Qu’est-ce qu’une Politique de Conservation des données ?
Une politique de conservation des données est le protocole établi par une entreprise pour la conservation des enregistrements pendant une période de temps définie. Il peut également s’agir d’une politique de conservation des enregistrements ou d’une politique de conservation des sauvegardes. L’objectif est de sécuriser vos données et d’assurer la conformité avec des besoins commerciaux particuliers, des directives sectorielles ou des exigences légales.
Une politique complète de conservation des données et un plan de gestion des dossiers détaillent les raisons pour lesquelles une entreprise souhaite conserver des dossiers spécifiques et où elle stockera ou archivera ces données. La politique devrait également inclure des informations sur les responsables de chaque type de données et sur la manière dont elles seront supprimées (ou purgées) à la fin de sa période de conservation.
Une politique de conservation des données doit également spécifier des procédures de stockage de sauvegarde pour aider une entreprise à récupérer si elle subit une perte de données.
Pourquoi une Politique de conservation des données est-elle importante ?
Sauvegardes et archivages réguliers
Des sauvegardes de données appropriées sont essentielles à votre plan de continuité d’activité face à des catastrophes inattendues. Supposons qu’une organisation ne dispose pas de mesures complètes de sauvegarde des données. Dans ce cas, la reprise après sinistre sera incomplète et affectera la continuité des activités en raison d’un manque d’accès aux données et aux enregistrements requis pour fonctionner correctement.
D’autre part, la sauvegarde de trop de données peut causer de la confusion pendant le processus de récupération. De plus, une rétention inutile et des sauvegardes complètes peuvent consommer de l’espace de stockage coûteux et réduire la vitesse d’accès au réseau.
Ainsi, une politique de conservation des données permet de s’assurer que l’entreprise conserve ou sauvegarde les données appropriées pendant une durée appropriée.
Gestion simplifiée des données
Une politique de rétention fait partie de la stratégie globale de gestion des données d’une entreprise. L’organisation doit décrire tous les différents types de données et d’enregistrements qu’elle conserve et la durée pendant laquelle chaque type doit être stocké et sauvegardé. La politique permet de s’assurer que les données périmées ou dupliquées sont éliminées de manière appropriée, ce qui facilite la recherche de données toujours pertinentes et utiles.
Conformité légale et réglementaire
Une gestion efficace des données et des dossiers peut soutenir les fonctions métier principales et aider l’organisation à respecter ses obligations légales, statutaires et réglementaires. Ces dernières années, l’accent mis sur la confidentialité des données s’est accru, ce qui a entraîné des lois et des réglementations plus complexes dans le monde entier.
À titre d’exemple, les sociétés cotées en bourse aux États-Unis doivent établir une politique de conservation pour répondre aux exigences de conservation des données énoncées dans la Loi Sarbanes-Oxley (SOX). De même, les organisations de soins de santé sont soumises aux exigences de conservation des données de la loi HIPAA (Health Insurance Portability and Accountability Act).
En outre, les entreprises qui traitent les paiements des clients (par exemple, par cartes de crédit) doivent respecter les exigences de conservation et d’élimination des données spécifiées dans la Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Toute entreprise mondiale qui collecte et traite les données personnelles des citoyens de l’UE doit respecter les exigences de conservation des données du Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne. Pour se conformer à la loi sur la protection des données du RGPD, les politiques de conservation des données doivent expliquer ce qui est collecté, pourquoi il est collecté, où il est conservé et la période de conservation.
Outre le respect de ces lois, une politique de conservation des données peut aider une organisation à garantir le respect de la vie privée et de la confidentialité de ses données. Il peut également protéger l’entreprise contre les amendes de non-conformité ou d’autres actions punitives et les responsabilités légales futures.
Répondre aux besoins opérationnels
Les organisations peuvent également avoir des besoins contractuels et commerciaux spécifiques qui nécessitent une politique de conservation des données. En tant que tel, la politique devrait spécifier combien de temps la société conservera des ensembles de données particuliers et comment elle prévoit de faire des exceptions en cas de poursuites ou d’autres perturbations.
Comment déterminer la conservation appropriée des données
Pour mettre en œuvre une politique efficace de conservation des données, l’entreprise doit d’abord identifier les types de données qu’elle stocke. Ensuite, il doit classer ces données. Ces étapes sont cruciales car la conservation ” appropriée” des données dépend souvent du type de données à conserver.
Le cycle de vie ou la période de conservation des données est également important. Certaines données peuvent être classées avec une courte période de stockage avant la suppression automatisée, comme les e-mails autonomes. Alors que d’autres enregistrements, comme les contrats de vente et les détails associés, doivent être stockés pendant de nombreuses années.
Par exemple, les organisations de soins de santé stockent des informations personnelles identifiables (IPI), telles que le nom du patient, la date de naissance, le numéro de sécurité sociale et les données médicales. Les sociétés de services financiers stockent les scores de crédit, l’historique des paiements et les informations sur les prêts des clients. La politique de conservation devrait tenir compte de chacun de ces types de données et attribuer des cycles de vie appropriés en conséquence.
Éléments clés d’une politique de conservation des données réussie
Une politique de conservation des données devrait couvrir la façon dont l’organisation sauvegardera, archivera et supprimera les enregistrements papier et numériques. Le document final devrait être holistique et cohérent avec les contributions de plusieurs groupes et s’appliquer à l’ensemble de l’entreprise. La politique peut être mise à jour ou révisée, et un registre de ces révisions doit être conservé dans le document.
Une politique de conservation ou de sauvegarde des données peut comprendre une partie ou la totalité des sections suivantes :
Exigences légales et commerciales applicables
Cette section devrait détailler les besoins commerciaux et juridiques en matière de conservation et de sauvegarde des données. Il devrait être mis à jour au fur et à mesure que les exigences et les réglementations changent.
Procédures de conservation des données
Chaque enregistrement et type de données aura des périodes et des processus de conservation différents. Considérez où les données seront conservées, comment elles seront sauvegardées et pendant combien de temps. Spécifiez le rôle ou l’équipe propriétaire de chaque type de données et responsable de sa gestion. Il est également important de mentionner quels types d’enregistrements n’ont pas besoin d’être conservés et peuvent être supprimés immédiatement.
Procédures de destruction des données
Il est essentiel de mettre en évidence la façon dont les enregistrements seront supprimés lorsque le temps de conservation est écoulé. Spécifiez le processus de destruction des documents papier. Détaillez quels documents électroniques doivent être supprimés manuellement par rapport à ceux qui sont automatiquement purgés par le système.
Procédures d’archivage des données
Certaines données peuvent ne pas être nécessaires pour une utilisation quotidienne, mais doivent tout de même être archivées pour des raisons légales ou réglementaires. Les procédures d’archivage spécifient les types de documents, les emplacements de stockage et les processus de récupération.
Peut-être que certains documents papier sont stockés hors site pour être récupérés uniquement si nécessaire. Certains documents électroniques peuvent être stockés sur différents serveurs pour assurer un temps de réponse rapide et éviter l’encombrement sur les serveurs locaux.
Processus d’exception
L’organisation peut avoir des exceptions à ses procédures standard de conservation, de destruction ou d’archivage des données. Il est important de clarifier ces exceptions dans la politique de conservation des données pour éviter toute confusion ou mauvaise communication.
Réponses appropriées aux demandes de découverte, juridiques ou d’audit
S’il y a une demande de découverte, juridique ou d’audit, l’organisation doit avoir une réponse standardisée. Cette section devrait préciser le processus de réponse, qui est responsable de la réponse et comment elle sera documentée.
En plus des sections ci-dessus, une politique de conservation complète devrait inclure les éléments suivants:
- Nom de l’entreprise et coordonnées
- Contrôle de version
- Objectif de la Politique
- Parties prenantes concernées
- Termes clés utilisés
- Rôles et responsabilités du personnel concerné
Meilleures pratiques de sauvegarde des données
L’espace de stockage peut être coûteux et chaque donnée n’a pas besoin d’être sauvegardée. En ce qui concerne la conservation des données et les sauvegardes, les besoins de chaque organisation sont différents. Il n’y a pas de règles définies sur la stratégie de sauvegarde, la fréquence ou les périodes de conservation. Une organisation doit évaluer ses besoins de manière globale lors de l’élaboration de sa politique de conservation des données.
Cependant, les organisations peuvent envisager plusieurs bonnes pratiques pour commencer:
Identifier et classer les types de données
Classer les données peut aider à identifier les données à sauvegarder ou à archiver et pour combien de temps. Ces questions peuvent aider à déterminer si un type particulier de données doit être sauvegardé:
- Les données sont-elles critiques maintenant ?
- Est-il susceptible de rester critique à l’avenir?
- Est-ce une propriété intellectuelle exclusive?
- Constitue-t-il un secret d’affaires confidentiel ?
- Est-ce un document permanent ?
Identifier les exigences légales
Ici, la question la plus importante est: Les données sont-elles nécessaires à la conformité ou aux audits?
Les organisations doivent déterminer s’il existe des exigences légales ou réglementaires pour sauvegarder les données pendant une certaine période de temps et gérer leur politique de sauvegarde en conséquence.
Identifier les exigences métier
La stratégie de sauvegarde doit tenir compte des exigences métier de l’organisation par rapport à chaque type de données et à la manière dont elles sont sauvegardées. Cela peut dépendre de la probabilité de perte de données, de l’importance relative des données et de la fréquence d’actualisation des données.
Spécifiez les détails pertinents
La stratégie doit inclure des détails tels que le:
- Fréquence de sauvegarde
- Durée de conservation
- Exigences de cryptage
- Méthodes d’accès
- Personnel autorisé à accéder aux données de sauvegarde
Intégrez ZenGRC à Votre Plan de protection des données
Au fur et à mesure que les organisations génèrent et consomment des données – de plus en plus de données, elles ont souvent du mal à les utiliser, à les stocker, à les archiver et à les détruire de manière appropriée. La gestion manuelle du cycle de vie des données n’est pas réalisable car elle est inefficace, gourmande en ressources et peut créer de graves risques de sécurité et de conformité.
Une solution automatisée de gestion et de sauvegarde des enregistrements de conservation des données est nécessaire pour relever ces défis. Voici où une plate-forme complète comme ZenGRC offre les commodités et les fonctionnalités dont vous avez besoin. ZenGRC peut facilement être intégré à la stratégie de conservation des données d’une entreprise pour répondre sans effort aux exigences légales et réglementaires.
ZenGRC permet aux organisations d’automatiser le cycle de vie de leurs données, fournit des capacités d’audit défendables, applique des politiques de conservation structurées et maintient une responsabilité traçable. Obtenez une démonstration et apprenez-en davantage sur les flux de travail, les intégrations et les configurations d’automatisation de ZenGRC.
Leave a Reply