Si le droit des données personnelles avait existé du temps
de Jean de La Fontaine, c’eût peut-être été le nom d’une fable… celle qui
voudrait qu’un tableau Excel soit considéré comme un traitement au sens du RGPD.

Non, tous les tableaux Excel ne sont pas des «
traitements » et si lors de votre cartographie vous imaginez recenser tous
les tableaux Excel de vos collaborateurs je n’ai qu’un mot à dire : bonne
chance !

Non seulement c’est une mission impossible puisque presque
tous les salariés ont leurs petits tableaux Excel « à eux », mais c’est surtout
une ineptie juridique.

Pour vous en convaincre, je vous invite à revenir aux
fondamentaux et plus précisément à l’article 4 du RGPD, c’est-à-dire aux
définitions.

Vous y trouverez deux définitions : celle de « traitement »
et celle de « fichier ». Le « traitement » n’est pas un fichier mais une «
opération », précisément : « toute opération ou tout ensemble d’opérations
effectuées ou non à l’aide de procédés automatisés et appliqués à des données
ou des ensembles de données à caractère personnel… » ; le « fichier », lui, est
défini comme « tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit centralisé,
décentralisé ou réparti de manière fonctionnelle ou géographique ». À dire
vrai, la définition de la loi de 1978 actuelle est un peu plus simple à
comprendre, et définit le fichier comme « tout ensemble structuré et stable de
données à caractère personnel accessibles selon des critères déterminés ».

En soi le tableau Excel n’est rien d’autre qu’un « fichier »
et n’est donc pas, par lui-même, constitutif d’un traitement.

Il faut cependant savoir distinguer deux types de tableau
Excel.

Les fichiers sauvages. Ce sont les tableaux Excel très
nombreux qui ne sont que des abstracts (généralement non autorisés)
d’applications métiers… Un ERP c’est bien, mais un tableau Excel c’est
tellement mieux ! Un CRM c’est pas mal mais quoi de mieux qu’un bon petit
tableau Excel pour être efficace !

On qualifie ces tableaux Excel de « données non structurées
» ou de « shadow IT » qui représentent près de 85% des données de l’entreprise.
Même s’il ne s’agit pas de « traitements » au sens du RGPD ces fichiers sont un
fléau absolu pour les entreprises. Pourquoi ? Parce que l’entreprise aura beau
mettre en œuvre une politique 100% RGPD, elle sera toujours trahie par ces
tableaux Excel cachés qui eux échappent à toutes les mesures de sécurité mises
en œuvre dans l’entreprise et sont donc la première source de « violation de sécurité
».

Les « fichiers traitements ». Dans certains cas le
tableau Excel est effectivement un traitement. Ce sont les cas dans lesquels
l’entreprise n’a pas de SI métier. Le tableau Excel fait alors office
d’application métier. Cette situation est évidemment très répandue dans les
PME/PMI.  

Fichier Excel et conformité RGPD. Comment rendre les deux
compatibles ?

Pour les « fichiers traitements » la solution est simple.
Ces fichiers devront être identifiés (cartographie), intégrés le cas échéant
dans le registre des opérations de traitement mais surtout, surtout, ces «
fichiers traitements » devront être… sécurisés (sécurisation du support -
ordinateur ou mobile – et sécurisation du fichier lui-même au minimum par un
code d’accès).Pour les tableaux Excel « sauvages », là aussi la solution est
simple : les identifier et les éradiquer ! Les identifier par des
outils adaptés qui permettent de débusquer le shadow IT et les fichiers non
structurés. Sur ce point des outils particulièrement efficaces existent. Les
éradiquer sera une chose beaucoup plus complexe. Cela repose sur l’adoption
d’un code de bonne conduite RGPD et une sensibilisation des personnels. Mais
s’agissant d’une véritable conduite du changement encore faut-il s’assurer que
l’entreprise offre à ses salariés des outils métiers efficaces et agiles.

Ce qui est vrai pour un fichier Excel est évidement vrai
pour tous les autres fichiers quel que soit l’outil utilisé (tableau word,
tableur)…