informer la Cnil au plus vite en lui fournissant une documentation conséquente sur la nature de la violation, le nombre de victimes ou la catégorie des données concernées.

3) Préserver les responsables de traitement et les victimes

Cette procédure vise à préserver les responsables de traitement et leur capital informationnel, ainsi que les personnes affectées par la violation qui peuvent, ainsi, prendre les mesures de précaution nécessaires.

Les victimes doivent en effet être informées de la fuite si un risque élevé existe. Par ailleurs, l’article 80 du RGPD organise une procédure de recours collectif permettant à chacune de mandater une association pour obtenir réparation du préjudice matériel ou moral…

Fuite de données : plusieurs entreprises épinglées par la Cnil

La fuite de données est un problème d’actualité qui a concerné, ces derniers mois, plusieurs entreprises. A l’instar de la chaîne de magasins d’optique Optical Center qui s’est vu infliger par la Cnil, début juin 2018, une amende de 250 000 euros pour “atteinte à la sécurité des données de ses clients”. Il suffisait en fait de renseigner plusieurs url dans la barre du navigateur web pour avoir accès à des centaines de factures avec des données personnelles (nom, prénom, adresse postale, corrections ophtalmologiques voire numéro de sécurité sociale !).

La Cnil a également sanctionné l’Association pour le développement des foyers (ADF). dont la mission est de mettre à disposition des logements pour les étudiants, familles monoparentales et travailleurs migrants. L’ADF devra payer une amende de 75 000 euros pour “atteinte à la sécurité des données”. L’organisme de contrôle avait constaté, dès juin 2017, qu’une modification du chemin de l’url dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs, comme les avis d’imposition, les passeports ou encore les titres de séjour ! Des données sensibles, qui expliquent la sanction de la Cnil.

Avant le RGPD, la loi Lemaire de 2016…

Quant à l’affaire Optical Center, la Cnil a jugé que le site de l’opticien “n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel avant de lui afficher ses factures”. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. Optical Center a donc été sanctionné sous l’empire de la loi Lemaire n°2016-1321 du 7 octobre 2016 sur la protection des données personnelles.

Si ces deux affaires avaient eu lieu après que que ne tombent les premières sanctions liées au RGPD au printemps 2019 (entré en vigueur, rappelons-le, le 25 mai 2018), les amendes auraient sans doute été beaucoup plus lourdes puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise incriminée.

L’importance de maîtriser ses contenus pour une entreprise

Plus que jamais, les entreprises doivent savoir gérer leurs contenus, maîtriser les données envoyées, par exemple, dans un cloud, pour éviter la fuite de données personnelles qui peuvent coûter cher aussi bien financièrement qu’au niveau de l’image. Pour cela, les grandes entreprises doivent mettre en place une politique efficace de gouvernance de l’information.

Comment gérer les masses informationnelles de votre entreprise avec everteam.discover

Comment comprendre, humainement, la façon dont sont organisées et gérées ses données quand on a accumulé plusieurs centaines de téraoctets de contenus depuis plusieurs années dans des espaces de stockage non structurés, tels que des disques réseaux ou dans le Cloud ? De l’aveu de certains, il faudrait plus d’une vie entière pour mener à bien un tel chantier. C’est à cette problématique que sont confrontées, souvent, les grandes entreprises. Pour répondre à ce défi gigantesque, Everteam a mis au point everteam.discover, plateforme d’analyse et d’enrichissement de vos contenus.

Comment faire appliquer la politique d’archivage d’une grande entreprise ?

Prenons l’exemple d’un cas client. Une entreprise d’envergure internationale avait mis en place, en interne, une politique d’archivage groupe. Bien que diffusée, cette politique n’était pas appliquée par les salariés concernés. Pourquoi ? Car ces derniers sont focalisés sur leur métier; ce qui constitue la production de valeur à plus ou moins court terme. Ils n’ont généralement pas le temps d’appliquer la politique d’archivage et même, dans certains cas, pas les moyens techniques de le faire. Si archiver (et bien archiver), au delà l’obligation légale pour l’entreprise, constitue un intérêt indéniable sur le long terme, cela n’offre que peu de bénéfice visible dans l’immédiat.

Les conséquences d’une politique d’archivage mal appliquée

Or, ne pas gérer correctement ses contenus lorsque l’on possède un historique très volumineux soulève plusieurs questions :

  • Comment assurer la sauvegarde du capital informationnel (documents et données), lorsque l’on dispose de plusieurs espaces et systèmes de stockage très volumineux et peu ou pas structurés ? Cette opération peut être lourde et risquée, et donc coûteuse. Ce capital contient probablement des éléments sensibles ou engageants tels que des contrats ou tout autre document contenant des informations relatives aux salariés … La perte de documents, due, par exemple, à une simple erreur de manipulation, pourrait s’avérer lourde de conséquences pour l’entreprise.
  • Comment satisfaire certaines des exigences résultant du RGPD (Règlement général sur la protection des données), en vigueur depuis le 25 mai, telles que traiter les demandes de droits à l’oubli, à la rectification, ou garantir le droit d’accès ?
  • Comment exploiter le capital informationnel de son entreprise lorsque l’on ne maîtrise pas vraiment les données que l’on possède, leur emplacement, ou la façon de les retrouver ?
  • Enfin, comment prendre les bonnes décisions et agir lorsque l’on ne connaît pas (ou mal) l’historique informationnel de son entreprise, et les données sur lesquelles on peut s’appuyer ?

Les solutions de valorisation et de migration d’everteam.discover

Face à ces défis, everteam.discover a permis au client d’effectuer les actions correctives suivantes :

  • Catégoriser automatiquement les différents types de documents et identifier les données sensibles sur la base d’échantillons de référence ;
  • Déterminer les métadonnées métier qualifiant chacun des documents ;
  • Appliquer automatiquement les règles définies préalablement par la politique d’archivage ;
  • Identifier et purger des doublons dispersés dans différents silos de contenu de l’entreprise ;
  • Eliminer les documents obsolètes ;
  • Archiver, dans un système d’archivage électronique, ce qui devait l’être.

Ces actions sont effectuées grâce à deux modules du logiciel : “+governance” et “+migrate”. Le premier permet d’identifier les objets et les règles à leur appliquer. Le second donne la possibilité de nettoyer les sources et exporter vers une application ECM (Ged ou Archivage) les objets informationnels, leurs métadonnées et leurs règles de gestion.

Libérer les utilisateurs des contraintes de gestion, d’organisation et d’archivage

En automatisant ces actions, everteam.discover libère les divers utilisateurs de ces contraintes d’archivage. Plus largement, la solution everteam.discover permet aux entreprises en général, et aux grands groupes en particulier, d’avoir une visibilité forte sur son patrimoine informationnel et de le valoriser pour mieux le gérer et l’exploiter. everteam.discover les accompagne dans la mise en oeuvre d’une politique de gouvernance de l’information.

Pour en savoir plus, vous pouvez visionner l’enregistrement du webinar « Présentation everteam.discover : analysez, décidez, agissez ! » en replay en cliquant ici. 

Afterwork de la gouvernance de l’information : retour sur une première made in Everteam

Trois semaines après l’entrée en vigueur du fameux RGPD (règlement général sur la protection des données), Everteam organisait, à Paris, jeudi 14 juin, son premier afterwork de la gouvernance de l’information, sous la houlette de Christophe Binot, ambassadeur de l’événement et responsable de la gouvernance de l’information chez Total. Le thème : la gestion des risques à l’heure du SaaS et du RGPD

Deux tables rondes, dix experts de la gouvernance de l’information

Une dizaine d’experts ont échangé, pendant deux heures, sur « la multiplication des rôles et des responsabilités autour de la gestion de l’information » et sur comment « comprendre et maîtriser les risques à l’ère de la démocratisation du cloud et du renforcement des contrôles sur les données personnelles ».

Etaient présents des spécialistes du droit : Pascal Alix, du cabinet Virtualegis, avocat à la cour et expert RGPD et Aurélie Banck, experte RGPD au sein du cabinet Lexing – Alain Bensoussan Avocats. Des spécialistes de la gouvernance de l’information issus du milieu bancaire, comme Pascal Chrétien, RSSI group chez Oney, Emmanuel Hector, group CIO au Crédit Immobilier de France et Aïssatou Sarr, group DPO chez BTD Luxembourg ont également participé aux échanges.

Plusieurs spécialistes de la gouvernance de l’information de grands groupes industriels ont aussi partagé leur expérience : Arnaud Massias, RSSI et DPO France chez Liebherr group, Aurélien Conraux, responsable records management chez L’Oréal Research & Innovation et Delphine Mouchel, responsable de la gouvernance documentaire chez Naval group. Jean-François Beuze, CEO chez Sifaris et expert en cybersécurité a aussi apporté son expertise aux riches débats.

Rôles et responsabilités autour de la gestion de l’information

Lors de la première table ronde, ont été évoqués les nouveaux métiers de la gouvernance de l’information : DPO (data protection officer) CIGO (chief information governance officer), CDO (chief digital officer), CIO (chief information officer), records manager ou encore CISO (chief information security officer), l’équivalent du RSSI (responsable de la sécurité des systèmes d’information) français.

Les différents intervenants ont présenté leur expérience et les différents défis auxquels ils sont confrontés quotidiennement. Un débat sur le choix d’un DPO en interne ou en externe a notamment suscité un vif intérêt.

Maîtriser les données envoyées dans le cloud

Lors de la deuxième table ronde “Comprendre et maîtriser les risques à l’ère de la démocratisation du cloud et du renforcement des contrôles sur les données personnelles”, les différents intervenants se sont penchés sur les risques liés au cloud. En sont ressorties deux thématiques : la maîtrise des données que l’on envoie dans le cloud et la gestion de la localisation des data centers.

Sensibiliser au sein des entreprises

Face à ces différents problèmes soulevés par le cloud, la meilleure solution, pour bien gérer les données qui y sont envoyées, est de sensibiliser les salariés en interne, s’accordent à penser les experts de la gestion de l’information. Un chantier important, qui s’accompagne d’un travail sur l’outillage.

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…

En cas de contrôle, le registre est indispensable

VRAI ! Le registre des activités de traitement est l’une des pièces principales que demandera la CNIL (ou tout autre organisme européen) dans le cas d’un contrôle de l’utilisation des données personnelles. Mais il n’est pas le seul document à fournir, loin de là. Décryptage.

Comment se passe un contrôle ?

Dès le 25 mai, le RGPD s’appliquera sur l’ensemble du territoire européen. Cela signifie que dès le lendemain, des contrôles pourraient être effectués par la CNIL – même si cela paraît peu probable.

Comment se passerait un tel audit ? D’abord, il faut savoir que la décision serait prise « par le président de la CNIL, sur proposition du service des contrôles ». Elle pourrait, par exemple, faire suite à une plainte d’un tiers.

Trois types de contrôle peuvent être effectués. Le contrôle sur place, tout d’abord, le plus souvent sur convocation, au moins 8 jours avant la date du rendez-vous. Le contrôle dans un local de la CNIL, ensuite, également sur convocation et dans les mêmes délais. Le contrôle en ligne, parfois sans avoir besoin de prévenir le responsable du traitement visé. Dans ce dernier cas, les contrôles « se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers ».

Les documents à fournir

On l’a dit, le registre des activités de traitement est le principal document à fournir en cas de contrôle effectué par la CNIL. Rappelons que celui-ci est obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l’article 30 du RGPD. Il doit comprendre un certain nombre de documents et d’informations, tenus à jour :

  • L’identification du traitement ;
  • Le nom du responsable du traitement en question ;
  • La finalité du traitement (principale et secondaire, voire plus) ;
  • La durée de conservation des données…

La CNIL cherchera par ailleurs à obtenir « copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel ». Il convient donc de prévoir d’être en mesure de lui fournir des copies des contrats de sous-traitance informatique, par exemple.

Et la suite ?

Après un contrôle, un procès-verbal est établi, listant notamment les pièces qui ont été communiquées à la CNIL et ont fait l’objet d’une copie. Celles-ci sont ensuite étudiées. Deux issues sont alors possibles :

  • La CNIL n’a pas d’observation particulière à formuler. Elle clôture le contrôle « par un courrier du président de la CNIL qui peut contenir des recommandations (modification des durées de conservation, des mesures de sécurité…) » ;
  • La CNIL a trouvé des choses à redire. Le dossier est alors transmis à la formation restreinte de l’organisme de contrôle, qui réétudiera les pièces et les conclusions des agents. Elle pourra alors prononcer des avertissements, mettre en demeure de se mettre en conformité ou de suspendre les flux de données en dehors de l’Union européenne, voire prononcer des sanctions (jusqu’à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires de l’entreprise).

Les sanctions prévues par le RGPD ont le mérite d’être dissuasives. Si elles ne seront probablement pas prononcées dès le 25 mai, ne tardez pas à vous mettre en conformité, en vous référant à notre Guide du DPO prêt à l’action !

C’est le DPO et lui seul qui assure la conformité au RGPD

FAUX ! Le respect du RGPD est un travail d’équipe, qui concerne autant le DPO que les collaborateurs, la DSI et les avocats. Voici comment fonctionne cette « dream team » de la bonne gestion des données personnelles…

Le DPO, le chef d’orchestre

Le DPO est le référent RGPD de l’entreprise pour laquelle il travaille, que ce soit en tant que salarié (à temps complet comme à temps partiel) ou en tant que prestataire externe. Il est un véritable chef d’orchestre, puisqu’il va coordonner l’action de tous ses collaborateurs en :

  • S’informant sur les nouvelles obligations ;
  • Tenant à jour un registre de traitement des données personnelles ;
  • Assistant les décideurs sur les conséquences des traitements, en cours ou potentiels ;
  • Concevant des actions de sensibilisation ;
  • Répondant aux demandes de la CNIL ou de tout autre organisme de contrôle.

Le DPO est donc un élément de coordination en interne (auprès de ses collaborateurs et de sa hiérarchie) et en externe. Son rôle est stratégique à plus d’un titre, et son profil, à la fois technique et juridique. Un vrai mouton à cinq pattes !

L’avocat, le conseil

L’arrivée du RGPD et son application le 25 mai, voilà bien une source de préoccupation pour les chefs d’entreprise ! Les avocats sont donc nombreux à s’être positionnés dans un rôle de « pacificateur », de conseil, dans le cadre d’un accompagnement global « RGPD compliant » proposant les prestations suivantes :

  • Aide à la décision sur la nécessité ou non de recruter un DPO ;
  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Il peut ainsi être pertinent de se faire conseiller durant les premiers mois d’application du RGPD. Un avocat sera également un allié précieux en cas de contrôle !

La DSI, la main dans les rouages

Bien sûr, l’application du RGPD va reposer sur des compétences techniques, aux mains de la DSI de l’entreprise. Il va ainsi s’agir pour elle d’installer, dans la durée, deux principes incontournables : l’accountability d’une part, consistant à mettre en œuvre des mécanismes et procédures internes démontrant que les règles relatives à la protection des données sont bien respectées, et le Privacy by default et by design d’autre part, incitant à déployer des process attentifs à la protection des données, dès la phase de conception.

La DSI est ainsi particulièrement concernée par l’article 32 du RGPD, évoquant une « obligation générale de sécurité », qui repose sur plusieurs impératifs :

  • La pseudonymisation et le chiffrement des données ;
  • L’intégrité, la disponibilité, la résilience et la confidentialité ;
  • Des phases de test, d’analyse et d’évaluation du SI ;
  • La mise en place de moyens pour rétablir l’accès et la disponibilité des données.

La DSI a ainsi pour mission de transformer, concrètement, les process de l’entreprise pour l’aider à respecter les impératifs du RGPD. Lesquels seront synthétisés par le DPO, et validés, si besoin, par les avocats.

Les collaborateurs, un changement de mentalité

Le RGPD touche toutes les composantes de l’entreprise. Ainsi, il impose aux collaborateurs un véritable changement dans les mentalités. Ils devront donc se montrer plus attentifs aux règles de respect des données personnelles, aux process et aux informations utilisées. Et ne pas oublier que, dans l’esprit du RGPD, toute donnée facultative dans une démarche commerciale est une donnée à ne pas utiliser !

L’application du RGPD est une affaire d’équipe. Vous vous apprêtez à en prendre la tête, et à devenir DPO ? Téléchargez notre Guide du DPO prêt à l’action !

Le Top 5 des blogs sur la gouvernance de l’information

À l’heure du RGPD (règlement général sur la protection des données) et du tout numérique, la gouvernance de l’information est en perpétuel mouvement. Everteam, éditeur de logiciels et leader mondial dans ce domaine, vous propose son Top 5 des blogs sur la gouvernance de l’information, qui vous permettront de vous tenir à jour sur ce sujet inépuisable.

1/ Le blog de Marie-Anne Chabin, pointure de l’information numérique

Professeure associée à l’université Paris 8, Marie-Anne Chabin a fondé, en 2000, le cabinet de conseil Archive 17, au sein duquel elle aide les entreprises à mieux gouverner leurs actifs informationnels. Elle a participé à plus de 80 projets d’archivage.

Dans son blog, elle livre ses analyses sur la société et rédige des billets humoristiques, dans lesquels la gouvernance de l’information tient une place de choix. Marie-Anne Chabin définit ses articles comme une « critique malicieuse et hebdomadaire de l’information numérique dans la société ; à l’usage de ceux qui pensent (et donc archivent) ».

http://www.marieannechabin.fr/

2/ Le blog d’Alain Bensoussan, pour les questions juridiques de la gouvernance de l’information

6 janvier 1978. La loi relative à l’informatique, aux fichiers et aux libertés réglemente la liberté de traitement des données personnelles ainsi que les conséquences de l’activité informatique. Une révolution juridique, qu’épousent immédiatement Alain Bensoussan, avocat à la Cour d’Appel de Paris, et son cabinet, qui se spécialise, dès 1978, dans le droit de l’informatique puis, plus globalement, des nouvelles technologies.

En 2012, le cabinet crée Lexing, premier réseau international d’avocats technologues dédié au droit des technologies avancées.

Fort de 40 ans d’expertise, Alain Bensoussan propose aujourd’hui, dans son blog, des articles traitant des questions juridiques liées à la gouvernance de l’information. Bien sûr, le RGPD, qui entrera en vigueur le 25 mai, est au cœur de nombreuses publications.

On retrouve également des sujets d’actualité générale traités sous un angle juridique, comme celui sur la tendance des jouets connectés qui peuvent dissimuler un risque d’espionnage et bien plus encore.

https://www.alain-bensoussan.com/avocats/category/publication/articles/

3/ Le blog Markess, spécialiste de la transformation digitale

Société d’études indépendante, Markess est spécialisée, depuis plus de 20 ans, dans l’analyse des marchés du numérique et les stratégies de transformation digitale des entreprises et administrations.

Markess propose, à travers son blog, de « maîtriser la valeur business du digital ». Concrètement, elle donne des outils aux organisations pour appréhender leurs clients, leurs prospects et même leurs collaborateurs. Retrouvez ainsi des sujets sur la relation client, la relation citoyen ou encore les ressources humaines, traités sous l’angle de la transformation numérique. Des thématiques comme l’archivage, le cloud computing, la big data, la dématérialisation ou les réseaux sociaux sont largement abordées.

http://blog.markess.com/

4/ Le blog du CR2PA, spécialiste de l’archivage

Le CR2PA, le Club des responsables de politiques et projets d’archivage, a été créé en 2008 par des directeurs de projets d’archivage, parmi lesquels Marie-Anne Chabin, dont le blog fait également référence dans le domaine de la gouvernance de l’information. Il défend l’archivage managérial. Il alerte également les utilisateurs sur le risque de non-archivage et sur l’importance, pour les entreprises, de mettre en place une réelle politique d’archivage.

Aussi, sur le blog de CR2PA, vous trouverez de nombreux articles sur les problématiques des archives ainsi que plusieurs MOOC (massive online open course), des formations en ligne ouvertes à tous, par exemple sur l’usage des mails.

https://blog.cr2pa.fr/news/

5/ Le blog de Sollan, boîte à outils de l’ECM

Fondé en 2001, Sollan est un acteur incontournable de la gestion d’information et de contenus numériques (ECM) spécialisé dans le conseil et l’intégration de solutions spécifiques.

Créée en 2001, Sollan est devenu un acteur incontournable dans le domaine de la gestion de l’information et des contenus numériques (ECM). Dans son blog, Sollan propose, logiquement, de bon nombre d’articles autour de l’ECM, la digitalisation, ainsi que plusieurs webinars sur des thèmes donnés. Sollan traite aussi de sujets d’actualité tels que l’incontournable RGPD. Ce blog donne des outils très concrets aux entreprises et administrations concernées par les problématiques de gouvernance de l’information avec comme leitmotiv : “structure the unstructured.”

http://www.sollan.com/www/fr/sollan-news

Vous cherchez d’autres sources sur la gouvernance de l’information ? N’hésitez pas à vous rendre sur le blog d’Everteam !

 

RGPD : quelles nouvelles missions pour les avocats ?

Le Règlement général sur la protection des données (RGPD) change le quotidien de nombreux professionnels. Le DPO est l’exemple le plus évident, puisque… pour lui, tout est à créer ! Les avocats, quant à eux, se positionnent également sur le créneau pour leurs clients. L’objectif ? Fournir des prestations de conseil, pour les aider à passer cette étape sans encombre.

Un accompagnement global

Depuis l’officialisation de l’entrée en vigueur du RGPD, nombre de cabinets se sont positionnés sur le créneau. Ils proposent un accompagnement global, fait de plusieurs types de prestation :

  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Et les prestataires ?

Les avocats peuvent aussi aider les entreprises à obtenir de leurs prestataires des informations sur le traitement des données effectué dans le cadre de leurs processus. Ainsi, faire appel à un avocat pour vérifier les contrats des sous-traitants vous aidera à réduire les risques de rencontrer une quelconque mauvaise surprise lors d’un contrôle.

C’est d’ailleurs dans le cadre d’une visite surprise de la CNIL ou de tout autre organisme de contrôle que la présence d’un avocat peut être précieuse. Il peut ainsi vous fournir une assistance (contrôle sur place, contrôle sur convocation, contrôle sur pièces…) durant le contrôle en lui-même, ou, s’il le faut, dans l’étape d’après, notamment dans le cadre de recours contre des délibérations de la CNIL (refus d’autorisation, sanctions prises pour cause de défauts constatés dans le traitement des données…).

Faut-il faire appel à un avocat ?

Passer par un avocat pour s’assurer de respecter les règles et l’esprit du RGPD n’est pas obligatoire. Le DPO, notamment, doit posséder un profil alliant des compétences techniques à des connaissances juridiques, pouvant, théoriquement, dispenser d’un accompagnement de la part d’un avocat, du moins sur le long terme.

Il peut néanmoins être intéressant de se faire conseiller durant les premiers mois d’application du RGPD, afin de bien se former aux impératifs du règlement. Il sera également un allié précieux en cas de contrôle. Assurez-vous, cependant, de choisir un professionnel parfaitement au fait du contenu des textes, qui s’est véritablement formé sur le sujet !

Les avocats font partie des premiers à avoir compris que le RGPD constituait une réelle opportunité pour proposer de nouvelles missions à leurs clients. Ils peuvent, en complément d’un accompagnement par un professionnel de la gouvernance de l’information, être précieux pour rester certain de ne rater aucun alinéa du RGPD ! Dans tous les cas, vous pouvez solliciter notre équipe qui saura vous conseiller et vous accompagner dans votre démarche. 

B.A.-BA : l’archivage à valeur probatoire

La dématérialisation se développe à vitesse grand V. Il faut dire qu’elle présente un certain nombre d’avantages, permettant par exemple de gagner du temps et de simplifier la gouvernance de l’information au sein des entreprises. Elle représente pourtant un défi : les documents numériques étant par nature plus faciles à falsifier que les documents papiers, comment s’assurer de leur intégrité et de leur conformité ? C’est là qu’intervient l’archivage à valeur probatoire. Explications.

Une loi de 2000 au centre des préoccupations

L’archivage à valeur probatoire a été encadré par une loi (n°2000-230) datant du 13 mars 2000. Celle-ci stipule en effet dans son article 4 que « l’écrit sur support électronique a la même force probante que l’écrit sur support papier ». Cependant, pour que cette « force probante » soit reconnue, des critères bien précis ont été identifiés. Ce sont eux qui vont permettre à toute personne ou tout organisme susceptible de consulter des documents, d’être certains qu’ils n’ont pas été modifiés, altérés ou remplacés.

Archiver, ce n’est pas uniquement sauvegarder

Si l’archivage à valeur probatoire (ou « probante ») est devenu un enjeu majeur pour les entreprises, c’est donc parce qu’il ne s’agit pas uniquement de sauvegarder des documents. L’archivage va en effet plus loin : il doit permettre de garantir leur authenticité (les documents ont bien été produits par ceux qui affirment les avoir produits), leur confidentialité (n’y ont accès que les personnes expressément autorisées), leur pérennité (ils seront toujours accessibles lorsque l’on en aura besoin) et leur intégrité (ils n’ont pas été modifiés par une personne malintentionnée). L’idée ? Qu’ils puissent être utilisés comme preuve irréfutable en cas de litige, que ce soit avec un client, une administration ou une autre entreprise !

Trois exigences pour une valeur probatoire reconnue

Pour qu’un document électronique, archivé dans le cadre d’une stratégie de gouvernance de l’information, ait la même valeur qu’un document papier, trois impératifs ont donc été identifiés :

  1. Un certificat électronique doit permettre d’authentifier l’origine du document, ainsi que l’identité de son auteur ;
  2. Une signature électronique doit permettre d’attester de l’intégrité du contenu, avec horodatage ;
  3. Un coffre-fort électronique doit garantir que le système d’archivage est suffisamment sécurisé pour assurer la pérennité du document.

Ainsi, les systèmes d’archivage électroniques doivent être conformes aux normes ISO 14641-1 et NF Z42-013. Ce sont elles qui assureront, lors de tout contrôle, que le triptyque « Authentification / Intégrité / Pérennité » est bien respecté !

Et un document papier numérisé ?

La question mérite d’être posée : quelle valeur prend un document papier une fois numérisé ? L’original peut-il « communiquer » à la copie digitale sa valeur et son caractère irréfutable ? La réponse est techniquement « oui » mais légalement il faut être prudent et s’assurer de respecter les exigences liées aux Normes NFZ 42026 et NFZ42013. La première décrivant les exigences liées à la numérisation de façon à obtenir une copie numérique fidèle, c’est à dire conforme sur la forme et le contenu à l’original papier.

La seconde décrivant les exigences liées à la conservation du document électronique dans un système d’archivage électronique garantissant notamment l’intégrité, la traçabilité,la pérennité et la disponibilité des archives. Cependant d’un point de vue légal, aucun arrêté ne mentionne ces normes et ne sont donc pas « d’application obligatoire » même s’il existe des jurisprudence relative à la fiabilité des documents électoniques archivés dans SAE NFZ42013. A cela s’ajoute la règlementation du 5 décembre 2016 relatif à la fiabilité des copies et l’arrêté du 22 mars 2017 fixant les modalités de numérisation des factures papier.

Quelques exemples d’archivage à valeur probatoire…

L’archivage à valeur probatoire est un allié précieux dans de nombreux domaines :

  • Les ressources humaines, par exemple, dans le cas des contrats de travail (et notamment des attributions officielles), des fiches de salaire…
  • L’immobilier, s’agissant des baux et ruptures de baux, des DPE…
  • Le commerce, pour les contrats, factures, commandes, dossiers clients…
  • La comptabilité, pour les bilans, les comptes de résultat, les pièces justificatives…

L’archivage à valeur probatoire est une preuve en cas de contrôle. Il doit constituer une partie essentielle de votre démarche de gouvernance de l’information. Vous souhaitez vous faire accompagner dans celle-ci ? Connaître les éléments à mettre en place pour ne prendre aucun risque avec vos documents stratégiques ? Contactez les équipes d’Everteam ou faites une demande de démo !

Les contenus numériques, le nouvel atout majeur des entreprises

Les contenus numériques, le nouvel atout majeur des entreprises

L’information, de par son rôle essentiel dans la prise de décisions opérationnelles comme stratégiques, est un enjeu vital des organisations d’aujourd’hui. Mais face à la pléthore d’informations et ses différentes formes, l’entreprise se trouve aujourd’hui confrontée à des nouveaux enjeux : comment exploiter des contenus aussi hétérogènes dans leurs formes ? Comment donner du sens à des données de masse ? Comment les identifier et trier afin que cette information apporte une contribution réelle à la gestion des entreprises ? Comment consulter et analyser les données pour comprendre et agir en temps réel ?

Une information protéiforme

Et c’est là que se situe le défi. Face aux données structurées que les entreprises  savent exploiter, 80% de l’information créée en entreprise est non structurée. Cette information :

  • provient de multiples émetteurs – clients, salariés, prospects, experts, sous- traitants, communauté etc.
  • vit sous des formes disparates comme les textes, les images, les vidéos, les commentaires et avis etc.
  • est publiée sur de différents types de supports : sites web, messagerie, post sur les réseaux sociaux, référentiel documentaire, avis sur un forum, mémo interne, notamment…

Elle est pourtant à forte valeur ajoutée décisionnelle pour le constructeur automobile qui aura besoin des rapports des concessionnaires, des avis sur les forums de passionnés, des enquêtes d’accidents pour améliorer sa gamme de produits : pour l’équipe médicale qui appuiera sa prise en charge sur les dernières ordonnances, les données issues d’un tensiomètre connecté et les compte rendus d’intervention ; pour l’entreprise qui évaluera son lancement de nouveau produit en analysant les réactions sur les réseaux sociaux ; pour le support technique qui définira la meilleure solution grâce aux rapports d’intervention, aux forums d’utilisateurs et aux descriptifs techniques.

Il est à noter qu’il n’y a pas de séparation stricte entre les informations structurées et non-structurées, mais plutôt une constante cohabitation.

Explorer l’information

Outre la problématique du sourcing et de la collecte de l’information, tout se joue sur la transformation des données en contenu, du contenu en indicateurs, d’indicateurs en tendances et en décisions. L’objectif est de proposer aux utilisateurs une information bonifiée dans un contexte donné, des données enrichies et signifiantes grâce à des systèmes utilisés pour aller rechercher les données, les contextualiser et les corréler avec d’autres types d’informations. C’est dans ce contexte de gestion et de management de l’information que s’inscrit la valeur ajoutée des solutions ECM (Enterprise Content Management) de gestion de contenus qui permettent de gérer des informations de toute nature, qu’elles soient structurées ou non-structurées, et ce tout au long de leur cycle de vie, c’est-à-dire : – de leur élaboration – de leur diffusion – de leur exploitation – et de leur sort final d’archivage Une solution ECM de gestion de contenus comporte également des fonctions collaboratives permettant le partage et l’échange de l’information.

En tant que brique stratégique de l’architecture informatique, une solution ECM adaptée contribue à faire des contenus numériques l’atout majeur des organisations : grâce à la maîtrise active des contenus d’une part (gestion électronique de documents, dématérialisation et archivage) et à leur valorisation croisée d’autre part (big data et content analytics).