Le tableau Excel qui veut se faire aussi gros que le traitement…

Ces fichiers devront être identifiés, intégrés le cas échéant dans le registre des opérations de traitement mais surtout, surtout, ils devront être… sécurisés.

Si le droit des données personnelles avait existé du temps de Jean de La Fontaine, c’eût peut-être été le nom d’une fable… celle qui voudrait qu’un tableau Excel soit considéré comme un traitement au sens du RGPD.

Non, tous les tableaux Excel ne sont pas des « traitements » et si lors de votre cartographie vous imaginez recenser tous les tableaux Excel de vos collaborateurs je n’ai qu’un mot à dire : bonne chance !

Non seulement c’est une mission impossible puisque presque tous les salariés ont leurs petits tableaux Excel « à eux », mais c’est surtout une ineptie juridique.

Pour vous en convaincre, je vous invite à revenir aux fondamentaux et plus précisément à l’article 4 du RGPD, c’est-à-dire aux définitions.

Vous y trouverez deux définitions : celle de « traitement » et celle de « fichier ». Le « traitement » n’est pas un fichier mais une « opération », précisément : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel… » ; le « fichier », lui, est défini comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». À dire vrai, la définition de la loi de 1978 actuelle est un peu plus simple à comprendre, et définit le fichier comme « tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ».

En soi le tableau Excel n’est rien d’autre qu’un « fichier » et n’est donc pas, par lui-même, constitutif d’un traitement.

Il faut cependant savoir distinguer deux types de tableau Excel.

Les fichiers sauvages. Ce sont les tableaux Excel très nombreux qui ne sont que des abstracts (généralement non autorisés) d’applications métiers… Un ERP c’est bien, mais un tableau Excel c’est tellement mieux ! Un CRM c’est pas mal mais quoi de mieux qu’un bon petit tableau Excel pour être efficace !

On qualifie ces tableaux Excel de « données non structurées » ou de « shadow IT » qui représentent près de 85% des données de l’entreprise. Même s’il ne s’agit pas de « traitements » au sens du RGPD ces fichiers sont un fléau absolu pour les entreprises. Pourquoi ? Parce que l’entreprise aura beau mettre en œuvre une politique 100% RGPD, elle sera toujours trahie par ces tableaux Excel cachés qui eux échappent à toutes les mesures de sécurité mises en œuvre dans l’entreprise et sont donc la première source de « violation de sécurité ».

Les « fichiers traitements ». Dans certains cas le tableau Excel est effectivement un traitement. Ce sont les cas dans lesquels l’entreprise n’a pas de SI métier. Le tableau Excel fait alors office d’application métier. Cette situation est évidemment très répandue dans les PME/PMI.  

Fichier Excel et conformité RGPD. Comment rendre les deux compatibles ?

Pour les « fichiers traitements » la solution est simple. Ces fichiers devront être identifiés (cartographie), intégrés le cas échéant dans le registre des opérations de traitement mais surtout, surtout, ces « fichiers traitements » devront être… sécurisés (sécurisation du support - ordinateur ou mobile - et sécurisation du fichier lui-même au minimum par un code d’accès).Pour les tableaux Excel « sauvages », là aussi la solution est simple : les identifier et les éradiquer ! Les identifier par des outils adaptés qui permettent de débusquer le shadow IT et les fichiers non structurés. Sur ce point des outils particulièrement efficaces existent. Les éradiquer sera une chose beaucoup plus complexe. Cela repose sur l’adoption d’un code de bonne conduite RGPD et une sensibilisation des personnels. Mais s’agissant d’une véritable conduite du changement encore faut-il s’assurer que l’entreprise offre à ses salariés des outils métiers efficaces et agiles.

Ce qui est vrai pour un fichier Excel est évidement vrai pour tous les autres fichiers quel que soit l’outil utilisé (tableau word, tableur)…