Quelles sont les meilleures pratiques en matière de conservation des données ?

Une politique de conservation des données est cruciale pour permettre de conserver les informations stratégiques, tout en respectant les lois et réglementations.

Avec l'essor du big data, du cloud et autres nouvelles technologies, les entreprises gèrent désormais une grande quantité de données, et ce quel que soit leur secteur d'activité. Toutes ces informations constituent un défi, tant en termes de gestion des données que de classement car une entreprise peut accumuler une telle quantité de données qu’elle ne sait plus la façon d’y faire face.  

En outre, selon le rapport 2022 de Serda et Archimag sur la gouvernance de l'information, seulement une entreprise sur cinq dispose d’une vision globale de ses processus de gestion et de partage de ses données. Les politiques de gestion des documents sont souvent cloisonnées : le service financier utilise une solution SAP, le service commercial utilise une solution Salesforce, le service marketing utilise une solution Adobe, mais aucun outil ne remplit le rôle de consolidation et de la gestion des documents à l'échelle de l'entreprise. Ainsi, il devient impossible de décider quel document sauvegarder, archiver ou supprimer. 

De ce fait, une politique de conservation des données est cruciale pour permettre de conserver les informations stratégiques, tout en respectant les lois et réglementations. Globalement, une telle politique permet de comprendre quoi faire de ces données dans des situations particulières.  

Une politique de conservation des données définit : 

  • Les objectifs d'une entreprise en matière de conservation des informations,
  • Les données que l’entreprise doit conserver et celles qu’elle doit supprimer,  
  • Le format que l’entreprise utilise pour stocker les données,
  • La durée de conservation des données,
  • Qui est habilité à traiter et à gérer les données,
  • Lois, règlements et documents de référence,
  • Comment traiter les violations de la politique.

Évaluer les données de son entreprise 

Tout d'abord, il faut prendre le temps d'examiner les données pour les évaluer et les classer correctement. Les exigences en matière de conservation des données varient selon les types de données et les secteurs d'activité. Il est donc important que l’entreprise comprenne quels types de données elle traite régulièrement. Par exemple, un hôpital conservera les dossiers des patients plus longtemps que les correspondances internes. 

Ensuite, il est important d’identifier toutes les données qui peuvent être à haut risque, comme les informations personnelles sur les clients ou les anciens employés. Conserver ces informations fera probablement plus de mal que de bien à l’entreprise, car le risque reste le même alors que la valeur des données diminue. Il est toujours judicieux de se débarrasser des données obsolètes qui n'ont plus de raison d'être mais qui pourraient constituer des menaces pour la sécurité. 

En outre, il convient de déterminer si les données sont utilisées à des fins professionnelles ou si elles sont conservées pour une utilisation future. Par exemple, certaines entreprises conservent des données pour former de futurs modèles d'apprentissage automatique. Toutes les données qui ne sont utilisées à des fins professionnelles sont susceptibles de faire l'objet de violations et ralentissent les flux de travail en rendant plus difficile la recherche et l'analyse des données importantes. 

Savoir quelles exigences légales s'appliquent à votre cas  

Après avoir catégorisé les types de données gérés par une organisation, elle doit rechercher les exigences légales qui s'appliquent à son secteur. En effet, il n'existe pas de loi générale et unique sur la conservation des données pour tous les secteurs. Au contraire, les industries appliquent diverses politiques de conservation des données. 

Par exemple, dans l’assurance, il est généralement nécessaire de distinguer les traitements de données réalisés en dehors de la conclusion d’un contrat d’assurance de ceux mis en œuvre dans le cadre d’un contrat. Ainsi, le responsable de traitement ne peut conserver les données d’un prospect au-delà de 3 ans, à compter de leur collecte ou du dernier contact émanant de celui-ci. Pour les informations pouvant permettre la constatation, la défense ou l’exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du prospect. Enfin, lorsqu’un contrat d’assurance est conclu, certains délais de prescription spécifiques sont susceptibles de s’appliquer. C’est le cas des contrats d’assurance vie pour lesquels le Code des assurances prévoit un délai de prescription de 30 ans à compter du décès de l’assuré pour les actions du bénéficiaire. 

En outre, les politiques de protection des données varient selon les pays. Par exemple, l'Union européenne a adopté le règlement général sur la protection des données (RGPD), l'une des lois les plus strictes au monde dans le domaine. En vertu du RGPD, le traitement des données doit être légal, équitable et transparent, et les entreprises ne doivent collecter que le minimum de données nécessaires et en plus elles ne peuvent pas les conserver indéfiniment. Mais, dans le cadre du RGPD et la loi Informatique et Libertés, de nombreux traitements de données, ne disposent pas d’une durée de conservation fixée par un article et la définition de la durée de conservation d’une donnée se détermine en fonction de la finalité du traitement. Il est donc essentiel de savoir quelles normes s'appliquent à son secteur d’activité et de les suivre à lettre. Dans le cas contraire, l’entreprise risque d'encourir des répercussions juridiques. 

Supprimer les données obsolètes  

Une période de conservation des données définit la durée pendant laquelle les données doivent être conservées. Les informations obsolètes sont plus susceptibles de faire l'objet de violations, ce qui entraîne des poursuites onéreuses et une mauvaise réputation.  

Il est primordial de s’assurer que la société ne conserve pas les données plus longtemps que nécessaire en mettant en place un système qui permet leur suppression automatique et limite l’accès à la suppression permanente de données aux personnes autorisées.  

Une fois la politique de conservation des données mise en œuvre, il conviendra de procéder à un examen interne pour s'assurer que les employés s'y conforment. En outre, il est important d'établir un calendrier régulier de révision de sa politique en fonction de la croissance et de l'évolution de l'entreprise.  

Les entreprises aujourd'hui sont submergées par les données. Si ces données peuvent constituer un moteur d'innovation, elles peuvent aussi être un fardeau. La mise en place d’une solide politique de conservation des données, ainsi qu'une plateforme permettant de rationaliser le cycle de vie de vos données permettent non seulement de protéger les données contre des accès non autorisés ou d'autres méfaits, mais aussi de s'assurer que les données sont prêtes à être exploitées par l'entreprise.