Qu'est-ce que la conservation des données ? Mise en œuvre de pratiques efficaces

Au-delà du stockage : Optimiser les politiques de conservation des données pour une gouvernance améliorée

À l'ère du numérique, les données sont devenues le moteur des entreprises du monde entier, alimentant l'innovation, orientant la prise de décision et façonnant l'expérience client. Cependant, face à cette abondance de données, un défi majeur se pose : comment gérer et conserver efficacement cette richesse d'informations ? Saviez-vous que d'ici 2025, la sphère mondiale des données devrait atteindre le chiffre impressionnant de 175 zettaoctets, soit dix fois plus qu'en 2016 ? Face à cette croissance exponentielle, les organisations doivent prendre conscience de l'importance de conservation des données La conservation des données est complexe et nuancée, et nécessite une approche moderne pour gérer le volume, le type et la sensibilité croissants des données d'entreprise.

De nombreuses entreprises conservent systématiquement trop de données, ce qui les expose à des risques énormes. Environ un tiers des magasins de données n'ont pas été touchés depuis trois ans — et 75% des enregistrements conservés en trop comprennent données personnelles ou sensiblesRejoignez-nous pour explorer le rôle essentiel de la conservation des données dans la protection des informations, la garantie de la conformité et l'autonomisation de la prise de décision stratégique à l'ère moderne.

Qu’est-ce que la conservation des données ?

Conservation des données Désigne la pratique consistant à conserver des données pendant une durée déterminée. Cette pratique peut être motivée par diverses raisons, notamment la conformité légale, la continuité des activités et l'analyse de données. Une conservation adéquate des données est essentielle pour les organisations afin de garantir l'accès aux données nécessaires à leur bon fonctionnement, tout en respectant les exigences légales et réglementaires.

Selon le secteur d'activité et le pays, la conservation des données peut varier considérablement en pratique. Par exemple, dans le secteur de la santé aux États-Unis, la conservation des données est régie par diverses lois et réglementations, notamment la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)La loi HIPAA exige que les organismes de soins de santé conservent les dossiers des patients pendant au moins six ans, ou plus longtemps si la loi de l'État l'exige.

Qu’est-ce qu’une politique de conservation des données et que doit-elle inclure ?

Une politique de conservation des données est un ensemble de directives qu'une organisation suit pour conserver et supprimer ses données, en fonction des exigences réglementaires et des besoins internes. Une politique de conservation des données doit inclure les éléments suivants pour répondre aux exigences de conformité :

• Types de données à conserver : La politique doit préciser quels types de données doivent être conservés, telles que des données financières, juridiques, de santé ou personnelles.
• Durées de conservation : La politique doit préciser les durées de conservation de chaque type de données, en fonction des exigences réglementaires et des besoins de l'entreprise. La durée de conservation doit être suffisamment longue pour répondre aux exigences de l'entreprise et aux obligations réglementaires, mais pas plus longue que nécessaire pour éviter tout stockage inutile de données.
• Lieu de stockage : La politique doit préciser où les données doivent être stockées, si sur site, dans le cloud ou dans un environnement de stockage hybride.
• Contrôles d'accès : La politique doit préciser qui a accès aux données et les procédures d'accès aux données. Cela devrait inclure des directives sur la façon d'accéder aux données, qui peut y accéder, et lorsque l'accès est accordé.
• Destruction des données : La politique doit préciser les modalités de destruction des données à la fin de leur période de conservation. Elle doit également inclure des directives pour la suppression sécurisée des données ou l'élimination des supports physiques.
• Tenue de registres : La politique doit décrire les procédures de conservation et de destruction des données. Cela inclut des précisions sur la personne responsable des données, leur date de création et leur date de destruction.

Avantages de la conservation des données

Les entreprises peuvent éviter les violations et renforcer la confiance des clients en définissant, en gérant et en remédiation politiques de conservation des données dans l’ensemble de l’entreprise.

Les organisations qui mettent en œuvre un programme solide de conservation des données peuvent :

• définir les données en fonction de la durée pendant laquelle elles doivent être conservées
• distinguer les informations critiques des données redondantes, obsolètes et triviales (ROT)
• tenir compte des exceptions légalement autorisées aux exigences de conservation des données (telles que poursuites en cours ou audits)
• déterminer si les enregistrements doivent être archivés ou supprimés
• maintenir des équipes juridiques et informatiques pour créer et opérationnaliser des politiques de conservation des données
• fournir un pont entre les équipes juridiques et informatiques afin qu'elles puissent maintenir une communication constante, se conformer et se tenir au courant de toutes les réglementations

Meilleures pratiques pour modifier une politique de conservation des données

• Revoir la politique existante : Examinez la politique existante pour identifier les domaines qui doivent être mis à jour, tels que les changements dans les exigences réglementaires, les nouveaux types de données ou les changements dans les processus commerciaux.
• Effectuer une évaluation des risques : Effectuer une évaluation des risques pour identifier les risques potentiels associés à la conservation des données et l’impact des modifications apportées à la politique.
• Déterminer les périodes de conservation appropriées : Déterminez les périodes de conservation appropriées pour chaque type de données en fonction des exigences réglementaires et des besoins de l’entreprise.
• Identifier l’emplacement de stockage approprié : Identifiez l’emplacement de stockage approprié pour chaque type de données, par exemple sur site ou dans le cloud.
• Développer des procédures de destruction de données : Développer des procédures pour détruire en toute sécurité les données à la fin de leur période de conservation.
• Mettre à jour la formation et la sensibilisation des employés : Mettre à jour les programmes de formation et de sensibilisation des employés pour garantir que les employés sont au courant de la politique mise à jour et comprennent leurs responsabilités en matière de conservation et de destruction des données.
• Obtenir l’approbation : Obtenir l'approbation de la haute direction ou du conseil d'administration pour garantir que la politique mise à jour est conforme à la politique globale de l'organisation. gestion des risques et des stratégies de conformité.

La fréquence de modification d'une politique de conservation des données dépend de plusieurs facteurs, notamment l'évolution des exigences réglementaires, des processus opérationnels et du niveau de risque associé aux données. En règle générale, les organisations doivent réviser leur politique de conservation des données au moins une fois par an afin de garantir son actualité et son efficacité. De plus, elles doivent procéder à des évaluations régulières des risques afin d'identifier toute évolution des risques liés à la conservation des données et de prendre les mesures appropriées.

Pourquoi vous avez besoin d'un programme de conservation des données solide

Une politique de conservation des données est la pierre angulaire de toute gestion des données. Les politiques internes et externes imposent des règles et réglementations, et il est essentiel pour les organisations de pouvoir gérer un programme complet de conservation des données qui réponde à ces deux exigences.

Les réglementations relatives à la confidentialité et à la protection des données, telles que la Règlement général sur la protection des données (RGPD) de l'UE et le Loi californienne sur la protection de la vie privée des consommateurs (CCPA), par exemple, établir des exigences spécifiques concernant les informations que les organisations peuvent conserver — et celles qu'elles doivent supprimer — pour protéger les informations sensibles des consommateurs, minimiser les risques pour la vie privée des individus, respecter les demandes d'accès des personnes concernéeset bien d'autres choses encore.

Quelle est la durée d’une période de conservation des données ?

La « période de conservation des données », également appelée « période de conservation des documents », désigne la durée pendant laquelle une organisation conserve les données. Il n'existe pas de réponse unique à cette question. En fin de compte, cela dépend.

Cela dépend du type de données, de la finalité pour laquelle ces données ont été collectées ou créées, si les données sont toujours considérées comme utiles et d’autres considérations, selon la réglementation.

Alors que certaines réglementations comme la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) exiger que les informations soient conservées pendant au moins six ans « à compter de la date de leur création ou de la date à laquelle elles ont été en vigueur pour la dernière fois, selon la plus récente de ces dates », pas toutes règlements préciser les délais.

Maintenir la conformité réglementaire

Les exigences spécifiques en matière de politique de conservation des données pour chaque réglementation varient, mais voici quelques lignes directrices générales :

• Règlement général sur la protection des données (RGPD) : Le RGPD impose aux organisations de ne conserver les données personnelles que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Les organisations doivent mettre en place une politique de conservation claire et être en mesure de démontrer qu'elles la respectent. De plus, le RGPD exige des organisations qu'elles suppriment ou détruisent en toute sécurité les données personnelles lorsqu'elles ne sont plus nécessaires.
• Loi californienne sur la protection de la vie privée des consommateurs (CCPA) : La CCPA exige que les organisations divulguent leur politique de conservation des données et les catégories spécifiques de renseignements personnels qu'elles collectent, utilisent et conservent. Les organisations doivent également offrir aux consommateurs le droit de demander la suppression de leurs renseignements personnels et se conformer à ces demandes dans un délai précis.
• Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) : HIPAA La loi HIPAA exige que les organismes de santé conservent les dossiers médicaux et autres informations médicales protégées (IMP) pendant au moins six ans à compter de leur date de création ou de leur dernière entrée en vigueur. Elle exige également que les organismes suppriment en toute sécurité les IMP lorsqu'elles ne sont plus nécessaires.
• Loi Sarbanes-Oxley (SOX) : La loi SOX exige des organisations qu'elles conservent leurs documents financiers et comptables pendant au moins sept ans. Elle exige également qu'elles les détruisent de manière sécurisée lorsqu'ils ne sont plus nécessaires.
• Loi sur la Commission fédérale du commerce (FTC) : La FTC exige des organisations qu'elles conservent les données pendant une durée raisonnable pour atteindre les objectifs pour lesquels elles ont été collectées. Elles doivent également les détruire de manière sécurisée lorsqu'elles ne sont plus nécessaires.
• Loi Gramm-Leach Bliley (GLBA) : En vertu de la GLBA, les institutions financières doivent disposer d'une politique écrite de conservation des données décrivant les types d'informations clients collectées, leur utilisation et leur durée de conservation. Cette politique doit également décrire les mesures de sécurité prises pour éliminer les informations devenues inutiles. La GLBA ne précise pas de durée de conservation spécifique pour les informations clients, mais les institutions financières doivent conserver les dossiers pendant au moins cinq ans à compter de leur date de création ou de leur date de péremption.
• L'Administration de la sécurité et de la santé au travail (OSHA) : Conformément aux exigences de l'OSHA en matière de tenue de dossiers, les employeurs doivent conserver des registres des accidents du travail et des maladies professionnelles pendant cinq ans, ainsi que toute exposition des employés à certaines substances dangereuses, comme le plomb et l'amiante, pendant au moins 30 ans. Ces registres doivent inclure des informations telles que la date de l'accident ou de la maladie, le nom et l'intitulé du poste de l'employé, le type d'accident ou de maladie et tout traitement médical reçu.

Accélérez votre programme de conservation des données avec BigID

BigID BigID est la plateforme leader du secteur en matière de confidentialité, de sécurité, de conformité et de gestion des données par l'IA. Elle aide les organisations à mieux gérer leurs données de bout en bout. Grâce à l'IA avancée et au machine learning, BigID permet aux organisations d'obtenir une meilleure visibilité sur leurs actifs les plus précieux à travers le monde. multi-cloud, sur site et au-delà.

• Connaissez vos données à grande échelle : BigID utilise des algorithmes d'apprentissage automatique pour analyser et classer automatiquement les données en fonction de leur sensibilité, de leur contexte et de leur type, permettant ainsi aux organisations de les gérer de manière appropriée en fonction des exigences de conservation.
• Définir les politiques de conservation des données : L'application de conservation des données de BigID Permet aux organisations de définir des politiques de conservation des données en fonction de leur sensibilité, des exigences réglementaires applicables et de leurs besoins métier. La plateforme automatise l'application de ces politiques et alerte les organisations lorsque les données ont atteint la fin de leur période de conservation.
• Améliorer la sécurité des données : Prioriser et cibler de manière proactive les risques liés aux données, accélérer le SecOps, et automatiser la DSPM ça fait une différence.
• Réduisez votre surface d'attaque : Réduisez la surface d'attaque en éliminant de manière proactive les données sensibles inutiles et non critiques pour l'entreprise avec L'application de suppression de données de BigID. Automatisez la destruction sécurisée des données à la fin de leur période de conservation, réduisant ainsi le risque d'accès non autorisé ou de violation de données.

Pour automatiser et renforcer le programme de conservation des données de votre organisation : planifiez une démonstration individuelle avec BigID dès aujourd'hui.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.