Dans le cas de la gestion documentaire, les données personnelles peuvent être celles des salariés, des clients ou prospects, des fournisseurs ou partenaires... En ce sens, le RGPD stipule des objectifs à atteindre :
- identifier les contenus personnels (ex : avec des outils spécialisés) et le personnel pouvant y avoir accès,
- garantir un niveau de sécurité adapté au risque incluant chiffrement « au repos » ou pendant un transfert (art.32),
- définir des personnes habilitées pouvant avoir accès aux contenus avec données personnelles (art.29),
- définir un contrôle d’accès aux contenus avec données personnelles (art.25),
- auditabilité,
- protection contre destruction, perte, altération, diffusion ou accès non autorisé.
On constate rapidement que des pans entiers du système d’information et des usages actuels ne sont pas "compatibles" RGPD : De nombreux vols de données personnelles et sensibles ont concerné la messagerie (piratage HBO, Deloitte, etc. ), le serveur de fichiers, lui, a été touché par des failles de sécurité et des ransomware (ex : Wannacry). En plus de ces faiblesses de sécurité, la saturation des messageries et des serveurs de fichiers démontre bien que ces deux systèmes ont atteint leurs limites.
Les meilleures pratiques vont désormais s'appuyer sur les plateformes de travail collaboratif et de GED, comme la solution GoFAST. Ce type de plateforme apporte de nombreux autres avantages, dont le respecte de normes comme ISO9001, amélioration de la productivité et de la collaboration.