La vulnérabilité du papier couplée à la négligence des salariés peut générer de nombreux cas de compromission de données.
Fin 2015, le Parlement et le Conseil européens se sont accordés sur la proposition de la Commission européenne d’un règlement général sur la protection des données ou GDPR (General Data Protection Regulation). Ces nouvelles règles, qui entreront en vigueur début 2018, sont une refonte en profondeur des règles de protection des données et de la vie privée définies aux tout débuts d’Internet par la Directive de protection des données. Les entreprises du monde entier qui manipulent des données d’origine européenne seront concernées.
Mais ces réformes, qui ont vocation à prendre en compte les nouveaux besoins de l’économie numérique et à défendre les droits de protection de la vie privée de l’individu, pourraient être difficiles à appliquer à l’information au format papier, sans parler des salariés qui impriment et manipulent des documents papier.
Dans l’actuel contexte des affaires de plus en plus connecté, les entreprises peuvent sous-estimer l’ampleur du défi. Tout d’abord, elles ne mesurent pas nécessairement les volumes d’impression produits au quotidien par les salariés. Selon l’AIIM (Association of Information and Image Management), 40% des employés de bureau préfèrent toujours archiver les informations les plus importantes au format papier. Et alors que 40% des organisations déclarent que plus de la moitié de leurs factures sont émises au format électronique, 35% reconnaissent qu’elles continuent d’en imprimer la plupart.
Ensuite, alors que beaucoup sont dotées de processus robustes de gestion de l’information, elles ne vérifient pas toutes leur efficacité. Lors d’une étude menée avec PwC, nous avons découvert que 79% des entreprises de taille moyenne en Europe et en Amérique du Nord déclarent avoir un inventaire détaillé des informations qu’elles détiennent et où elles sont archivées, mais près de la moitié ne prennent pas la peine de vérifier si cet inventaire est juste.
Les humains n’adoptent pas toujours le comportement recommandé vis-à-vis des processus. Les gens oublient, ignorent ou contournent les consignes qu’ils jugent trop compliquées ou restrictives ; et leur façon de traiter les documents papier peut réduire à néant les meilleures intentions de l’équipe de gouvernance de l’information.
¼ des entreprises n’encadrent pas l’archivage des documents papier
Dans les entreprises qui n’ont pas mis en place de processus, les risques sont encore majorés. Les recherches d’Iron Mountain montrent que près d’un quart (22%) des entreprises n’encadrent pas l’archivage des documents papier et que les salariés sont libres de procéder comme ils l’entendent. Aucun délégué ou service n’est alors désigné comme responsable des conditions de stockage de l’information si bien que nul ne supervise la sécurité afférente.
S’ajoute à cela le fait qu’un document papier existe souvent en double ou triple exemplaire. Différentes personnes peuvent en faire des copies, les imprimer et sortir très facilement des documents de l’entreprise. C’est souvent le cas de salariés zélés qui emportent du travail à la maison ou de collaborateurs nouveaux ou intérimaires qui ignorent comment reconnaître des informations confidentielles ou sensibles. Certains sont aussi trop surchargés de travail pour prendre le temps de gérer l’information correctement ; et parfois, c’est le manque de bon sens ou d’intérêt qui explique que l’information n’est pas traitée comme elle le devrait.
Une organisation aura beau avoir les meilleures intentions d’application des règles du GDPR, vis-à-vis du « droit à l’oubli » notamment, il est fort possible qu’elle se rende compte tardivement que des copies existent, oubliées par des salariés dans un tiroir ou dans leur bureau à domicile.
La vulnérabilité du papier couplée à la négligence des salariés donne lieu à de nombreux cas de compromission de données. Or avec les réformes du GDPR, les sanctions en cas de violation seront nettement plus lourdes. Le rapport annuel de PwC sur l’observation des règles de sécurité et de confidentialité apporte un éclairage fascinant sur les multiples pratiques à risque des salariés concernant les données sur papier.
Parmi les incidents recensés en 2014, dernière année couverte à ce jour, on a parlé d’un carton contenant des informations sur des meurtres et des cas d’abus sur enfants oublié dans un précédent poste de police alors que l’agent avait été muté ailleurs ; d’un travailleur social qui a également perdu le dossier papier d’une personne avec des renseignements personnels sensibles, simplement oublié sur le toit de sa voiture avant de démarrer ; d’un agent immobilier qui s’est débarrassé des justificatifs de déclaration fiscale et de la copie de passeport d’un client dans une pochette transparente sur le trottoir…
La nécessité de former et communiquer
Nous recommandons aux entreprises de compléter leurs règles et procédures de gestion de l’information par des sessions régulières de formation des salariés et des communications afin de sensibiliser le personnel à gérer l’information avec un maximum de sécurité et de promouvoir une culture corporate de la responsabilité vis-à-vis de l’information.
Pour que les mesures de protection des données soient concluantes, chaque salarié devrait comprendre ce qui caractérise des données privées ou confidentielles et comment les traiter. Les entreprises doivent rendre impossible, sinon difficile pour des individus non autorisés, d’accéder à des documents comportant des données personnelles ou d’en faire des copies. Elles devraient aussi réexaminer leurs processus de stockage, de rétention et de destruction de l’information à la lumière des obligations de confidentialité de façon à apporter les ajustements nécessaires.
Beaucoup conservent toujours des archives papier qui s’étendent sur plusieurs décennies. Parmi ces énormes volumes d’information, il y a probablement des données personnelles que l’entreprise doit légalement conserver, mais il y a aussi sûrement des informations dont elle aurait pu et dû se séparer depuis longtemps. A l’aune du nouveau règlement GDPR, il est plus important que jamais de savoir ce que l’on a, où l’information se trouve, qui la détient, comment la consulter au besoin et quand la détruire, totalement et de façon définitive, où qu’elle soit.
(Source : Edward Hladky, Président Directeur Général d’Iron Mountain France)