Considérations essentielles pour élaborer une politique de conservation des données

Toute discussion sur la conservation des données inclut invariablement un facteur juridique, ce qui en fait un sujet que les professionnels des TI ont tendance à éviter ou à fuir. Frankement, personne ne peut les blâmer, car les décisions concernant les données qui peuvent être supprimées comportent des implications juridiques sérieuses. D'un autre côté, l'absence de décisions concernant la conservation des données augmente les coûts de stockage et peut également entraîner des conséquences juridiques. Dans ce contexte, cet article exposera les considérations pour élaborer une politique de conservation des données.

Aux fins de la discussion, le terme "enregistrement" dans cet article fait référence aux données du système informatique ayant une signification commerciale, et non à toutes les données. Bien que les documents papier partagent des caractéristiques similaires, cette discussion se concentre sur les données du système informatique.

La Signification d'une Politique de Conservation des Données

Il existe trois objectifs principaux d'une stratégie de conservation électronique des données, résumés comme suit :

• Pour conserver des documents et des enregistrements importants pour une utilisation et une recherche futures

• Pour se débarrasser des dossiers et documents qui ne sont plus nécessaires

• Pour organiser les dossiers en vue d'un accès futur

Lorsque nous analysons la liste ci-dessus plus en détail, nous nous rendons rapidement compte que le premier point est la raison principale de la conservation des données. Nous conservons les données car nous pensons qu'elles pourraient être nécessaires ultérieurement (car elles représentent une richesse de connaissances et de ressources) ou pour des raisons légales. Le deuxième point souligne pourquoi nous avons besoin d'une stratégie — nous ne voulons pas conserver toutes les données indéfiniment sauf si c'est absolument nécessaire. Le troisième point met l'accent sur le fait que si nous ne pouvons pas localiser et accéder aux enregistrements lorsque cela est nécessaire, conserver simplement les données n'a aucun sens.

Motivation pour les politiques de conservation des données

Le but d'une politique de conservation des données a déjà été clairement énoncé. Cependant, il existe encore des facteurs commerciaux qui l'influencent :

• Réduire la quantité de données pour réduire les coûts

• Simplifier la gestion des données à moindre coût

• Conformité aux réglementations (réglementations légales, protection de la vie privée)

La réduction des coûts de stockage des données peut motiver de nombreuses initiatives de politique de rétention de données. Outre les coûts de stockage simples, il y a des coûts liés à la gestion d'environnements de stockage et de sauvegarde complexes, ainsi que des impacts sur la croissance des centres de données. Bien que les technologies de déduplication de données aident dans une certaine mesure, elles réduisent principalement l'impact plutôt que de traiter la cause racine. En d'autres termes, comprimer les données est important, mais réduire le volume de données nécessitant une compression est encore meilleur.

Quelles données doivent être conservées et lesquelles doivent être supprimées?

La première considération pour la conservation des données est la conformité réglementaire : quelles données votre entreprise est légalement tenue de conserver et pendant combien de temps. Lorsque vous élaborerez une stratégie de conservation des données, une classification initiale des données est nécessaire. Certains points clés pour cette classification incluent :

• Les données sont-elles un enregistrement temporaire ?Les fichiers journaux, les brouillons et les copies de documents de travail peuvent être classés comme des enregistrements temporaires et ne sont pas susceptibles d'être conservés à long terme.

• Les données sont-elles principalement composées d'attributs de connaissance? De telles données doivent être conservées aussi longtemps qu'elles restent utiles, jusqu'à ce qu'elles deviennent obsolètes.

• Les données constituent-elles un registre à long terme ? Des documents tels que des contrats, des déclarations de taxe, des informations sur les patients ou des secrets commerciaux doivent être conservés pendant des périodes spécifiques, parfois indéfiniment.

• Les données sont-elles soumises aux lois sur la liberté d'information et la protection de la vie privée? Dans ces cas, les documents doivent être conservés pendant des périodes spécifiques avant destruction obligatoire.

• S'agit-il de données commerciales légitimes? Les employés stockent souvent des données personnelles non liées à l'entreprise, comme des fichiers audio ou vidéo, sur les dispositifs de stockage de l'entreprise.

• Les données sont-elles soumises à une découverte légale dans les activités juridiques? Dans certains cas, l'absence d'une politique de conservation des données claire peut être difficile pour les défendeurs et augmenter le coût de la découverte de documents car localiser des documents pertinents pour un procès nécessite de trouver tous les documents connexes.

Le dernier point mentionné devrait être la motivation la plus forte pour élaborer une politique de conservation des données complète et applicable. Certaines données, comme les registres fiscaux, doivent légalement être conservées pendant des périodes spécifiques, tandis que d'autres données doivent être supprimées. Par exemple, en avril 2006, de nouvelles règles concernant les preuves clés et la découverte électronique émises par la Cour suprême des États-Unis ont stipulé que les entreprises ne sont pas tenues de conserver toutes les données indéfiniment. La règle précise qu'une entreprise peut être exemptée si elle peut démontrer que sa suppression de données était un processus métier prévisible et répétable. La suppression standardisée, routinière, automatisée et vérifiable des e-mails pourrait être le meilleur exemple de ce comportement. Il est important de souligner que bien que les politiques de conservation des données doivent être compréhensibles, elles doivent également être gérables et applicables. Pour y parvenir, la classification des données devrait être limitée à un petit nombre.

Gestion des politiques de rétention de données

Nous avons discuté des objectifs, motivations et points clés pour sélectionner les données dans le cadre d'une politique de rétention mais une question reste en suspens : qui est responsable de la création et de la gestion de cette politique ? En revenant à l'époque de la gestion des documents papier, cette responsabilité incombait aux gestionnaires d'archives, un rôle qui a disparu dans de nombreuses entreprises avec les documents papier. L'élaboration d'une politique nécessite une collaboration entre les administrateurs de stockage, les responsables d'applications et le personnel exécutif. En pratique, le département informatique peut devoir prendre l'initiative de promouvoir et de gérer la rétention des données comme moyen de contrôler la croissance du stockage.

La politique elle-même ne devrait pas être complexe, mais plutôt résumée dans un document détaillant le respect de la politique et les informations sur la conservation des données. Comme mentionné précédemment, la politique doit être gérable et applicable. Initialement, elle devrait se concentrer sur les données qui peuvent ou doivent être supprimées, puis s'étendre au besoin. La documentation de la politique doit être examinée par les conseillers juridiques de l'entreprise et soutenue par tous les départements de gestion. Elle doit être considérée comme une politique d'entreprise, et non un document de bonnes pratiques informatiques. Des révisions sont nécessaires, donc la politique doit être revue annuellement pour garantir son actualité. Les logiciels de découverte et d'archivage de données peuvent jouer un rôle ici, car personne ne veut effectuer manuellement la recherche et la suppression des données. Les logiciels d'automatisation assurent le respect des règles en identifiant, migrant et finalement supprimant les données (par exemple, stockage d'archivage).

La conservation des données et surtout leur suppression sont des tâches complexes qui ne doivent pas être prises à la légère. Les données qui n'ont pas besoin d'être conservées doivent être supprimées une fois qu'il est confirmé qu'elles ne sont pas légalement requises. Il faut souligner une nouvelle fois qu'il est nécessaire de demander des conseils juridiques. Les organisations ne devraient pas éviter cette tâche importante et pourtant simple juste parce qu'elles ne sont pas familières avec les lois et règlements. Les avantages d'une politique de conservation des données compréhensible surpassent largement les efforts nécessaires pour sa création et sa mise en œuvre.

Toujours sauvegarder les données critiques

Lors de la mise au point et de l'application de politiques de conservation des données, l'utilisation des bons outils peut simplifier considérablement le processus de gestion et améliorer la conformité. Vinchin Backup & Recovery est une solution complète de protection des données conçue pour sécuriser les environnements virtualisés, cloud et physiques. Elle prend en charge une large gamme de plates-formes, y compris VMware, Hyper-V, Proxmox, XenServer, oVirt et plus encore. Le logiciel offre des fonctionnalités telles que la déduplication des données, la compression et des options flexibles de sauvegarde et de récupération pour garantir une utilisation optimisée du stockage et une récupération rapide.

Il fournit également des méthodes flexibles de rétention de données, prenant en charge la rétention des données de sauvegarde par jour, par nombre de points de sauvegarde ou par chaîne de sauvegarde. Ce mécanisme peut s'adapter à divers scénarios d'application et à différentes politiques RTO/RPO, ce qui augmente considérablement la flexibilité et la facilité de gestion des données.

C'est assez facile de sauvegarder les machines virtuelles avec Vinchin Backup & Recovery :

1. Sélectionnez l'objet de sauvegarde.

2. Sélectionnez la destination de sauvegarde.

3. Configurer les stratégies de sauvegarde.

4. Examiner et soumettre le travail.

Voici une version d'essai complète de 60 jours ci-dessous ! Ou, contactez-nous avec vos besoins, et vous recevrez une solution sur mesure pour votre parc informatique.

FAQs sur la politique de rétention des données

1. Q : Pendant combien de temps les données doivent-elles être conservées ?

La période de conservation varie en fonction du type de données, des réglementations sectorielles et des besoins de l'organisation. Les politiques sont généralement guidées par les lois, les normes sectorielles et les exigences internes telles que RGPD, CCPA et autres réglementations.

2. Q : Comment la conservation des données diffère-t-elle de l'archivage des données ?

La rétention des données définit la durée pendant laquelle les données sont conservées, tandis que l'archivage des données consiste à déplacer les données qui ne sont plus activement utilisées vers un système de stockage pour une conservation à long terme.

Conclusion

Une politique de rétention de données est plus qu'un simple outil de conformité ; c'est un atout stratégique qui protège les données, atténue les risques et optimise les coûts. En établissant des lignes directrices claires pour la rétention, vous pouvez naviguer dans des paysages réglementaires complexes, sécuriser les données sensibles et maintenir l'efficacité opérationnelle. Une mise en œuvre proactive et stratégique des politiques de rétention de données minimises non seulement les risques mais établit également les bases d'une approche de gestion des données plus efficace et résiliente.