RGPD et archivage des e-mails : De la poudre aux yeux et des écrans de fumée [Mise à jour]
L'ignorance et la peur sont de mauvais conseillers. La plupart du temps, ils obscurcissent la vue sur l'essentiel. Ces dernières semaines, le RGPD (c'est-à-dire le nouveau règlement général sur la protection des données de l'Union européenne, qui entre en vigueur le 25 mai 2018) a soulevé beaucoup de poussière.
Sûr, le RGPD apportera des changements importants dans le domaine du droit à la protection des données. Malheureusement, il règne également une grande confusion quant à ce que le RGPD signifie concrètement pour l'archivage des e-mails. Et malheureusement, les acteurs du marché (comme à l'époque de l'introduction de la GoBD fin 2016) utilisent l'ignorance de beaucoup pour faire du marketing avec des demi-vérités pour des produits et des services.
Poudre à canon et fumées de discorde
Lorsqu'on parle de RGPD ou même de produits conformes au RGPD, cela attire également l'attention sur les solutions d'archivage de messagerie électronique comme Benno MailArchiv. Si l'on en croit les déclarations qui apparaissent partout, il devrait être possible, à compter du 25 mai 2018, de supprimer les courriels de l'archive. Après tout, le RGPD définit le soi-disant « droit à l'oubli ». Et selon cela, il serait alors absolument nécessaire que les courriels puissent être supprimés. Après tout, cela est censé être prévu par la loi.
En fait, l'article 17 du RGPD définit le « droit à l'effacement », communément appelé « droit à l'oubli ». Il y est dit
« La personne concernée a le droit d'exiger du responsable que les données à caractère personnel la concernant soient supprimées sans délai, et le responsable est tenu de supprimer les données à caractère personnel sans délai si l'un des motifs suivants s'applique : […] »
Plusieurs motifs sont énumérés, selon lesquels une suppression doit être effectuée.
Ainsi, tout semble clair ! Le RGPD définit le droit à l'oubli. Et ainsi, les données (dans le cas de l'archivage de messagerie, il s'agit donc des e-mails des personnes concernées) doivent être supprimées. Point.
C'est en tout cas ce que pensent la plupart des contemporains. Mais est-ce vraiment si simple ?
Clarté au lieu d'informations nébuleuses
Nous recevons régulièrement des demandes de clients et d'intéressés inquiets, pour savoir si Benno MailArchiv est conforme au RGPD. Comment peut-on supprimer des e-mails dans Benno MailArchiv, etc.
La situation dans son ensemble a une portée non négligeable. Pour obtenir ici une véritable clarté, nous avons abordé le sujet avec les experts en protection des données et les délégués à la protection des données certifiés TÜV de DSO Datenschutz Osnabrück GmbH. Des résultats intéressants en sont ressortis :
RGPD contre GoBD
Si l'on supprimait les e-mails de l'archive de messagerie, cela pourrait être correct et nécessaire au regard du RGPD. Cependant, cela constituerait alors inévitablement une violation de la GoBD. L'archive serait endommagée dans sa cohérence globale par la suppression.
Archivage de messagerie selon l'ancien droit de protection des données (BDSG, valable jusqu'au 24.05.2018)
En cas de demandes de suppression, il suffit, selon l'ancienne loi (et toujours valide) sur la protection des données, de définir un filtre dans Benno MailArchiv, à l'aide duquel les e-mails contenant des contenus concernés sont exclus de la recherche. Aucun utilisateur ne peut trouver les e-mails bloqués en conséquence au moyen d'un filtre configuré dans Benno MailArchiv et valide à l'échelle du système. L'accès est définitivement bloqué, bien que les e-mails concernés soient toujours archivés. La cohérence globale de l'archive reste intacte.
Archivage des e-mails selon la nouvelle loi sur la protection des données (RGPD, applicable à compter du 25.05.2018)
Il n'est pas clair à ce jour si la possibilité susmentionnée de bloquer les courriels sera suffisante à l'avenir (c'est-à-dire après le RGPD). Ainsi, les experts de DSO Datenschutz Osnabrück GmbH nous ont indiqué que même les autorités de protection des données des Länder allemands n'ont pas pu fournir d'informations contraignantes en raison du manque de clarté de la situation. Toutes les déclarations qui peuvent être obtenues de ces instances sont jusqu'à présent des opinions privées des employés des autorités, mais pas des déclarations officielles.
Dans cette mesure, il est actuellement concevable qu'une fonction de suppression dans Benno MailArchiv puisse devenir nécessaire. Jusqu'à présent, la nécessité n'est cependant pas claire.
Il pourrait également être suffisant de procéder à la X-isation (c'est-à-dire remplacer les données pertinentes par XXX ou ***) pour satisfaire aux exigences du RGPD. Cependant, il se peut également que seule la suppression effective soit suffisante. Les autorités de protection des données des Länder n'en savent apparemment pas encore suffisamment à ce sujet et n'ont donc pas encore fourni de réponse contraignante à ce sujet.
Impact de la GoBD sur l'archivage des e-mails
Si l'on intervient (comme décrit ci-dessus) de manière destructive ou manipulatrice dans l'archive e-mail, cela pourrait être nécessaire conformément au RGPD. Cependant, l'administration fiscale pourrait y voir une violation de la GoBD. Cela compromettrait alors l'archivage des e-mails (du point de vue de la GoBD).
Si et comment le DSGVO et le GoBD sont ici en conformité ou comment se présente la situation juridique à cet égard, est évidemment encore inconnu aujourd'hui. Les informations contraignantes ne sont pas disponibles pour le moment selon nos informations.
Supprimer ou ne pas supprimer ? C'est la question ici.
Si vous êtes concerné par la question d'une suppression concrète de courrier, décidez vous-même de la manière dont vous souhaitez procéder dans cette affaire. LWsystems, en tant que fabricant de Benno MailArchiv, n'exprime explicitement aucune recommandation à ce sujet pour le moment.Pas de recommandation.
En ce qui concerne Benno MailArchiv, cela signifie que nous proposerons bien sûr une fonction de suppression conforme au RGPD, si le RGPD impose réellement la suppression des e-mails et que cela soit compatible avec les GoBD. Indépendamment de cela, la possibilité de bloquer certains e-mails par liste noire restera bien sûr disponible, tout comme les possibilités de suppression existantes qui peuvent être appliquées dans des cas particuliers.
Le problème des fondements juridiques contradictoires ou non conciliables ne se pose pas seulement avec le RGPD, selon notre évaluation. Dans cette mesure, avec le RGPD et les conséquences possibles, une « actualité » est à nouveau agitée à travers le village, ce qui soulève énormément de poussière, alors que la pratique de mise en œuvre n'est pas encore suffisamment clarifiée.
[Mise à jour 22.11.2018]
La question de savoir comment le GoBD et le RGPD ou le thème « obligation de conservation » (GoBD) et « suppression de courriels » (RGPD) peuvent être mis en conformité, conduit toujours à des discussions avec les clients et les parties intéressées.
Même les responsables de la protection des données de grandes entreprises et de conglomérats défendent parfois des points de vue différents, comme nous avons pu le constater lors de conversations avec des clients et des parties intéressées : tandis que certains défendent l'idée que l'archivage permanent (ou « non-suppression ») de courriels contenant des données à caractère personnel est couvert par le GoBD ou que le GoBD est prioritaire par rapport au RGPD, d'autres partent de la position qu'il n'y a pas de base légale pour l'archivage permanent de courriels contenant des données à caractère personnel, et que la suppression doit donc être possible et effectuée.
Selon les informations dont nous disposons, il n'est cependant pas encore clair juridiquement si les GoBD peuvent ou doivent être interprétées dans le sens d'un « intérêt légitime à la conservation » de manière à ne pas être supprimées ou si c'est le contraire qui est le cas, et si les e-mails contenant des données à caractère personnel peuvent ou doivent être supprimés.
Nous suivrons ce sujet et vous informerons ici. Naturellement, nous adapterons Benno MailArchiv en fonction des conditions-cadres juridiques, dans la mesure où cela est ou sera nécessaire. Pour l'instant, il semble que la question de la suppression des e-mails n'est pas encore définitivement résolue.
Impact du RGPD sur Benno MailArchiv
Dans la mesure où la situation juridique devrait nécessiter des modifications ou des innovations dans Benno MailArchiv pour continuer à assurer la conformité avec GoBD et/ou DSGVO, nous mettrons en œuvre ces adaptations de manière appropriée. Les clients ayant une souscription de maintenance logicielle valide sont en sécurité, car ils ont la possibilité de mettre à jour leur installation vers la version la plus récente de Benno MailArchiv à tout moment. Ainsi, toutes les adaptations et extensions éventuelles seront à leur disposition immédiatement.
Toutes les déclarations faites ici ne constituent pas des conseils juridiques, car nous ne sommes ni autorisés ni qualifiés pour donner des conseils juridiques conformément au droit professionnel.