RGPD et archivage des e-mails : De la poudre aux yeux et des écrans de fumée [Mise à jour]
L'ignorance et la peur sont de mauvais conseillers. Le plus souvent, elles obscurcissent la vue sur l'essentiel. Ces dernières semaines, la RGPD (également le nouveau règlement général sur la protection des données de l'Union européenne, qui entre en vigueur le 25 mai 2018) soulève une grande quantité de poussière.
Sûr, le RGPD apportera des changements importants dans le domaine du droit à la protection des données. Malheureusement, il règne également une grande confusion quant à ce que le RGPD signifie concrètement pour l'archivage des e-mails. Et malheureusement, les acteurs du marché (comme à l'époque de l'introduction de la GoBD fin 2016) utilisent l'ignorance de beaucoup pour faire du marketing avec des demi-vérités pour des produits et des services.
Poudre à canon et fumées de discorde
Wird von DSGVO oder gar DSGVO-konformen Produkten gesprochen, rückt dies auch zusehends Lösungen für die E-MailArchivierung wie Benno MailArchiv in den Fokus des Betrachters. Glaubt man den überall auftauchenden Aussagen, müsse es ab dem 25. Mai 2018 möglich sein, E-Mails aus dem Mailarchiv zu löschen. Schließlich definiert die DSGVO das sogenannte “Recht auf Vergessenwerden”. Und danach sei es dann eben unbedingt erforderlich, dass Mails gelöscht werden können. Schließlich sei das ja gesetzlich dann so vorgesehen.
En effet, l'article 17 du RGPD définit le “droit à l'effacement”, communément appelé le “droit à l'oubli”. Ainsi, il est indiqué ici
“La personne concernée a le droit d'exiger du responsable que les données à caractère personnel la concernant soient supprimées sans délai, et le responsable est tenu de supprimer sans délai les données à caractère personnel, dès lors qu'une des raisons suivantes s'applique : […]”
Plusieurs motifs sont énumérés, selon lesquels une suppression doit être effectuée.
Ainsi, tout semble clair ! Le RGPD définit le droit à l'oubli. Et ainsi, les données (dans le cas de l'archivage de messagerie, il s'agit donc des e-mails des personnes concernées) doivent être supprimées. Point.
C'est en tout cas ce que pensent la plupart des contemporains. Mais est-ce vraiment si simple ?
Clarté au lieu d'informations nébuleuses
Nous recevons régulièrement des demandes de clients et prospects inquiets, pour savoir si Benno MailArchiv conforme au RGPD est. Comment les e‑mails dans Benno MailArchiv löschen kann usw.
La situation dans son ensemble a une portée non négligeable. Pour obtenir une véritable clarté ici, nous avons abordé le sujet en collaboration avec les experts en protection des données et les délégués à la protection des données TÜV-geprütten de DSO Datenschutz Osnabrück GmbH pris en compte. À ce sujet, des éléments intéressants sont ressortis :
RGPD contre GoBD
Si l'on supprimait des e-mails de l'archive de messagerie, pourrait cela être correct et nécessaire au regard du RGPD. Cependant, cela inévitablement une violation de la GoBD constituer. L'archive serait endommagée dans son intégrité globale par la suppression.
Archivage de messagerie selon l'ancien droit de protection des données (BDSG, valable jusqu'au 24.05.2018)
En cas de demandes de suppression, il suffit, selon l'ancienne loi (et toujours valide) sur la protection des données, de définir un filtre dans Benno MailArchiv, à l'aide duquel les e-mails contenant des contenus concernés sont exclus de la recherche. Aucun utilisateur ne peut trouver les e-mails bloqués en conséquence au moyen d'un filtre configuré dans Benno MailArchiv et valide à l'échelle du système. L'accès est définitivement bloqué, bien que les e-mails concernés soient toujours archivés. La cohérence globale de l'archive reste intacte.
Archivage des e-mails selon la nouvelle loi sur la protection des données (RGPD, applicable à compter du 25.05.2018)
Il n'est pas clair à ce jour si la possibilité susmentionnée de bloquer les courriels sera suffisante à l'avenir (c'est-à-dire après le RGPD). Ainsi, les experts de DSO Datenschutz Osnabrück GmbH nous ont indiqué que même les autorités de protection des données des Länder allemands n'ont pas pu fournir d'informations contraignantes en raison du manque de clarté de la situation. Toutes les déclarations qui peuvent être obtenues de ces instances sont jusqu'à présent des opinions privées des employés des autorités, mais pas des déclarations officielles.
Dans cette mesure, il est actuellement concevable qu'une fonction de suppression dans Benno MailArchiv puisse devenir nécessaire. Jusqu'à présent, la nécessité n'est cependant pas claire.
Il pourrait également être suffisant de procéder à la X-isation (c'est-à-dire remplacer les données pertinentes par XXX ou ***) pour satisfaire aux exigences du RGPD. Cependant, il se peut également que seule la suppression effective soit suffisante. Les autorités de protection des données des Länder n'en savent apparemment pas encore suffisamment à ce sujet et n'ont donc pas encore fourni de réponse contraignante à ce sujet.
Impact de la GoBD sur l'archivage des e-mails
Si l'on intervient (comme décrit ci-dessus) de manière destructive ou manipulatrice dans l'archive e-mail, cela pourrait être nécessaire conformément au RGPD. Cependant, l'administration fiscale pourrait y voir une violation de la GoBD. Cela compromettrait alors l'archivage des e-mails (du point de vue de la GoBD).
Si et comment le DSGVO et le GoBD sont ici en conformité ou comment se présente la situation juridique à cet égard, est évidemment encore inconnu aujourd'hui. Les informations contraignantes ne sont pas disponibles pour le moment selon nos informations.
Supprimer ou ne pas supprimer ? C'est la question ici.
Si vous êtes concerné par la question d'une suppression concrète d'e-mails, décidez vous-même comment procéder dans cette affaire. LWsystems, en tant que fabricant de Benno MailArchiv, ne donne pour le moment aucune recommandation.
En ce qui concerne Benno MailArchiv, cela signifie que nous proposerons bien sûr une fonction de suppression conforme au RGPD, si le RGPD impose réellement la suppression des e-mails et que cela soit compatible avec les GoBD. Indépendamment de cela, la possibilité de bloquer certains e-mails par liste noire restera bien sûr disponible, tout comme les possibilités de suppression existantes qui peuvent être appliquées dans des cas particuliers.
Le problème des bases juridiques contradictoires ou non harmonisées se pose, selon notre évaluation, non seulement avec le RGPD. En conséquence, le RGPD et ses éventuelles conséquences font encore une fois courir le “actuelle” cochon à travers le village, soulevant une quantité incalculable de poussière, alors que la pratique de la mise en œuvre n’est pas encore suffisamment clarifiée.
[Mise à jour 22.11.2018]
La question de savoir comment GoBD et DSGVO, ainsi que le sujet “obligation de conservation” (GoBD) et “suppression des e‑mails” (DSGVO) peuvent être conciliés, conduit régulièrement à des discussions avec les clients et les prospects.
Même les délégués à la protection des données des grandes entreprises et des groupes adoptent à ce sujet des points de vue parfois différents, comme nous avons pu le constater lors d'échanges avec des clients et des prospects : tandis que certains estiment que l'archivage permanent (ou “Non‑suppression”) des e‑mails contenant des données personnelles est couvert par la GoBD ou que la GoBD prime sur le RGPD, d'autres partent du principe qu'il n'existe aucune base juridique pour l'archivage permanent des e‑mails contenant des données personnelles, que la suppression est donc possible et doit être effectuée.
Selon les informations dont nous disposons, il apparaît toutefois que ce n'est pas encore juridiquement clarifié si la GoBD, au sens d'un “intérêt légitime à la conservation”, peut ou doit être interprétée de manière à ce que rien ne soit supprimé, ou si le contraire est le cas, et si les e‑mails contenant des données personnelles peuvent ou doivent être supprimés.
Nous suivrons ce sujet et vous informerons ici. Naturellement, nous adapterons Benno MailArchiv en fonction des conditions-cadres juridiques, dans la mesure où cela est ou sera nécessaire. Pour l'instant, il semble que la question de la suppression des e-mails n'est pas encore définitivement résolue.
Impact du RGPD sur Benno MailArchiv
Dans la mesure où la situation juridique devrait nécessiter des modifications ou des innovations dans Benno MailArchiv pour continuer à assurer la conformité avec GoBD et/ou DSGVO, nous mettrons en œuvre ces adaptations de manière appropriée. Les clients ayant une souscription de maintenance logicielle valide sont en sécurité, car ils ont la possibilité de mettre à jour leur installation vers la version la plus récente de Benno MailArchiv à tout moment. Ainsi, toutes les adaptations et extensions éventuelles seront à leur disposition immédiatement.
Toutes les déclarations faites ici ne constituent pas des conseils juridiques, car nous ne sommes ni autorisés ni qualifiés pour donner des conseils juridiques conformément au droit professionnel.