ARCHIVAGE ELECTRONIQUE & RGPD

Quel impact pour l’archivage électronique de documents ?

Le RGPD a un impact majeur sur tous les prestataires de stockage de données mais aussi les acteurs en charge de l'archivage électronique. En effet, les documents électroniques archivés (contrats, bulletins de souscription, crédits conso, documents RH etc.) peuvent contenir des données à caractère personnel et lorsque l’archivage des documents d’une organisation (le responsable du traitement au sens de la législation) est confié à un prestataire d’archivage (le sous-traitant), le responsable du traitement a la responsabilité de s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et de confidentialité des données qui lui sont confiées.
Celui-ci devra donc fournir au responsable du traitement les éléments lui permettant, qu’il s’agisse d’une entreprise ou d’une collectivité de faire face aux différentes contraintes et formalités imposées par le règlement.

Privacy by design et Accountability

Le RGPD modifie également le management de la conformité en introduisant deux principes :

  • le Privacy by design (qui doit s'appliquer à la plateforme d'archivage du prestataire)
  • l’Accountability, principe selon lequel le responsable du traitement doit démontrer sa conformité.

Il doit ainsi mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est réalisé dans le respect du règlement. Ce qui va de la tenue de la documentation, à la mise en œuvre des obligations en matière de sécurité, en passant par la réalisation d’une analyse d’impact et la tenue d’un registre des traitements.

Charge de la preuve

Elle oblige le responsable du traitement (entreprise ou collectivité publique) à documenter l’ensemble des actions de sa politique de protection des données de manière à pouvoir démontrer aux autorités de contrôle ou aux personnes concernées comment il s’y tient. Ainsi, l’entreprise/collectivité publique qui fait appel à un prestataire d’archivage (sous-traitant) doit prendre elle-même toutes les mesures, techniques et organisationnelles, nécessaires à la conformité au règlement, et devra être capable de le démontrer à tout moment grâce à la tenue d’un registre obligatoire.
Le prestataire d'archivage doit, pour sa part, fournir à son client (responsable du traitement) les réponses et éléments exigibles, notamment le registre des traitements et les contrats (ou conditions générales) prévoyant des clauses relatives à la protection des données personnelles éventuellement contenus dans les documents archivés.

Archivage électronique : 3 points clés pour la conformité au RGPD

Pour être en conformité avec les principes en matière de protection des données personnelles (certains étant antérieurs à l’adoption du règlement), une conservation électronique des documents "élaborée" est primordiale, car les documents archivés peuvent contenir des données personnelles (notamment pour les entreprises ayant un modèle B2C). Or les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.


Ainsi l’archivage électronique doit être :

  • sélectif. Lorsqu'un texte prévoit une obligation d'archivage, il faut veiller à archiver uniquement les données utiles au respect de l’obligation prévue, ou pour faire valoir un droit en justice.
  • limité dans le temps. Les données nécessaires pour répondre à une obligation légale ou réglementaire doivent être archivées pour la durée de l’obligation concernée et doivent être supprimées une fois cette durée écoulée. Lorsqu'il s'agit de documents ne faisant pas l'objet d'obligation de conservation, mais destinés à faire valoir un droit en justice, ils doivent être détruit à l'issue de la durée de prescription.
  • sécurisé. Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées contre tout type d’événements (destruction, perte, altération, diffusion ou accès non autorisé, etc.).


Lorsque cet archivage électronique est confié à un sous-traitant (le tiers-archiveur), le responsable du traitement doit donc, comme indiqué plus haut, s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et garantit la confidentialité des données qui lui sont confiées.
La certification ISO 27001 qui concerne la sécurité des systèmes informatiques est un bon début. Á cela, s’ajoutent les normes liées à la conception et à l'exploitation du Système d’Archivage Electronique utilisé (ISO 14641-1 au niveau International et Afnor NF Z 42-013 pour la France) dont le référentiel de certification NF461 (qui est commun à ces 2 normes) apporte des réponses à la gestion du cycle de vie des archives, au respect des durées de conservation et à la traçabilité de toutes les actions associées.

Un SAE certifié NF 461 constitue une aide précieuse à la conformité. Il permet, en effet, d'apporter des réponses fiables quant à l'intégrité des documents (non altération et non destruction intempestive), à leur pérennité et à leur lisibilité dans le temps (contrôle et validation des formats afin de garantir la possibilité de relecture par le propriétaire au cas où il devrait produire un document en justice...), ainsi qu’à leur traçabilité et aux processus de gestion du cycle de vie des archives (gestion du respect des durées de conservation, processus de destruction en fin de durée de conservation, fourniture d'attestations de destruction permettant à l'entreprise responsable du fichier/traitement de justifier de la destruction en cas de contrôle des autorités compétentes - CNIL, etc.).

*Documentation décrivant les modalités relatives à la protection des données personnelles. (réservée aux clients CDC Arkhinéo).