Politique de conservation et d’élimination des données - PME

La Politique de conservation et d’élimination des données - PME (Politique P14S) est conçue spécifiquement pour les petites et moyennes entreprises (PME), en tenant compte des contraintes et des responsabilités propres à ce type d’organisation. Cette politique est entièrement adaptée aux PME, comme en témoigne l’implication du Directeur général en tant que propriétaire de la politique, sans supposer l’existence de rôles spécialisés tels qu’un Centre opérationnel de sécurité (SOC) ou un Responsable de la sécurité des systèmes d’information (RSSI), tout en garantissant l’alignement avec des cadres de référence majeurs tels que l’ISO/IEC 27001:2022, le RGPD et les réglementations associées. L’objectif principal de cette politique est d’établir des règles claires et applicables pour conserver et éliminer de manière sécurisée l’information, en veillant à ce que les enregistrements ne soient conservés que pendant la durée imposée par la loi, les contrats ou les besoins métier. Une fois ces exigences satisfaites, l’information doit être détruite de manière irréversible. La politique traite de l’importance de réduire l’exposition juridique et le risque opérationnel en empêchant la conservation non autorisée ou redondante des données. Elle met également en avant les bénéfices d’une conservation et d’une élimination bien gouvernées pour la préparation à l’audit, la réduction des coûts et l’amélioration des performances des systèmes. Pour les PME, la politique constitue un moyen pratique de gérer de manière responsable les actifs de données numériques et papier, quelle que soit la taille de l’équipe informatique. Le périmètre complet couvre tous les types d’enregistrements, documents métier, journaux opérationnels, fichiers financiers, données à caractère personnel, et s’applique à tout support de stockage, des disques locaux et systèmes hébergés dans le cloud jusqu’au stockage papier et aux sauvegardes. Tous les employés, prestataires et prestataires tiers de services qui traitent des données de l’organisation sont soumis à cette politique. La politique couvre chaque étape du cycle de vie des données, de la création jusqu’à l’élimination ou la destruction sécurisée. Une caractéristique clé est la délimitation claire des rôles et responsabilités. Le Directeur général approuve, assure l’alignement avec le risque juridique et le risque métier, et gère les exceptions ainsi que la conservation pour litige et suspension de l’effacement. Des Propriétaires des données désignés sont affectés par catégorie de données et sont responsables de la classification, de la détermination des périodes de conservation et de l’autorisation des suppressions ; ils soutiennent également les processus d’audit. Le prestataire de support informatique ou le responsable informatique interne est chargé de configurer les systèmes pour les règles de conservation, la journalisation des éliminations et l’effacement sécurisé, y compris pour les sauvegardes et les archives. Les employés et prestataires doivent respecter la politique, éviter toute conservation inappropriée, signaler les données orphelines et n’utiliser que des systèmes approuvés pour le stockage des données. Les exigences de gouvernance principales reposent sur le maintien d’un Registre de conservation détaillé listant les catégories d’enregistrements, les périodes attribuées, les méthodes d’élimination, la justification juridique et les Propriétaires des données. Ce registre doit être revu annuellement ou à la suite de déclencheurs juridiques ou métier pertinents. Les méthodes d’élimination sont sélectionnées en fonction de la classification des données, en utilisant des procédures sécurisées telles que le déchiquetage à coupe croisée, l’effacement cryptographique ou la destruction physique des supports. La conservation pour litige et suspension de l’effacement est explicitement détaillée : une fois appliquée, elle empêche la suppression indépendamment de la période de conservation planifiée et exige une revue mensuelle. La politique impose également la formation du personnel et des formations de rappel annuelles afin d’assurer la sensibilisation. Les exceptions sont strictement contrôlées, avec des processus de documentation, d’approbation, de revue et d’expiration justifiables. Les mécanismes de mise en application incluent des audits réguliers, des contrôles ponctuels et des conséquences strictes en cas de violation, jusqu’à et y compris la résiliation du contrat ou la notification réglementaire en cas de mauvaise gestion des données à caractère personnel. En définitive, cette politique permet à une PME d’opérer de manière conforme sur le plan juridique, auditable et efficiente en ressources, même en l’absence de rôles avancés de sécurité informatique. Elle est conçue pour s’aligner sur l’ISO/IEC 27001:2022 et les lois relatives à la protection des données, offrant aux PME une base robuste pour la gestion du cycle de vie des données sans complexité inutile.