Après la Transformation Numérique c’est au tour du Règlement Général pour la Protection des Données Personnelles (RGPD) de mobiliser les titres des journaux spécialisés, des discussions et des emplois du temps des DSI.
Outre les enjeux et la finalité de ces programmes en termes d’efficacité et de gestion des risques, leur intérêt réside dans l’opportunité qu’ils suscitent de réveiller les démarches et projets de Records Management des entreprises. Ils viennent pleinement justifier, la mise en œuvre au sein des S.I. de Système de Gestion des Documents d’Activité (SGDA) et d’une Gouvernance de l’Information, sans lesquels il serait impensable d’envisager une modernisation des processus métiers ou la protection des données personnelles.
Découvrez le point de vue de Jacques Leret, formateur et consultant expert en projet de dématérialisation (BPM, GED-ECM, Archivage, Collaboratif, Gouvernance, …)
Le Records Management, un sujet capital pour les entreprises
Hier la GED puis l’ECM, demain les Content Services : les technologies évoluent. Elles deviennent de plus en plus élaborées mais restent inefficaces si aucune politique n’est proposée au plus haut niveau. Avec la norme ISO 15489 et le Records Management les entreprises disposent d’une démarche pour élaborer leur politique
Les responsables des Archives d’hier se transforment alors en Records Manager et se rapprochent des DPO ou CDO, afin d’être en première ligne de la bataille à livrer en vue d’élaborer une approche conjointe, structurée et planifiée de la gestion des Données sensibles, comme des Documents d’Activité.
Transformation Numérique et RGPD : les implications pour le Records Management
En Mars 2013, le Choc de Simplification du gouvernement, propose 200 mesures de simplification, puis 200 autres fin 2016, en faveur du développement économique et de l’emploi. Trois sur quatre de ces mesures impliquent une dématérialisation des documents et échanges avec l’administration.
La transformation numérique est « en marche » et s’accompagne de manière évidente d’une dématérialisation accrue des documents : quelle que soit l’activité des entreprises, elle implique davantage de documents nativement électroniques (sinon dématérialisés) et davantage d’exigences avec le RGPD.
Dans la mesure où les documents électroniques restent le principal support de communication et d’échange entre personnes morales et physiques, ou avec l’administration, il est important de disposer de règles et de plateformes pour les classer, les conserver et les gérer au plus tôt, selon leur cycle de vie, conformément aux principes du Records Management.
Par ailleurs, les Documents d’Activité sont porteurs de données personnelles, relatives aux clients, en amont (documents entrants) comme en aval (documents sortants) des processus métiers des entreprises. Impossible donc de dissocier dans le cadre du RGPD, la gestion des Données Personnelles, présentes dans les bases de données accessibles aux applications métiers associées, de la gestion des Documents d’Activité, contenant potentiellement ces mêmes données personnelles.
Une difficulté de la mise en œuvre du RGPD sera d’assurer la cohérence entre Données et Documents d’Activité et de disposer d’une gestion conjointe et cohérente alors que les données relèvent d’environnements opérationnels vivants, à l’inverse des documents, pour lesquels la démarche RM s’attache à préserver/fixer les contenus et prévoir leur cycle de vie et leur sort final.
Les enjeux du RGPD sur la gestion des documents d’activité et le Records Management
Les principes du Records Management préconisent de disposer des exigences et des règles de gestion au sein d’un Référentiel de Gestion afin de pouvoir les affecter dynamiquement aux documents en amont et au plus tôt de leur utilisation, et non en aval et a posteriori, comme avec le papier.
Concernant les documents d’activité, les outils et solutions actuelles d’ECM ou les Content Services de demain devront prendre en compte et intégrer également les exigences du RGPD dans leur Référentiel de Gestion. En particulier celles permettant de tracer précisément les documents porteurs de données sensibles/personnelles afin de leur appliquer des règles strictes d’exploitation et de destruction en conformité avec la finalité de leur utilisation.
Concernant les données, en revanche, leur gestion dynamique dans des bases de données et sous la responsabilité des applications métiers ou des ERP reste mal adaptée à l’application de règles et d’un cycle de vie propre au Records Management. Si « gérer les Données comme les Documents d’Activité » est effectivement l’objectif, cela suppose que les Référentiels de Gestion puissent identifier, désigner et gérer les données sensibles présentes et réparties dans les SGBD, au même titre que les documents d’activité le sont au sein des bases documentaires.
Les architectes et les urbanistes au sein des DSI ont devant eux un gros travail de cartographie et de structuration. Et les technologies de gestion des bases de données devront sans doute fortement évoluer afin de répondre à ces nouvelles exigences, à l’instar de ce que les outils de type MDM sont en capacité de proposer aujourd’hui.
Les enjeux d’une démarche Records Management
Les Systèmes de Gestion Documentaire ou plateformes ECM actuels, très centralisés seront dans l’incapacité de prendre en charge un périmètre fonctionnel très élargi et laisseront progressivement la place à une approche plus modulaire et plus adaptative, mais plus complexe, désignée par l’expression Content Services (tel que proposé par Michael Woodbridge du Gartneriv) : des Services de Gestion de Contenu qui seront activés, pilotés et contrôlés depuis les Référentiels de Gestion autonomes et communs, porteurs de toutes les exigences et règles de gouvernance.
Si les évolutions technologies répondent fonctionnellement et techniquement aux besoins opérationnels des entreprises, elles restent inefficaces sans une vision structurée et planifiée telle que le Records Management la propose. Cette vision fédératrice doit être portée au plus haut niveau de management des entreprises. Ainsi la démarche de Records Management se justifie et s’affirme pleinement.
La révision de 2016 de la norme ISO 15489 a introduit de nouveaux concepts : celui conduisant à intégrer le Système de Gestion des Documents d’Activité au cœur des processus et des activités de l’entreprise (et non comme un système figé et monolithique) ; celui également consistant à assurer la constance et la sécurité des informations afin qu’elles soient toujours disponibles et résistent aux éventuelles dégradations du Système d’Information.
Vers une gouvernance des Documents d’Activité
Au-delà des dernières évolutions de la norme ISO 15489, ce sont les normes ISO 3030X qui fournissent un cadre méthodologique et fédérateur pour la démarche RM et la mise en œuvre d’une véritable Gouvernance des Documents d’Activité. À l’image de l’ISO 9000 pour la Qualité, l’enjeu de ces normes est non seulement de permettre l’audit et la certification des systèmes de management des documents d’activité, mais aussi de fournir aux entreprises une maitrise totale de l’efficacité et de la conformité de leur Gouvernance de l’Information.
De fait, la démarche du Records Management a la capacité de prendre en compte les impacts de la Transformation Numérique et les exigences du RGPD, plaçant potentiellement le Records Manager en charge de cette gouvernance, à un haut niveau de responsabilité au sein de l’IT.