Une politique de conservation des données est essentielle pour aider à préserver les informations stratégiques tout en se conformant aux lois et réglementations.
En raison de la prolifération du big data, du cloud et d’autres nouvelles technologies, les entreprises gèrent désormais de grandes quantités de données, quel que soit leur secteur d’activité. Toutes ces informations sont un défi à la fois dans la gestion et la classification des données, car une entreprise peut accumuler tellement de données qu’elle ne sait plus comment les traiter.
De plus, selon le rapport 2022 sur la gouvernance de l’information de Serda et Archimag, seule une entreprise sur cinq a une vision globale de ses processus de gestion et de partage des données. Les politiques de gestion des documents sont souvent cloisonnées : la finance utilise une solution SAP, les ventes utilisent une solution Salesforce, le marketing utilise une solution Adobe, mais aucun outil ne remplit à lui seul le rôle de consolidation et de gestion des documents à l’échelle de l’entreprise. Il est donc impossible de décider quel document sauvegarder, archiver ou supprimer.
Par conséquent, une politique de conservation des données est essentielle pour permettre la conservation des informations stratégiques tout en respectant les lois et réglementations. En général, une telle politique permet de comprendre ce qu’il faut faire de ces données dans des situations précises.
La politique de conservation des données définit :
Évaluer les données de son entreprise
Tout d’abord, prenez le temps d’examiner les données pour bien les évaluer et les classer. Les exigences de conservation des données varient selon le type de données et le secteur. Par conséquent, il est important pour une entreprise de comprendre quels types de données elle traite régulièrement. Par exemple, un hôpital conserve les dossiers des patients plus longtemps que la correspondance interne.
Ensuite, il est important d’identifier toutes les données pouvant présenter un risque élevé, telles que les informations personnelles sur les clients ou les anciens employés. La conservation de ces informations est susceptible de faire plus de mal que de bien à l’entreprise, car le risque reste le même alors que la valeur des données diminue. C’est toujours une bonne idée de se débarrasser des données obsolètes qui ne servent plus à rien mais qui peuvent présenter un risque pour la sécurité.
En outre, il convient de déterminer si les données sont utilisées à des fins commerciales ou stockées pour une utilisation future. Par exemple, certaines entreprises conservent des données pour former de futurs modèles d’apprentissage automatique. Toutes les données non utilisées à des fins commerciales sont susceptibles d’être piratées et ralentissent les flux de travail, ce qui rend plus difficile la recherche et l’analyse des données importantes.
Savoir quelles exigences légales s’appliquent à votre cas
Après avoir catégorisé les types de données qu’une organisation gère, elle doit rechercher les exigences légales applicables à son secteur. En effet, il n’existe pas de loi générale unique sur la conservation des données pour tous les secteurs. Au contraire, les industries appliquent différents principes de conservation des données.
Par exemple, en assurance, il est généralement nécessaire de distinguer les traitements de données effectués en dehors de la conclusion du contrat d’assurance de ceux effectués dans le cadre du contrat. Par conséquent, le responsable du traitement des données ne peut conserver les données du client potentiel plus de 3 ans, à compter de la date de leur collecte ou du dernier contact. S’agissant des informations susceptibles de permettre le suivi, la protection ou l’exercice de droits légaux, elles pourront être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou de l’éventuel dernier contact. Enfin, certains délais de prescription sont susceptibles de s’appliquer lors de la conclusion du contrat d’assurance. C’est le cas des contrats d’assurance-vie, dans lesquels le Code des assurances prévoit une expiration de 30 ans des activités du bénéficiaire à compter du décès de l’assuré.
De plus, les politiques de protection des données varient d’un pays à l’autre. Par exemple, l’Union européenne a adopté le Règlement général sur la protection des données (RGPD), qui est l’une des lois les plus strictes au monde dans ce domaine. Selon le RGPD, le traitement des données doit être licite, loyal et transparent, et les entreprises doivent collecter le minimum de données nécessaires et ne peuvent pas les conserver indéfiniment. Cependant, dans le cadre du RGPD et de la Loi Informatique et Libertés, de nombreuses opérations de traitement de données ne font pas l’objet d’une durée de conservation fixée par l’article, et la définition de la durée de conservation des données est déterminée en fonction de la finalité du traitement. Il est donc important de savoir quelles normes s’appliquent dans votre domaine d’activité et de les suivre de près. Dans le cas contraire, l’entreprise pourrait faire face à des conséquences juridiques.
Supprimer les données obsolètes
La période de conservation des données détermine la durée pendant laquelle les données doivent être conservées. Les informations obsolètes sont plus susceptibles d’être piratées, ce qui entraîne des poursuites coûteuses et une mauvaise réputation.
Il est important de s’assurer que l’entreprise ne conserve pas les données plus longtemps que nécessaire en créant un système permettant la suppression automatique et limitant l’accès aux personnes autorisées à supprimer les données de manière permanente.
Une fois qu’une politique de conservation des données est mise en œuvre, un examen interne doit être effectué pour s’assurer que les employés la suivent. De plus, il est important d’établir un calendrier régulier pour réviser vos politiques au fur et à mesure que l’entreprise grandit et se développe.
Les entreprises d’aujourd’hui sont surchargées de données. Si ces données peuvent être un moteur d’innovation, elles peuvent aussi être un fardeau. Une solide politique de conservation des données combinée à une plate-forme pour rationaliser le cycle de vie de vos données protège non seulement les données contre les accès non autorisés ou autres méfaits, mais garantit également que les données sont prêtes pour une utilisation professionnelle.