Qu’est-ce qu’une politique de conservation des données ?

Conformité et archivage avec Proofpoint Demander une évaluation gratuite

Tout plan de sauvegarde solide comporte une politique de conservation des données, qui spécifie la durée pendant laquelle votre organisation conserve les données de sauvegarde avant de les archiver, de les écraser ou de les détruire (effacer).

Une politique de conservation des données détermine les éléments suivants :

  • La durée de stockage des données.
  • Comment elles sont stockées.
  • L’endroit où elles sont stockées.
  • Le format.
  • Le support sur lequel elles sont stockées.
  • Qui a l’autorité sur les données.
  • Ce qui se passe lorsqu’une personne non autorisée accède aux données.

Pour certaines entreprises, une politique de conservation des données est nécessaire pour assurer la conformité.

La formation à la cybersécurité commence ici

Votre évaluation gratuite fonctionne comme suit :

  • Prenez rendez-vous avec nos experts en cybersécurité afin qu’ils évaluent votre environnement et déterminent votre exposition aux menaces.
  • Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
  • Découvrez nos technologies en action !
  • Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.

Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.

Un représentant de Proofpoint vous contactera sous peu.

Pourquoi une politique de conservation des données ?

Pour la plupart des entreprises, une politique de conservation des données est une exigence de conformité des organismes de réglementation.

Même s’il s’agit d’une exigence, une politique de conservation des données donne aux administrateurs des indications sur la sauvegarde et l’archivage des données.

Le processus de création et de planification d’une politique de conservation des données peut aider à mettre en évidence les problèmes de stockage, les problèmes d’autorisation et les risques associés aux données.

La principale raison pour laquelle les organisations élaborent une politique de conservation des données est la conformité.

Parmi les normes qui régissent le stockage et l’accès aux données, toutes les suivantes exigent des organisations qu’elles disposent d’une politique de conservation :

  • Health Insurance Portability and Accounting Act de 1996 (HIPAA).
  • Loi Gramm-Leach-Bliley de 1999.
  • La loi Sarbanes-Oxley de 200.
  • Règles 17a-3 et 17a-4 de la Securities and Exchange Commission.

Comment créer une politique de conservation des données ?

Chaque organisation gère différemment les phases de planification et d’exécution. Mais vous pouvez suivre les meilleures pratiques pour vous assurer que votre plan est développé de manière efficace et sans heurts.

Une solution d’archivage solide peut également contribuer à simplifier la recherche juridique, la conformité réglementaire et l’accès des utilisateurs aux données.

La conservation des données concerne tous les services de l’entreprise. Un plan solide peut donc faire progresser l’ensemble de l’entreprise et aider les administrateurs et les autres membres du personnel informatique à respecter leurs accords de niveau de service.

Les étapes de base de la phase de planification et de création d’une politique sont les suivantes :

  • Constituer une équipe. Si vous ne disposez pas d’un personnel interne capable de créer une politique de conservation des données, vous devez faire appel à des consultants, à des sous-traitants ou à de nouvelles recrues. Bien que vos administrateurs actuels fassent partie du processus, il est important de doter votre équipe de professionnels qui comprennent la conservation des données et les meilleures pratiques en matière de création d’un plan.
  • Catégorisez vos données. Chaque organisation a des types de données, des règles d’accès et des lieux de stockage différents. Classez les données de manière à ce que les informations sensibles puissent être séparées des données générales. Les données sensibles nécessitent des règles de cybersécurité et des défenses de haut niveau pour les protéger contre les acteurs menaçants.
  • Identifier les lois et les normes de conformité qui régissent les données. Les normes de conformité fournissent des orientations lors de la définition des règles de votre politique. Chaque norme de conformité doit être prise en considération car les violations peuvent entraîner de lourdes amendes.
  • Rédiger la politique. La rédaction d’une politique nécessite la contribution de plusieurs personnes. Il peut s’agir d’une personne qui recueille les avis de tous et rédige la politique, ou de plusieurs personnes qui contribuent directement à la rédaction de la politique.
  • Communiquer la politique aux administrateurs. Toute personne concernée par le plan de sauvegarde et de conservation doit connaître les politiques qui sous-tendent les règles et les normes définies dans la politique.
  • Réviser la politique chaque année. Comme toute politique, la vôtre doit être revue régulièrement pour s’assurer qu’elle est mise à jour en fonction des nouvelles règles de conformité. La technologie évolue également. Votre politique doit refléter les changements d’infrastructure, les licences, les données collectées et la manière dont les données sont stockées.

Combien de temps les données peuvent-elles être conservées ?

Les durées de conservation des données dépendent de la sensibilité des données et des exigences de conformité. Les données non sensibles doivent également être stockées pendant une durée déterminée au cas où les utilisateurs devraient récupérer des fichiers à des fins professionnelles.

Si les normes de conformité qui régissent votre organisation ne prévoient pas de durée de conservation des données spécifique, c’est à vous de déterminer la meilleure durée en interne.

Les données peu importantes peuvent n’avoir qu’une politique de conservation de deux semaines, alors que les données critiques telles que les informations sur les soins de santé peuvent devoir être stockées pendant des décennies.

Conservez les données suffisamment longtemps pour soutenir tout plan de reprise après sinistre et pour qu’une sauvegarde soit utilisée pour rétablir les activités de l’entreprise.

La capacité de stockage joue également un rôle dans la durée de conservation. Le coût associé aux archives de données volumineuses augmente avec l’accroissement du stockage des données sur des périodes plus longues.

Si le prix du stockage des données est supérieur au coût de leur perte, envisagez de les supprimer plutôt que de les conserver pendant des mois.

Bonnes pratiques en matière de politique de conservation des données

Avant de rédiger une politique de conservation des données, suivez les meilleures pratiques pour vous assurer qu’elle tient compte de tous les règlements, lois et cas d’utilisation de l’entreprise.

Vous pouvez personnaliser votre plan en fonction des besoins de votre entreprise, mais il existe quelques normes qui s’appliquent à toutes les entreprises.

Classer toutes les données

Il est facile d’ignorer les données considérées comme sans importance. Mais tous les fichiers et toutes les données de l’environnement doivent être pris en compte et inclus dans le plan de sauvegarde et de conservation.

En classant les données, vous vous assurez que toutes les informations sensibles essentielles aux activités de l’entreprise sont stockées en toute sécurité pendant un certain temps, de sorte qu’elles puissent être restaurées ou examinées à tout moment.

Examiner les normes de conformité

La plupart des entreprises ont au moins un organisme de réglementation qui supervise le stockage, les sauvegardes et la conservation des données.

Pour rester en conformité, vous pourriez avoir besoin de l’aide d’un consultant qui connaît toutes les règles.

Politique de suppression

À un moment donné, vous n’aurez plus besoin des données et souhaiterez réduire les coûts de stockage en les supprimant.

La politique de suppression détermine le moment où vous pouvez supprimer les données sans affecter la conformité ou la reprise de l’activité.

Faites-en un effort d’équipe

Tout service ou membre du personnel concerné par la politique de conservation doit être en mesure d’apporter sa contribution, en particulier lorsqu’il s’agit de données qui concernent son équipe.

Lier la conservation aux plans de sauvegarde

Votre plan de sauvegarde détermine les données qui doivent être stockées ; votre plan de conservation détermine le délai de stockage. Les deux politiques doivent être liées l’une à l’autre.

Exemples de politiques de conservation des données

Les grandes entreprises technologiques ont publié des politiques de conservation des données que vous pouvez utiliser pour modéliser la vôtre. Examinez-en plusieurs pour trouver celle qui correspondra le mieux à votre politique.

Voici quelques bons exemples de politiques de conservation :