La rétention excessive des données pose un risque de confidentialité majeur qui ne doit pas être ignoré. Voici comment établir une stratégie de minimisation.
Cette chronique partenaire est proposée par Géraldine Pelloux, regional director Southern Europe d’Exterro.
Les données sont essentielles à de nombreuses entreprises. Elles nourrissent l’innovation et permettent une prise de décisions éclairée. Pour autant, la rétention de données au-delà de la période réglementaire ou en dehors de leur usage expose les entités à de nombreux dangers.
En conservant des données sensibles pendant une longue période, les entreprises compromettent la confidentialité d’informations en grande quantité, ce qui peut engendrer des dégâts réputationnels irréparables auprès d’une bonne partie de la clientèle.
C’est pour cette raison que la confidentialité des données et les règlements en matière de cybersécurité, à l’instar du Règlement général sur la protection des données (RGPD) ou du California’s Consumer Privacy Act (CCPA), exigent des entreprises qu’elles développent de bonnes pratiques, en fixant des modalités de suppression des ensembles obsolètes de données sensibles.
Pour les organisations , les contraintes imposées par la réglementation ne s’arrêtent pas là. Si une enquête réglementaire permet de déterminer que des données ont été conservées plus longtemps que nécessaire, des amendes et pénalités s’appliquent alors.
La compagnie aérienne British Airways, ainsi que le géant hôtelier Marriott, en ont déjà fait les frais, ces sociétés ayant été condamnées à des amendes de 230 M$ et 123 M$, respectivement.
Bon à savoir : En vertu notamment des articles 5, 13 17 et 25 du RGPD, les entreprises sont tenues de supprimer les données personnelles collectées une fois qu’elles ont rempli leur usage prévu, à moins que leur conservation soit justifiée par une obligation légale ou réglementaire. |
Malgré ces risques, de nombreuses entreprises s’adonnent encore à la rétention excessive de fichiers et d’informations, dont environ 75 % comportent des données personnelles ou sensibles.
Seule la conformité peut protéger de ces amendes et permettre d’atténuer les risques. Il faut pour cela respecter les politiques en vigueur et mettre en œuvre des stratégies de minimisation des données qui s’inscrivent dans un cadre légal.
Auditer sa pratique
La fuite de données n’est possible que lorsque vous conservez des données. Vous économisez du temps et de l’argent en réduisant le nombre de données que vous devez identifier et produire dans le cadre d’une demande d’accès de la personne concernée ou encore d’un litige.
Mais comment savoir où commence la minimisation des données ? Il faut vous poser deux questions.
Une demande d’accès à l’ensemble des documents concernant une personne en particulier pourrait-elle mettre en évidence une rétention excessive des données personnelles par votre organisation ? La suppression de certaines données pourrait-elle atténuer les risques de sanctions judiciaires et réglementaires, ainsi que la responsabilité civile de votre entreprise ?
Si vous avez répondu oui à une de ces questions, alors envisagez sérieusement de minimiser le volume de données que vous conservez.
Elaborer une stratégie de minimisation des données
Au vu de la volatilité des paramètres à prendre en compte, il est recommandé de commencer par les bases, notamment en suivant cinq étapes essentielles :
1. Créer un inventaire exhaustif des données
La première étape consiste à cartographier ses données, en dressant l’inventaire exact des données personnelles détenues, des types de médias utilisés, des opérations de traitement existantes, des personnes concernées et des emplacements de stockage, sans oublier les obligations relatives à la rétention.
En résumé, seule la compréhension de vos données vous permettra de respecter la loi, de faire preuve du niveau de diligence exigé par la réglementation ou de justifier de vos efforts de conformité.
2. Développer des standards logiques de rétention des données
Lorsque vous aurez recensé vos données, le type d’informations ainsi que les fichiers dont vous disposez, vous pourrez commencer à appliquer des politiques de rétention et de suppression à la fois logiques et adaptées.
C’est là que s’impose la création d’un comité d’organisation réunissant les services informatiques et juridiques, la gestion des informations et autres parties prenantes, dont le rôle sera d’aborder des questions clés afin de fixer des délais de rétention des données.
Une des missions de ce comité consiste aussi à tenir compte des modalités de conservation dans le cadre juridique ou réglementaire, de l’existence éventuelle d’une obligation légale de rétention ainsi que des données qui pourraient s’avérer nécessaires au bon fonctionnement de l’organisation.
Une fois le périmètre légal et opérationnel délimité, vous pourrez alors passer à la création des politiques de rétention adéquates.
3. Communiquer vos politiques à l’échelle de votre organisation
Avec l’accord des parties impliquées, les politiques de rétention doivent ensuite être communiquées et respectées dans toute l’organisation. Point crucial : la simplicité et la facilité de compréhension de ces politiques.
Sur ce point, nous n’insisterons jamais assez sur l’importance de dialoguer ouvertement avec vos employés pour vous assurer qu’ils saisissent bien les enjeux.
De même, nous ne pouvons que recommander la mise en place d’un processus de répartition, de suivi et d’évaluation des niveaux de conformité de vos employés, avec vérification et suivi des réponses.
4. Supprimer les données non nécessaires
Lorsque vous aurez établi un suivi et impliqué toutes les parties prenantes, viendra le moment où vous pourrez commencer à supprimer les nombreuses données indûment conservées.
Pour cela, les organisations doivent examiner la totalité de leur inventaire, à savoir tous les types de médias et d’emplacements de stockage, dont les e-mails, les disques externes et la documentation papier.
5. Établir des contrôles continus et adopter l’automatisation
Indispensable au processus, l’opération de suppression des données n’est pourtant pas l’étape finale. Par souci de conformité et de réduction des risques, il faudra forcément assurer la mise à jour de l’inventaire des données, ce qui passe par l’adoption de pratiques continues en matière de minimisation des données. Sans surprise, cette tâche exige du temps et des ressources.
En ce sens, la technologie permet de rationaliser les processus de minimisation et de rétention des données dans le cadre de la loi.
Des contrôles automatisés permettent ainsi d’exécuter la suppression légitime des données, de même que les audits, la mise à jour de la documentation et des politiques, le contrôle des programmes et les procédures d’évaluation annuelles.