Dans tous les aspects des affaires, la production de données augmente à un rythme effarant.
- Mais que faire de toutes ces informations une fois qu’elles se trouvent dans vos systèmes ?
- Gérer la politique de conservation des données de votre entreprise en tenant compte des perspectives parallèles de la valeur commerciale et du stockage des données n’est jamais facile.
Quels sont les principes à respecter pour aborder votre politique de conservation des données ?
- Comment faire la différence entre ce qui est important et ce qui ne l’est pas ?
- Qu’en est-il des informations que vous devez conserver pour des raisons de conformité réglementaire ?
- Et avec quelle diligence devez-vous éliminer les données une fois que vous êtes légalement libre de le faire ?
Définir votre politique de conservation des données
Une politique de conservation des données est le système de règles d’une organisation pour la conservation, le stockage et la suppression des informations qu’elle génère et traite.
Une politique de conservation des données, qui doit être clairement documentée et centralisée, est généralement conçue en réponse à une combinaison de besoins opérationnels et d’exigences réglementaires.
Les principaux éléments d’une politique de conservation des données bien conçue sont les suivants :
- Une vue d’ensemble des différents types d’informations traitées par l’entreprise : données clients, rapports financiers, accords juridiques, informations de facturation, email, documents stratégiques, notes de réunion, supports marketing, etc.
- Des règles concernant la durée de conservation des différents types de données et des conseils sur la manière dont les informations doivent être stockées. Quelle est votre politique en matière de chiffrement, non seulement pour les données en vol et les données au repos, mais aussi pour les données en cours d’utilisation ?
- Un cadre basé sur les permissions spécifiant les autorisations d’accès aux données conservées. Quel est votre protocole pour définir les privilèges d’accès, et comment le faites-vous respecter ? Qu’en est-il de la gestion de l’accès des fournisseurs et des entrepreneurs aux données ?
- Une description précise et accessible du paysage réglementaire et une explication de la manière dont votre politique de conservation des données garantit la conformité.
- Un protocole clair concernant les normes relatives à l’assainissement numérique des données, ainsi que la destruction physique du papier et (si nécessaire) du matériel électronique.
Comment vous assurez-vous que vos supports sont effectivement nettoyés conformément au protocole ?
- Demandez toujours l’avis d’un professionnel sur la manière d’élaborer la politique de conservation des données la plus appropriée pour votre organisation.
- Portez une attention particulière à la manière dont vous traitez les données des clients et les informations personnellement identifiables.
- Veillez à vous conformer pleinement à la réglementation dans ce domaine, mais aussi à appliquer des méthodes d’élimination appropriées lorsque le moment est venu de supprimer les données.
Comprendre l’élimination défendable
Gardez à l’esprit que la surconservation des informations entraîne des risques.
La mise en place d’une politique de conservation des données ne donne pas carte blanche pour conserver tout ce qui entre techniquement dans ses limites.
Je ne peux pas vous dire combien de fois j’ai travaillé avec des organisations qui ont été victimes d’un incident de sécurité critique ou d’une violation de données alors que le système compromis contenait deux ou trois fois plus de données, parfois même plus, que celles pour lesquelles il existait une obligation légale de conservation ou un besoin commercial pratique.
Je conseille aux entreprises de mettre en pratique le principe d’élimination défendable, qui veut que les données :
- qui ne doivent pas être conservées légalement en raison d’une obligation de conservation dans le cours normal des affaires
- qui n’ont pas d’utilité significative ou pratique pour l’entreprise, et
- qui ne sont pas soumises à une obligation de conservation en raison d’un litige
…peuvent et doivent être éliminées.
La surconservation de l’information entraîne des risques
La mise en place d’une politique de dataretention n’est pas une carte blanche pour conserver tout ce qui entre techniquement dans ses limites.
Les données conservées inutilement, en particulier les données non structurées, multiplient les expositions à la sécurité des données. N’oubliez pas qu’une fois que les données ont été éliminées de manière conforme, elles ne peuvent plus être compromises.
Une élimination défendable est centrale à une bonne gouvernance de l’information et saine pour l’entreprise.
Quelle réglementation sectorielle s’applique à une politique de conservation des données ?
Cela dépend de votre secteur d’activité
- Parmi les réglementations courantes qui s’appliquent à toute une série de secteurs, citons l’HIPAA (Health Insurance Portability and Accountability Act de 1996), pour les données relatives à la santé d’un individu.
- La loi Gramm-Leach-Bliley (loi de 1999 sur la modernisation des services financiers) oblige les prestataires de services financiers à expliquer à leurs clients comment leurs informations sont partagées.
- La loi Sarbanes Oxley, introduite à la suite des scandales Enron et WorldCom, définit des règles claires pour la conservation des documents relatifs aux audits financiers.
- Le règlement général sur la protection des données (RGPD) de l’Union européenne, qui est entré en vigueur en mai 2018, impose des normes strictes à toute organisation détenant les données de personnes de l’UE, quel que soit l’endroit où cette entreprise opère dans le monde.
- Le principe de minimisation des données du GDPR stipule que les entreprises ne doivent pas détenir plus de données personnelles que nécessaire ou pertinent pour leur objectif commercial.
- En dehors de l’UE, la loi californienne sur la protection de la vie privée des consommateurs est largement considérée comme la première étape vers une approche plus globale de la confidentialité des données aux États-Unis.
Le paysage de la conformité est complexe
Vous devriez demander un avis juridique sur les obligations exactes de votre organisation.
Même lorsque vos responsabilités sont claires, il peut être difficile de s’y conformer. Peu d’entreprises se sentent pleinement confiantes dans leur approche du GDPR : les entreprises peinent à trouver des moyens d’intégrer les mesures de conformité dans leurs protocoles opérationnels.
Les organisations de tous les secteurs sont confrontées à ce défi. Parmi les entreprises de cession de biens informatiques, des exigences aussi simples en apparence que la mise en place de contrats signés pour régir la chaîne de conservation lors de la manipulation d’équipements informatiques contenant des données s’avèrent difficiles à mettre en œuvre.
Évolution de la gouvernance des données aux États-Unis
Pour beaucoup, il est clair que les États-Unis s’orientent de plus en plus vers des protections de la vie privée de type GDPR.
Si la conversation autour de la gouvernance de l’information au cours de la première décennie du nouveau siècle s’est concentrée sur la gestion des coûts de l’e-discovery et que les dix dernières années ont été de plus en plus centrées sur la sécurité des données de l’entreprise, la prochaine décennie sera l’ère de la confidentialité des données aux États-Unis.
Je ne prédis pas que le droit américain reflétera parfaitement le GDPR, mais dans dix ans, le droit américain, notamment au niveau des États, sera beaucoup plus proche d’une sensibilité de type GDPR qu’il ne l’est actuellement.
L’avènement du stockage illimité
- Pour certaines catégories de données, vous devez conserver les informations aussi longtemps que le stipule la loi.
- Pour d’autres types de données personnelles, vous ne devez pas les conserver plus longtemps que nécessaire.
- Mais pour une grande partie des informations que votre organisation génère, il vous appartiendra de décider dans quelles conditions (et pour combien de temps) vous les conserverez.
Certains acteurs de l’industrie plaident en faveur d’un stockage sans fin : il faut tout conserver parce qu’à un moment donné dans l’avenir, cela pourrait présenter un avantage commercial.
On peut donc prévoir l’émergence d’un nuage sans fond où la valeur des données sera amplifiée d’innombrables façons, puisque le bénéfice économique des données sera toujours supérieur à leur coût.
Les fournisseurs de stockage en nuage de la première génération étaient, et dans de nombreux cas, sont encore, coincés dans un état d’esprit de rareté propre à l’ère industrielle. À mesure que les technologies de stockage progressent et que les coûts baissent, ils prévoient un passage à une mentalité d’abondance où personne ne réfléchit à deux fois avant de conserver ou non des données.
Le stockage devient un produit de base comme le sont aujourd’hui la plupart des télécommunications dans le monde développé.
La question est de savoir ce que l’on peut faire de toutes ces données
Les technologies d’intelligence artificielle finiront par aspirer les données et leur donner un sens, d’une manière ou d’une autre.
Faire fonctionner les données
Protégez vos données et libérez tout le potentiel d'internet
🌐 Découvrez la liberté en ligne : Avec notre application VPN, changez votre adresse IP et accédez aux contenus bloqués ou géo-restreints partout dans le monde. Netflix US, chaînes TV étrangères, sites spécifiques… rien ne vous résistera !
🔒 Sécurisez votre navigation : Protégez vos données sensibles grâce à un cryptage avancé. Dites adieu aux malwares et aux risques de piratage, que ce soit chez vous ou sur un Wi-Fi public.
📈 Essayez dès maintenant notre VPN et rejoignez des millions d'utilisateurs satisfaits. Ne laissez pas votre vie privée sans défense !
🔑 Gérez vos mots de passe comme un pro : Avec notre gestionnaire de mots de passe, dites adieu aux oublis et créez des mots de passe ultra-sécurisés. Plus besoin de vous inquiéter des failles de sécurité.
Au-delà des considérations juridiques, il y a certainement de l’argent à gagner dans l’analyse de données en continu.
Les sociétés de veille stratégique (dont Google) génèrent des informations commerciales en appliquant l’IA aux points de données presque infinis qui constituent les opérations courantes d’une entreprise.
Mais ce n’est pas aussi simple que d’appuyer sur un interrupteur et d’attendre que des informations significatives apparaissent. Jusqu’à présent, les meilleures technologies ont eu du mal à extraire automatiquement du sens des vastes lacs de données non structurées qui existent. Les humains doivent travailler dur pour former les modèles.
Plus le référentiel cible est bien conservé et bien entretenu, meilleurs seront les résultats.
Évaluer les considérations relatives au stockage des données
La valeur des données évolue dans le temps.
- Un fichier ou un email qui contient les germes du succès futur de votre entreprise peut lui-même avoir peu de valeur intrinsèque, autre que la curiosité archivistique, dans cinq ans.
- De nombreuses images et vidéos ont une grande valeur immédiate pour le partage mais se refroidissent rapidement, parfois en quelques minutes. Et il ne s’agit pas seulement de savoir quoi stocker, mais aussi où stocker les données et à quelle vitesse (et à quel prix) on peut y accéder.
Environ 60 % des données d’entreprise sont « froides », environ 30 % « chaudes » et 10 % « chaudes » . Les organisations ont généralement été confrontées à un compromis entre le coût du stockage de quantités toujours plus importantes de données et la vitesse à laquelle elles peuvent accéder à ces données.
Quoi qu’il en soit, il est important d’avoir une idée claire de l’endroit où se trouvent vos données les plus importantes à tout moment, et de la rapidité (et du coût) avec laquelle elles peuvent être interrogées ou récupérées.
Créer une culture qui valorise la sécurité des données
L’approche des entreprises en matière de gestion des données
Veillez à communiquer avec énergie et enthousiasme l’approche de votre entreprise en matière de gestion des données à toutes les parties prenantes.
Votre personnel, qui sera toujours beaucoup moins programmable que les machines, prend chaque jour des milliers de décisions indépendantes, bonnes ou moins bonnes. Par une formation et une communication régulières, investissez en eux avec autant de ferveur que vous le faites pour votre technologie.
Tout comme la sécurité des données dépend en grande partie des vulnérabilités humaines, déterminer si une organisation a un contrôle efficace sur la conservation de ses données dépend du comportement humain.
Les outils informatiques sont inestimables, mais ils n’ont pas causé le problème à eux seuls et ils ne le résolvent pas non plus à eux seuls.
Il faut une stratégie de gouvernance
Construire une culture d’entreprise qui valorise la sécurité des données est inestimable.
Sous tous les angles, les entreprises doivent adopter une approche proactive et gérée de la gestion des données pour en tirer un maximum d’avantages tout en restant conformes à l’environnement réglementaire.
N’oubliez pas que plus vous conservez les données longtemps, plus l’exposition potentielle en cas de violation est importante. À un niveau fondamental, la gestion du stockage des données est un exercice d’équilibre délicat.
La gestion de votre politique de conservation des données est un facteur déterminant pour le sort de votre entreprise, aujourd’hui et à l’avenir.
Liens externes
- RGPD en pratique : protéger les données de vos collaborateurs (CNIL)
- Obligations en matière de protection des données personnelles (service-public.fr)
- Guide d’hygiène informatique – Renforcer la sécurité de son système d’information en 42 mesures (SSI.gouv.fr)
Articles de notre blog
Produit conseillé
Utilisez ce VPN pour chiffrer votre connexion, protéger votre trafic et modifier votre adresse IP
Visitor Rating: 5 Stars