Un modèle de politique de conservation des données facilite cette question complexe : comment organiser les données que vous stockez sans enfreindre les règles de confidentialité ou réglementations en place?
Grâce aux modèles, vous pouvez appliquer les mêmes politiques de manière cohérente et automatique dans l'ensemble de l'organisation. Ils vous permettent même de les personnaliser en fonction de différents types de données et de les adapter si nécessaire.
Étant donné que la production de données d'entreprise augmente de plus de 40 % chaque année, vous devez définir ce qu'il faut conserver et ce qu'il faut abandonner. Comme nous l'expliquerons dans ce guide des modèles de politiques de conservation des données, la bonne stratégie peut vous faire économiser des milliers de dollars en coûts de stockage et réduire les risques juridiques.
Définition de la conservation des données
En termes simples, la conservation des données consiste à stocker des données que vous n'utilisez pas activement. Votre banque peut conserver les informations relatives à notre prêt hypothécaire pendant quelques années, même après que vous l'ayez remboursé. Les plateformes logicielles telles que Google Analytics conserveront les données des utilisateurs entre 30 jours et 48 mois.
La conservation des données fait référence à une pratique structurée qui garantit qu'un type de données spécifique est conservé pendant une période donnée conformément aux lois réglementaires, aux besoins commerciaux et aux exigences de confidentialité des utilisateurs.
Avantages de la conservation des données
L'objectif de la conservation des données est double. Tout d'abord, vous devriez pouvoir accéder aux anciennes données à des fins d'analyse ou d'audit, si nécessaire. Deuxièmement, vous ne devriez pas conserver des centaines de téraoctets d'anciennes informations, qui peuvent nécessiter un stockage coûteux. Le maintien de cet équilibre est le seul objectif de la conservation des données.
Par conséquent, les entreprises appliquent des politiques de conservation des données pour :
- Économisez sur les coûts de stockage
- Respectez les réglementations HIPAA, GDPR, PCI DSS et autres réglementations avec des clauses de conservation des données
- Respectez les souhaits de la personne concernée d'origine (par exemple, les clients) lorsqu'elle souhaite que ses données soient supprimées
- Localisez facilement les données lors des audits
- Utiliser les anciennes données pour de futures analyses commerciales
- Soyez prêt à faire face aux violations de données et à d'autres risques de sécurité
Tous ces avantages sont cruciaux pour les entreprises, d'où l'importance d'un modèle de politique de conservation des données.
Qu'est-ce qu'un modèle de politique de conservation des données ?
Quel que soit son type, un modèle simplifie les processus répétitifs en rendant les informations facilement accessibles dans un espace unique et centralisé. Dans le cas de la conservation des données, il sert de cadre pour garantir que votre politique de conservation est complète et ne laisse passer aucun détail clé.
Un modèle de politique de conservation des données fait référence à un document (avec des espaces réservés) qui détermine la manière dont une entreprise stockera les données et les conditions de destruction.
Le modèle comporte généralement deux parties :
- Informations répétées: cette section du contenu reste la même pour toutes les politiques de conservation que l'entreprise mettra en œuvre, comme une déclaration de conformité au RGPD.
- Espaces réservés: les informations contenues dans ces champs seront modifiées à chaque nouvelle politique, comme le nom du département et le nom du propriétaire des données.
En outre, les grandes entreprises ayant des besoins complexes en matière de conservation des données peuvent également ajouter une annexe pour définir les termes et la terminologie clés utilisés dans la politique. L'objectif ultime est de réduire la confusion liée à la conservation des données et de minimiser les requêtes des personnes concernées et des utilisateurs.
Pourquoi avez-vous besoin d'un modèle de politique de conservation des données ?
Un modèle de politique de conservation des données répond à trois objectifs :
1. Cohérence
Toutes vos politiques de rétention au sein de l'organisation seront cohérentes. Bien que des champs exacts tels que la durée, l'emplacement de stockage et le propriétaire des données puissent changer, vous trouverez les mêmes informations dans chaque politique. Cela réduit la confusion et permet de répondre plus facilement aux questions des clients, des utilisateurs internes et des autorités réglementaires.
2. Réduction de l'effort
Un modèle vous évite d'avoir à taper la même chose encore et encore. Par exemple, vous pouvez citer une loi spécifique pour justifier la politique de conservation. Chaque document peut inclure une déclaration telle que « un agent d'approbation doit autoriser la destruction ».
Grâce à un modèle de politique de conservation des données, vous n'avez pas besoin de le saisir à chaque fois ou de récupérer la source d'origine pour la copier-coller dans une nouvelle politique.
3. Contrôle de qualité
Devez-vous détruire un an à compter de l'expiration de la période de conservation ? Un fournisseur vous aide-t-il à conserver les données et devez-vous informer vos employés de l'existence de ce tiers ?
Il est facile d'oublier ces moindres détails si vous créez une politique de conservation des données manuellement, en partant de zéro. En revanche, un modèle appliquera un processus reproductible et sans erreur qui garantit que chaque détail est en place, à chaque fois.
7 champs clés à inclure dans un modèle de politique de conservation des données
Les politiques régissant la conservation des données peuvent varier considérablement d'un secteur à l'autre. Par exemple, voici un document qui définit la manière dont un établissement d'enseignement peut stocker et gérer les données d'administration.
Maintenant, comparez-le à un autre document, cette fois de l'agence de recrutement Wallace Myers, qui traite de la conservation des données de paie.
Comme vous pouvez le constater, le document peut varier considérablement d'une organisation à l'autre, en fonction du secteur d'activité et des réglementations applicables. Cela dit, il y a sept éléments de base que vous devez inclure dans tout modèle de politique de conservation des données, au-delà de toutes les personnalisations :
1. Type de données
À quel type de données spécifique cette politique s'applique-t-elle ? Par exemple, vous pouvez stocker les données des visiteurs du site Web, les données de Google Drive ou autre chose.
2. Durée de conservation
Combien de temps les données seront-elles conservées ? Par exemple, le Règlement général sur la protection des données (GDPR) stipule que les données doivent être conservées « le plus rapidement possible » pour atteindre l'objectif pour lequel elles ont été conçues.
3. Justification de la durée
Pourquoi conservez-vous les données pendant si longtemps ? Le fait de fournir une justification dans le modèle de police, soit en citant une loi, soit en énonçant un besoin commercial, peut réduire votre risque de responsabilité à l'avenir.
4. Sujet des données
À qui se rapportent les données ? Il peut s'agir du propriétaire d'un fichier si vous parlez de la conservation des données de Google Drive ou d'un acheteur en ligne si vous stockez des données clients. Le sujet déterminera les droits en matière de confidentialité que vous devez prendre en compte.
5. Propriétaire des données
Qui est responsable de la politique de rétention ? Toute question concernant la conservation ou la non-conservation ou la destruction des données sera adressée à ce responsable.
6. Conditions supplémentaires
La politique de rétention sera-t-elle modifiée sous certaines conditions ? Par exemple, lorsqu'un employé quitte l'entreprise, la façon dont vous gérez et stockez ses données changera également.
7. Destruction des données
Quand les données seront-elles détruites ? Vous pouvez supprimer les données immédiatement après l'expiration de la politique ou laisser place à une période de réflexion. Vous devez également spécifier la manière dont vous détruisez les données, en supprimant tous les doublons, mais sans affecter les systèmes qui en dépendent.
Voici un modèle de politique de conservation des données prêt à l'emploi
À quoi ressemble donc réellement un modèle de politique de conservation des données ? En voici une version standard, qui coche en grande partie toutes les cases (bien sûr, vous devrez la personnaliser en fonction de vos besoins individuels) :
| Data Retention Policy for [Company Name] last updated in [Year] | |
|---|---|
| Overview | [Company Name] seeks to ensure that it retains only data necessary to effectively conduct its program activities and work in fulfillment of its mission. This policy applies to all data collected by [Company Name] and stored on [Company Name] owned or leased systems and media, regardless of location. It is applicable to both data collected and held electronically and data that is collected and held as hard copy or paper files. The need to retain certain information may be mandated by federal or local law, federal regulations, or other legitimate business purposes, as well as the General Data Protection Regulation (GDPR). |
| Retention Justification |  #Providing an ongoing service to the data subject (e.g. sending a newsletter)#Participation in [Company Name]’s programs, like employee payroll#Programmatic reporting by [Company Name] to its funding organizations#Compliance with applicable labor, tax, immigration laws, and/or OTHER (state below):________________________________________________________#Security protocols or any other investigation#Intellectual property preservation#In support of ongoing litigation |
| Data Type | Retention Duration |
| Website visitor data | To be retained as long as necessary to provide the service requested/initiated via the [Company Name] website. |
| Contributor data | To be retained for the year in which the individual has contributed and then for [Duration] after the date of the last contribution. |
| Event participant data | To be retained for the timeline of the event, including any follow up activities, like distribution of reports, plus a period of [Duration]. |
| Personal data subcontractors and vendors | To be kept for the duration of the contract or agreement. |
| Employee data | To be held for the duration of employment and then [Duration] after the last day of employment. |
| Recruitment data | To be held for [Duration] after the closure of the recruitment process. |
| Data Destruction | Data destruction ensures that [Company Name] manages the data it controls and processes it in an efficient and responsible manner. When the retention period for the data as outlined above expires, [Company Name] will actively destroy the data covered by this policy. Any exceptions to this data retention policy must be approved by [Company Name]’s data protection offer in consultation with legal counsel. In rare circumstances, a litigation hold may be issued by legal counsel prohibiting the destruction of certain documents. A litigation hold will stay in effect until released by legal counsel and prohibits the destruction of data subject to the hold. |
Exemple de modèle de politique de conservation des données utilisé par un gouvernement américain
Vous avez déjà une bonne idée de ce qu'est un modèle de politique de conservation des données et de la manière d'en créer un pour votre organisation. Pour plus d'inspiration, jetez un œil à ce excellent exemple du Bureau de la gouvernance et de l'analyse des données de l'État de Virginie.
Il s'agit d'un document complet de 5 pages qui comprend une annexe de tous les termes clés qu'un document comme celui-ci inclut généralement. Il contient également des exemples de conditions dans lesquelles la politique est susceptible de changer. Il détaille également les procédures de destruction des données, telles que la nécessité de documenter le processus.
Mise en œuvre d'une politique de conservation des données dans Google Vault
Une fois que vous avez mis en place une politique de conservation des données, vous pouvez facilement la mettre en œuvre dans votre logiciel de stockage, de sauvegarde et de découverte électronique des données.
Google Vault est l'une des plateformes les plus populaires à cet effet, surtout si votre organisation utilise Google Workspace. Il crée une empreinte des données Google prête à être auditée et vous pouvez déterminer la durée de conservation de celles-ci grâce à des règles de conservation.
Choisissez le type de données, c'est-à-dire un service Google spécifique dont vous souhaitez conserver les données. Sélectionnez le champ d'application : l'ensemble de l'organisation ou des équipes spécifiques. Sélectionnez ensuite votre durée de conservation, qui peut être indéfinie ou un nombre spécifique de jours depuis la création, l'accès ou la modification du fichier.
Grâce à vos modèles de politique de conservation des données, toutes ces informations seront à portée de main. Cependant, n'oubliez pas que Google Vault est une solution de découverte électronique destinée à faciliter les audits et autres processus juridiques et de conformité.
La conservation des données devient d'autant plus importante lorsqu'il s'agit de sauvegarder des fichiers, c'est-à-dire des informations dont vous pourriez avoir besoin en cas de cyberattaques, de pannes ou d'accidents.
Les limites de Google Vault et la nécessité d'une meilleure sauvegarde
L'intérêt de la conservation des données est de les rendre accessibles lorsque vous en avez besoin. Cela n'est pas possible sans investir dans une sauvegarde fiable. Alors que de nombreux utilisateurs de Workspace optent pour Vault, gardez à l'esprit que Google Vault n'est pas conçu comme un outil de sauvegarde, car il ne prend pas en charge les volumes élevés, les restaurations ponctuelles ou les tâches parallèles.
Lorsque vous pensez à la conservation des données et au renforcement des politiques de conservation de votre entreprise, pensez à un bon logiciel de sauvegarde doté de règles de conservation intégrées. Une plateforme telle que Backup Space peut contribuer à simplifier le stockage et la gestion des données et à appliquer des règles de conservation cohérentes dans l'ensemble de votre organisation.
En conclusion : comment l'espace de sauvegarde peut simplifier la conservation des données
Un modèle de politique de conservation des données facilitera la vie de tout administrateur informatique ou gestionnaire de données. Il rend les processus répétables et réutilisables, ce qui vous permet d'économiser des coûts et des efforts. Cependant, il ne s'agit que d'une pièce du puzzle.
Vous avez également besoin d'outils logiciels tels que Backup Space, capables de prendre en charge des règles de conservation personnalisées et de les appliquer automatiquement à toutes les données que votre organisation crée, avec une synchronisation régulière.
Ensemble, une politique de conservation complète et un système de sauvegarde peuvent simplifier vos processus de données, tout en restant conformes à toutes les lois applicables.
Inscrivez-vous à Backup Space pour conserver vos données Google Workspace !
