La destruction des données, clé de voûte du RGPD

Les données ont longtemps été considérées comme un nouvel « or noir ». Bien exploitées, elles permettaient aux entreprises de trouver de nouvelles cibles pour leurs produits et/ou leurs services, de mieux vendre et de mieux s’adapter aux attentes de leurs marchés. Sauf qu’avec le RGPD, le « rapport de force » s’inverse : ce sont les consommateurs qui reprennent le contrôle des informations qu’ils laissent à la disposition des acteurs économiques, associatifs et institutionnels. Ce qui implique que de nouveaux outils doivent être utilisés, permettant notamment un meilleur accès aux données et une destruction plus aisée. Décryptage.

La fin de la donnée éternelle

Certes, cela paraît déjà lointain, mais fut un temps où les données étaient stockées sur un support papier, et conservées dans de grands classeurs, eux-mêmes rangés sur des étagères. À cette époque, la question de la destruction des données ne se posait pas vraiment : à un moment ou à un autre, elles passaient à la déchiqueteuse, en général lorsqu’il fallait de la place et que l’on était certain que l’on en n’aurait plus besoin. Avec l’avènement du stockage numérique, les choses ont changé : le réflexe de tout stocker s’est petit à petit imposé. Et ce, sans date limite.

Avec le RGPD, ce genre de pratique appartient désormais au passé. Ce texte, applicable dès le 25 mai 2018, oblige les acteurs économiques et institutionnels à déterminer une durée de stockage des données. Chaque document, chaque information, chaque élément sur tel ou tel consommateur, doivent « disparaître », à une date précise, du capital informationnel (1 mois pour les images d’un dispositif de vidéosurveillance, 3 ans pour les coordonnées d’un prospect qui ne répond à aucune sollicitation, 10 ans pour les données d’un dossier médical…). Mieux : l’entreprise doit être en mesure de les détruire en amont, sur simple demande du particulier concerné.

Le rôle essentiel du DPO

Or, cette automatisation de la gouvernance de l’information passe par l’adoption de nouveaux outils, qui permettront d’accéder aux données et de les détruire le cas échéant. C’est le DPO (Data Protection Officer) qui devra impulser leur arrivée dans le système d’information.

Ainsi, un logiciel automatisé de gestion des données personnelles permettra notamment au DPO de gérer l’ensemble des tâches demandées par les consommateurs, qui correspondent à autant de nouveaux droits (ou de droits renforcés) suggérés par le RGPD : consultation des données (« Que sait l’entreprise X sur moi ? »), suppression (« Je ne souhaite plus apparaître dans le listing des gens à contacter ponctuellement pour me proposer de redevenir client »), modification (« Je ne suis pas célibataire, merci de me proposer des services qui correspondent à mes attentes ») ou encore anonymisation (« Je ne souhaite plus être associé à telle caractéristique »).

Aller plus loin avec le « File analysis »

Si la CNIL propose un outil, appelé PIA (Privacy impact assessment), permettant de conduire et de formaliser des analyses d’impact sur la protection des données dans le cadre du RGPD, il peut être intéressant, dans les plus grandes structures, de se tourner vers un outil de File analysis. À l’instar de celui que propose Everteam, ces logiciels permettent d’analyser des contenus non-structurés comme semi-structurés, et combinent des fonctions de NLP (Natural language processing), d’auto-classification, d’archivage et de gouvernance de l’information. L’objectif ? Accéder plus vite et plus précisément à son capital informationnel, et réaliser de façon automatique des actions préconfigurées, qui s’optimisent au fur et à mesure de l’apprentissage par le logiciel !

L’accès aux données, et leur destruction en cas de besoin, doivent être au cœur de votre politique de gouvernance de l’information. Vous souhaitez en savoir plus sur les outils qui vous permettront de respecter le RGPD ? Contactez les équipes d’Everteam !