Conserver, oui, mais pas trop longtemps. Le GDPR risque de surprendre nombre d’entreprises, à commencer par les plus petites.
Alors que le compte à rebours est en marche pour se mettre en conformité avec le nouveau règlement général sur la protection des données de l’Union européenne, Iron Mountain prévient les PME des risques qu’elles encourent faute de règles de rétention appropriées pour leurs archives. L’impact du nouveau GDPR (General Data Protection Regulation) risque en effet de surprendre les 4 entreprises de taille moyenne sur 10 (entre 250 et 2500 salariés) en Europe, qui conservent indifféremment toutes leurs archives, sans appliquer les directives de rétention officielles.
Lors d’une étude réalisée avec PwC, Iron Mountain a découvert qu’une PME sur dix (11%) dans l’UE, archive ses informations sans tenir compte des recommandations de conditions de rétention et de protection des données, ce qui complique, voire rend impossible, l’identification des informations sensibles qu’il n’est pas légal de conserver indéfiniment.
89% des entreprises conservent tout et pourtant les durées de conservation diffèrent
Il ressort de l’étude que la plupart des entreprises conservent l’information pour pouvoir éventuellement la valoriser à l’avenir (89%) ou comme un filet de sécurité dans l’actuel contexte réglementaire qui devient de plus en plus complexe (87%). Beaucoup (42%) procèdent de la sorte pour s’assurer de pouvoir donner suite aux demandes d’investigation électronique (e-discovery).
Mais l’Article 23 du nouveau règlement GDPR prévoit que les durées de rétention de tous types d’information (des e-mails aux messages instantanés, aux propositions et contrats) doivent être établies à compter de leur date de création.
Ainsi, une approche non structurée de la rétention des archives peut exposer les entreprises à des risques, avec à la clé des sanctions potentiellement très lourdes. Le défaut de conformité à la nouvelle législation pourrait entraîner des pénalités d’au maximum 4% du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros, prenant en compte le montant le plus élevé.
55% des entreprises laissent leurs salariés décider seuls de conserver ou pas un e-mail
Des entreprises dépourvues de règles et processus ou qui n’informent pas correctement leurs salariés sur les directives à appliquer, prennent le risque que ceux-ci fassent comme bon leur semble. Une étude mondiale réalisée par l’AIIM, communauté mondiale représentative des professionnels de l’information, a démontré que plus de la moitié (55%) des entreprises interrogées dans le monde, laissent leurs salariés décider seuls d’enregistrer ou de supprimer les e-mails, si bien que de nombreuses entreprises ignorent, ou sont dans l’incapacité de prouver, si des informations sensibles ont bien été supprimées conformément aux réglementations.
Les entreprises les plus anciennes sont plutôt celles qui conservent tout
Iron Mountain et PwC ont découvert que les entreprises de plus de dix ans sont celles qui ont le plus tendance à amasser les données (57%) et qu’à l’inverse les entreprises en activité depuis moins de dix ans recherchent plus volontiers les conseils d’experts pour les aider à se mettre en conformité avec les règles de rétention : un peu plus d’un tiers (35%) reconnaissent solliciter des conseils juridiques et agir en conséquence, tandis que 29% confient la gestion de leurs règles de rétention à une tierce partie.
Pour en savoir plus…
° PwC et Iron Mountain, Beyond Good Intentions, http://www.ironmountain.co.uk/Knowledge-Center/Reference-Library/View-by-Document-Type/White-Papers-Briefs/1/2014-PwC-Reports.aspx
° Rapport 2013 “AIM Industry Watch: Information Governance – records, risks and retention in the litigation age”
° PwC et Iron Mountain, Beyond Awareness: the Growing Urgency for Data Management in the European Mid-market, disponible ici : http://ironmountain.co.uk/Risk-Management/