GDPR… Et si, comme Banksy, on broyait tout ?

par | Nov 16, 2018 | Data Intelligence, Expérience | 0 commentaires

GDPR… Le digital, mais pas seulement. Beaucoup d’organisations omettent la protection des données… imprimées sur papier !

A l’image de Banksy, roi du street art, qui a fait le buzz grâce à l’autodestruction de son oeuvre «Girl with balloon» lors d’une vente chez Sotheby’s, le GDPR impose aux entreprises de détruire elles aussi un certain nombre de données personnelles. Une loi qui concerne les informations stockées sous format numérique, mais également sur papier. «A ce jour, deux tiers des organisations ne sont pas conformes au règlement et admettent accorder une importance minime aux documents papier. Une hérésie quand on sait que 40% des incidents sont liés… aux documents papier», observe Marie-Ségolène Griton, Category Manager Europe, Rexel. Faute avouée à moitié pardonnée ? Pas selon la CNIL qui distribue les mauvais points. En France, l’enseigne Optical Center vient d’écoper de 250 000 EUR d’amende !

Le GDPR, entré en vigueur en mai 2018, a pour objectif de rendre au citoyen européen le contrôle sur ses données personnelles. Une protection des droits à la vie privée des individus qui contraint les organisations à mettre en œuvre des pratiques efficaces pour protéger les données numériques et imprimées sur papier, et aviser les personnes affectées ou susceptibles de l’être.

La conséquence directe du GDPR est une responsabilisation accrue des entreprises dans la gestion des données. Pour elles, c’est un changement de philosophie qui doit s’opérer dans la collecte, l’utilisation, l’archivage et la destruction des données vers une approche «par les risques» qui place la sécurité au cœur de tout traitement de données.

Méfions-nous de la paperasse…

«Alors que de nombreuses organisations placent la protection des données numériques au premier rang de leurs préoccupations, beaucoup d’entre elles omettent la protection des données imprimées sur papier, observe Marie-Ségolène Griton. Pourtant, elles comportent, elles aussi, des données personnelles sensibles et sont aussi concernées par le GDPR !»

40% des incidents liés à la sécurité des données au Royaume-Uni concernent des documents papier. Sur 598 incidents relatifs à la protection des données enregistrés entre juillet et septembre 2016 par l’autorité de contrôle britannique, l’Information Commissionner’s Office, 14% sont liés à la perte ou au vol de documents, 19% concernent un envoi par la poste ou par fax au mauvais destinataire, 4% concernent des données laissées dans un lieu peu sûr, et 3% sont dus à l’élimination de documents papier de façon non sécurisée.

Des incidents qui peuvent avoir de lourdes conséquences à la fois pour les entreprises (amendes) et les consommateur, vulnérables à la fraude et aux usurpations d’identité.

«À l’heure du tout numérique, les entreprises négligent l’importance des documents papiers et ne prennent pas le temps de gérer les problèmes de sécurité qui leur sont associés, estime Marie-Ségolène Griton. L’entreprise ne doit pas se contenter de mettre en place une réglementation, elle doit aussi la communiquer efficacement à tous les niveaux hiérarchiques pour la faire connaître et appliquer par tous.»

L’importance de la communication interne à tous les niveaux hiérarchiques

Face à un tel enjeu, il est essentiel de sensibiliser toutes les parties prenantes de l’entreprise autour de cette réglementation. Pourtant selon un sondage PwC / Iron Moutain de 2014, seulement 40% des entreprises fournissent à leurs employés des instructions claires sur l’élimination et sur l’archivage interne des documents papier. Et elles ne sont que 27% à avoir mis en place une procédure sur la sécurité, l’archivage et l’élimination d’informations confidentielles de façon sécurisée. Le caractère complexe et chronophage des process est également un frein.

«En imposant aux entreprises de protéger les données qu’elles traitent et, in fine, la vie privée des consommateurs, le GDPR participe à (re)construire une relation de confiance avec les clients un brin échaudés par les pratiques douteuses des GAFA, conclut Marie-Ségolène Griton. Libre à nous, de nous demander si ce chantier de destruction des données est une opportunité ou une menace pour les entreprises…»