Conserver et communiquer des données à caractère personnel : le cas des métadonnées
Jusqu’à présent dans la série de billets que nous avons inaugurée sur ce blog, à propos du RGPD, nous avons beaucoup insisté sur les rôles et responsabilités des acteurs de la protection des données à caractère personnel (DCP), sur les enjeux techniques, sur la question de la conservation des données, tout ceci pour en arriver aux questions relatives à l’accès.
Tout étant parfaitement imbriqué dans ce règlement, il fallait d’abord exposer quelques éléments avant de s’attaquer au sujet de l’accès, car il se mesure à :
- Qui a accès, ce qui se traduit par une définition précise des rôles dans le RGPD : qui est destinataire, sous-traitant, service qui traite les données...,
- Quelles sont les catégories de données à caractère personnel qui sont traitées : données sensibles et de santé, données « à risque », données de localisation, d’où le besoin de définir la donnée à caractère personnel
- Comment y donner accès, d’où les questions techniques et organisationnelles
D’où la nécessité de pouvoir anonymiser les DCP à l’issue du traitement, si le besoin est de conserver quand même la trace ou la preuve de ce document, soit en son sein[1], soit dans les métadonnées qui le qualifient.
Et ici, vous, lecteur, froncez du sourcil en pensant : « mais que diable viennent donc faire les métadonnées ici ? »
Anonymiser les métadonnées : cas d’usage, risques
Dans un système de gestion des documents, il est possible qu’il y ait des documents contenant des DCP mais aussi les métadonnées qui accompagnent ce document et qui recensent aussi des DCP: le système de gestion est donc considéré comme un outil permettant de traiter des données à caractère personnel.
Prenons un exemple : un document, présent dans un système de gestion électronique de documents (GED), doit être versé dans le système d'archivae électronique (SAE) car il a une valeur engageante pour l’entité qui l’a produit. Le versement d’une plateforme de GED au SAE étant automatisée, le système repère les métadonnées de la GED qu’il convient de récupérer et associer le contenu dans les métadonnées du SAE. Ce document, étant une note de service, il ne comporte pas d’auteur dans son contenu mais il existe une métadonnée GED « créateur du document » qui recense l’information du nom et prénom de cet auteur. Cette métadonnée doit être récupérée dans le SAE.
Pour des raisons de transparence, le service doit archiver et publier le document de note de service, avec ses métadonnées, mais pour se conformer au RGPD, doit-il supprimer le contenu des métadonnées de ses documents au péril de ne pas pouvoir les retrouver ?
Car, accessoirement, les métadonnées constituent souvent le point d’entrée des requêtes permettant de retrouver les documents dont nous avons besoin !
Imaginez aussi qu’au lieu de produire une note de service, de temps en temps, l’entité en produise plusieurs centaines par jour : effacer ou anonymiser à la main des contenus de champs de métadonnées référençant des données à caractère personnel risque d’être fastidieux. Résoudre par une solution technique (script, etc…) peut se révéler coûteux, et d’autant plus complexe que dans votre SAE, il existe une grande variété de typologies documentaires, qui recensent probablement toutes un « auteur » qui, pour certaines typologiques, ne doit pas être effacé irrémédiablement !
Alors, dans quelles situations, et comment faire, pour savoir quelles métadonnées contenant des données à caractère personnel doivent être conservées et celles anonymisées ?
Conserver, détruire, ou au cas par cas : quelles méthodes pour quelles métadonnées ?
Il existe deux cas très simples, que nous allons évoquer rapidement avant de passer au troisième.
Le premier cas, c’est la conservation sans limite de durée de tous les documents et toutes les métadonnées attachées. Ce cas se présente lorsque communiquer les données personnelles ne pourra porter préjudice à la personne, combiné à la valeur historique du document. Nous sommes dans le cas très précis de la conservation des documents contenant des DCP à des fins archivistique, historiques, statistiques, etc…auxquels il est possible de donner accès à un public cible varié sans risque que la personne faisant l’objet du traitement soit menacée. Ce cas se rencontrera par exemple pour l’ensemble des archives historiques, publiques ou privées.
Le second cas concerne la destruction de tous les documents et de toutes les métadonnées les qualifiant. Ce cas se présente communément sur des documents a durée de vie limitée, : leur conservation correspond à la durée du traitement nécessaire pour l’activité, aux personnes qui en ont usage dans le cadre de cette activité. A l’issue du traitement, il n’y a guère besoin de conserver l’information pour des finalités différentes de la finalité première, auquel cas le DPO conseillera de détruire ces documents ainsi que les métadonnées recensant des informations à caractère personnel et de n’en conserver aucune trace.
Le troisième cas est plus complexe : le besoin serait d’anonymiser certaines des métadonnées du document, contenant des informations à caractère personnel. C’est notre exemple ci-dessus, mais cela peut tout aussi bien être le cas pour un document qu’on souhaite détruire, tout en conservant, pour des raisons de traçabilité, les métadonnées, dont il est nécessaire que pour une partie, les informations à caractère personnel contenues en leur sein soient effacées, ou anonymisées.
Avant de traiter ce cas, les adeptes de la tasse de thé et du carré de chocolat en profiteront pour se pencher sur ce besoin d’anonymiser : en effet, la solution dépend de beaucoup du « pourquoi anonymiser » :
- Est-ce nécessaire car beaucoup de personnes accèdent dans l’application aux métadonnées ?
- Est-ce nécessaire, car des traitements analytiques sont effectués sur les métadonnées des documents d’archives ?
Il est possible, dans un premier temps et pour répondre efficacement à la première question, de filtrer les requêtes et les résultats de recherche, selon le profil de l’utilisateur, son niveau de confidentialité, ses droits de visualisation sur les typologies d’archives, ce qui constitue un rempart solide limitant l’accès aux informations à caractère personnel.
Mais, au-delà, ces gardes fous techniques ne permettent pas de répondre de manière satisfaisante à la seconde question, ou les métadonnées sont exploitées pour des traitements analytiques sans qu’il y ait un besoin particulier de recourir aux données personnelles. Il faut alors que ces métadonnées soient « vidées » de leur substance sans qu’il y ait d’impact sur les autres. Pour ce faire, un typage des métadonnées peut être une solution pragmatique et raisonnable.
Typer les métadonnées pour mieux les exploiter
Typer les métadonnées, c’est définir dès la conception du set de métadonnées, des métadonnées pour lesquelles un traitement du contenu peut être déclenché.
Reprenons notre exemple de la note de service dont le champ de métadonnée « auteur » doit être anonymisé à la fin de la durée de conservation : le typage consistera à automatiser le process suivant : au bout d’un temps T, le contenu du champ « auteur » de la typologie « note de service » devra subir soit un effacement, soit un recalcul rendant le contenu inintelligible.
A la suite de ce traitement automatisé, il sera possible d’exploiter l’ensemble des métadonnées de l’ensemble des « notes de service », sans craindre une infraction à la loi sur la protection des données à caractère personnel.
Bonus spécial archivistes :
Ce typage des métadonnées peut aussi servir dans d’autres cas d’usage : lorsque par exemple vous souhaitez éditer des instruments de recherche pour les archives historiques, il est possible de qualifier une métadonnée « auteur » (qui satisfait au vocabulaire du service producteur), comme un champ « producteur (personne) » de la norme ISAD(G) : lorsque vous souhaiterez éditer un instrument de recherche, le typage permettra de générer un instrument de recherche qui recensera le contenu du champ « auteur » dans un champ « producteur (personne) ».
Concluons :
Le typage des métadonnées est donc une manière de répondre aux cas d’usage ou les métadonnées sont appelées à subsister dans le SAE, mais en minimisant les risques d’infraction au RGPD. Si le typage doit se penser en amont d’un projet de SAE, il peut faire économiser un temps et un cout de traitement de l’information considérables.
Charlotte Maday
Consultante Spark Archives
Nous contacter :
Du même auteur :
- Conserver des documents qui comportent des données à caractère personnel
- Les processus archivistiques à l'épreuve des volumétries massives des données - Partie 1
- Les processus archivistiques à l'épreuve des volumétries massives des données - Partie 2
- Le double visage des SAE, un service et un système
- Métadonnées : le minimum vital ou le strict nécessaire ?
- OAIS - ISO 14721 - Forces, faiblesses, opportunités, menaces.
- Autorisation d’élimination d’archives et vérification du représentant du contrôle scientifique et technique.
Ajouter un commentaire