90% des données se trouvent dans les documents qui transitent dans l’entreprise. C’est pourquoi, les multifonctions ont un rôle de première importance à jouer dans l’atteinte de la conformité au RGPD.
Des obligations de bon sens
Mentionnons ici les clauses du RGPD ayant des conséquences directes sur la sécurité des multifonctions :
• La limitation de la collecte d’informations et des traitements est exigée et doit correspondre à une finalité précise. • L’exploitation des données et documents doit s’effectuer dans un cadre légal clairement identifié pour des traitements loyaux en toute transparence.
• Les données collectées doivent avoir de la pertinence pour la finalité et limitées à celle-ci. Elles doivent être à jour, intègres, confidentielles, exportables et répondre au droit à l’oubli.
• La destruction des données au-delà du besoin lié à la finalité doit être exécutée.
• Les traitements doivent garantir la sécurité des données à caractère personnel.
• La protection des accès aux données et documents doit n’être autorisée qu’aux seules personnes concernées par la finalité.
• La protection contre les pertes accidentelles, la destruction ou les dommages liés à des mesures techniques ou organisationnelles doit être assurée. Une attention particulière doit permettre de se prémunir contre les accès illégaux. Par conséquent, ces principes imposent la mise en œuvre d’une sécurité renforcée dans l’usage des multifonctions.
Des obligations en conséquence
On peut citer, sans aucune exhaustivité, quelques exemples pratiques à mettre en œuvre dans toute entreprise :
• Exploitation des données et documents
Capture et impression sécurisées sont mises en œuvre pour garantir l’identification de celui qui capture ou imprime. Les opérations sont conservées dans un journal sécurisé pour garantir la capacité d’audit.
• Limitation à une finalité précise et donc définie
Les droits d’accès des utilisateurs par login, mot de passe ou badge, sont utilisés pour contrôler l’interface des multifonctions et ainsi contrôler les workflow métiers qui sont potentiellement initiés par les utilisateurs. On sait ainsi tracer qui fait quoi et quand ?
• Données minimum collectées et donc manipulées
La gestion des utilisateurs est généralement réalisée sur la base d’un annuaire d’entreprise et n’impacte pas la conformité de l’infrastructure documentaire (sous réserve d’une parfaite gestion des identités par l’organisation).
• Conservation limitée aux données convenues pour la conformité au traitement
La capture des documents peut tirer avantage des capacités de reconnaissance de caractère et d’une connexion directe du MFP à une GED, un SAE (Système d’Archivage Electronique) ou une application métier pour éviter la multiplication de copies inutiles de documents dans l’entreprise.
• Intégrité et confidentialité
La capture multicanale (fax, email, scan, copie) de documents peut n’être rendue disponible qu’aux utilisateurs qui en ont les droits d’accès. La confidentialité des documents est ainsi préservée des personnes non autorisées. Il est aussi possible de mettre en œuvre des fonctionnalités d’anonymisation des documents capturés ou imprimés. Ainsi, sont évités tous risques de diffusion ou pertes de documents, hors de tout contrôle.
Des équipements sécurisés Il est important de rappeler que les constructeurs n’ont pas attendu le RGPD pour mettre en œuvre des mesures de sécurité sur les multifonctions. Ils respectent les normes de sécurités telles que ISO 15408 (Common Criterias) et IEEE P2600 (Profils de protection). En outre, ils répondent aux exigences d’implémentation des cinq ‘A’ : Authentification – Autorisation – Activité – Accounting – Audit. Autant de fonctionnalités que les constructeurs proposent en standard pour contribuer à la conformité RGPD au sein des entreprises.
