L'archiviste allié du DPO Actualité - 20 mars 2023
Cet article est le premier d’une série de trois articles sur le thème de l’archivage et du RGPD : les bénéfices d’une bonne gestion des archives publiques dans sa mise en conformité au RGPD, messageries électroniques et archivage public, l’application du RGPD dans le cadre de la diffusion des archives publiques.
En tant qu’éditeur de la solution Ligeo Archives, Empreinte Digitale côtoie et accompagne des services d’archives depuis de nombreuses années. L’application du RGPD depuis 2018 a provoqué des changements qui, bien que le régime des archives publiques soit dérogatoire en grande partie, concerne également le travail des archivistes.
L’idée n’est pas de revenir sur l’articulation des deux réglementations, déjà envisagée (notamment dans la récente publication « RGPD : le rôle de l’archiviste » de Marie Ranquet et Aude Rœlly, Collection Les petits guides des archives de l’Association des archivistes français.). Ce premier article propose plutôt d’expliquer en quoi une bonne gestion de l’archivage peut faciliter la mise en conformité de l’organisme au RGPD et comment se servir du travail de l’archiviste à ce titre.
Nous avons relevé en particulier trois points sur lesquels le service d’archive sera facilitant dans la mise en œuvre du RGPD : la gestion des durées de conservation, mais également l’identification des données personnelles et leur sécurisation.
Cartographier les données personnelles
Avant de pouvoir sécuriser les données et appliquer les principes du RGPD, la première étape du projet consiste à identifier les données. La cartographie prendra notamment la forme du registre des traitements requis par l’article 30 du RGPD.
Le travail du service d’archive (ou d’une mission archivistique plus ponctuelle) implique également cette phase d’identification, même si son objet est différent. La maturité de l’organisme est donc déjà avancée et le DPO pourra s’appuyer sur le travail de ses collègues pour identifier plus rapidement les données traitées par la structure. Ce constat est partagé par Océane Mosele, confrère DPO chez Dat@rchiv, qui relève l’aide que les services d’archives peuvent apporter au DPO pour alimenter le registre des traitement, insistant sur « l’indispensable collaboration entre les Délégués à la Protection des Données et les archivistes ».
Un système d’archivage intermédiaire clair et organisé permettra en outre une recherche et une extraction rapide des données, facilitant ainsi la gestion des demandes de droit des personnes, notamment d’accès et de suppression (chapitre III du RGPD)[1].
[1] Rappelons à ce sujet le régime dérogatoire aux droits des personnes en ce qui concerne les traitements réalisés à des fins archivistiques (article 89 du RGPD). L’exercice des droits concernera donc essentiellement les données en archivage intermédiaire.
Gérer les durées de conservation applicables
Dire que le travail de l’archiviste va permettre de définir les durées de conservation applicables : une lapalissade ? Rappelons que pour de nombreux organismes (notamment privés) la thématique de la conservation des données est certainement l’une des plus complexes à mettre en œuvre.
Quel DPO dans le privé n’a jamais croisé de « on ne va pas supprimer les données, c’est la connaissance de l’entreprise ! » ou le classique « autant tout garder, on ne sait jamais… ».
Une différence nette peut être observée entre les organismes publics et privés à ce sujet : les entreprises éprouvent de manière générale des difficultés à traiter ce sujet en raison d’une accumulation importante de données et d’un manque de ressources pour les traiter correctement. La maturité des structures publiques sur ce sujet est souvent nettement supérieure, grâce à la mise en application par les archivistes d’une réglementation plus précise.
Ainsi, le DPO pourra s’appuyer sur leurs tableaux de gestion et leurs procédures d’archivage afin d’identifier pour chaque traitement de données personnelles :
- la ou les durées de conservation correspondantes (à intégrer au registre des traitements, et à communiquer aux personnes concernées),
- le sort des données à l’issue de la durée d’utilité administrative (DUA).
Le tri entre les données à l’issue de la DUA participe d’ailleurs au principe de minimisation des données personnelles porté par l’article 5 du RGPD puisque seules les données pertinentes sont alors conservées.
Sécuriser les données
Notamment porté par l’article 32 du RGPD, le principe de sécurisation des traitements est central dans le cadre de la protection des données personnelles. Il se décline concrètement dans le guide de sécurité des données personnelles de la CNIL et pour le secteur public dans le RGS (Référentiel Général de Sécurité) de l’ANSSI.
Les services d’archive participent de cette sécurisation des données en premier lieu en s’assurant de sécuriser les archives elles-mêmes, et comme nous le rappelait Océane, qu’elles soient physiques (en commençant par fermer le local des archives à clé !) ou numériques, en veillant par exemple au choix d’une Solution d’Archivage Électronique (SAE) sécurisée.
Rappelons qu’au-delà de leur confidentialité, sécuriser les données c’est également garantir leur authenticité et leur intégrité. Et en ce sens, le service d’archive tient un rôle important : préserver les archives, c’est préserver des supports de données personnelles.
Pour toutes ces raisons (et certainement d’autres qui ne seraient pas mentionnées ici !) le délégué à la protection des données aura tout intérêt à s’appuyer sur le travail de l’archiviste, comme l’archiviste pourra trouver dans le DPO « un allié pour sensibiliser les services producteurs de DCP », le tout afin de contribuer ensemble à garantir la sécurité et la confidentialité des données et d’accroître la confiance des usagers dans la bonne gestion des données publiques.